​

Dersom en mulig gjerningsperson og et egnet mål møtes i tid og sted, og det ikke er noen eller noe der til å beskytte målet, er forholdene lagt til rette for at en kriminell handling kan finne sted.

 

Endrer man minst én av faktorene fjerner man også de nødvendige forutsetningene for en slik uønsket hendelse, og nettopp dette er jo selve essensen i sikringsfaget.

 

APT-teorien

Giovanni Manunta hadde også rutineaktivitetsteorien og de tre faktorene som bakteppe da han i 1999 publiserte sin banebrytende teori der han gjorde et forsøk på å lage en allmenngyldig definisjon av security, eller sikring, og presenterte formelen S = f (A,P,T) Si, også kjent som APT-teorien.

 

S=f(A,P,T)Si

 

I følge denne definisjonen er sikring en funksjon av samspillet mellom flere faktorer, herunder beskytteren (protector) som opptrer som motsatsen til en trusselaktør (threat) for å beskytte en verdi (asset) mot uakseptabel skade. Dette foregår innenfor en bestemt situasjon eller kontekst (situation). Manunta lanserte også begrepet sikringskontekst. For å etablere en sikringskontekst kreves en verdi som i utgangspunktet kan være hva som helst, så lenge det eksisterer en reell trusselaktør med en kapasitet og intensjon til å skade eller tilegne seg verdien, og det finnes en beskytter som er villig til å iverksette tiltak for å beskytte verdien gjennom det Manunta kaller sikringsprosessen. Dersom en av disse faktorene mangler, bortfaller sikringskonteksten og videre håndtering, eller sikringsprosess, er ikke nødvendig.

 

Det er i hovedsak dette teorigrunnlaget som ligger bak trefaktor-tilnærmingen til risiko innenfor security. Verdi-trussel- sårbarhetstilnærmingen til sikringsrisiko søker å bringe på det rene hvorvidt det finnes en sikringskontekst innenfor en gitt ramme, og å beskrive samspillet mellom de tre faktorene og hvordan dett samspillet utgjør en grad av risiko. Sannsynlighetsbegrepet slik det ofte brukes, nemlig til å angi sannsynligheten for at en bestemt hendelse skal inntreffe, anses ikke som egnet i en slik ramme. Dette krever litt nærmere utdyping.

 

Om sannsynlighetsbegrepet

Statistisk sett kan man si noe om for eksempel sannsynligheten for å bli utsatt for et terrorangrep. Filosofen Joakim Hammerlin hevder at sannsynligheten for å drukne i do er større enn å bli utsatt for et terrorangrep, og rent statistisk er dette sikkert riktig. Problemet med denne type tenkning illustreres likevel godt ved nettopp dette eksempelet. Jeg har ikke dataene på bordet, men vil anta at det slett ikke er helt tilfeldig hvem som drukner i do. Det vil heller ikke nødvendigvis være helt tilfeldig hvem som blir offer for et terrorangrep. Faktorer som hvor man befinner seg, hvem man er og hvilke tiltak man iverksetter for å beskytte seg vil spille inn. Likeledes har for eksempel professor Terje Aven påpekt at den reelle statistiske frekvensen for å bli utsatt for et slikt angrep bare er en av mange faktorer som kan og bør forme vår risikoforståelse og håndtering av denne type hendelser. PST skriver på sine hjemmesider at «[t]error er en type kriminalitet som forekommer så sjeldent at vi har lite empiri å bygge på. Dette er et lavfrekvensfenomen hvor hyppighet eller forekomst ikke kan beregnes ut fra historiske data, statistikk eller andre erfaringer. Det å beregne når neste terrorangrep kommer til å inntreffe blir upresist og preget av stor usikkerhet». De fleste innenfor faget er imidlertid heldigvis enige om at en frekvensbasert sannsynlighetstilnærming alene er utilstrekkelig i en sikringssammenheng.

 

"I en trusselbasert tilnærming er etterretning et langt viktigere hjelpemiddel enn frekvens"

 

Noen argumenterer likevel for at man kan bruke en bayesisk tilnærming til sannsynlighetsbegrepet i en sikringssammenheng. Dette innebærer en matematisk tilnærming til en problemstilling som har mangelfulle eller usikre data, og innebærer elementer av fornuft, logikk, historikk og personlige vurderinger hos analytikeren. Bruk av begrepet sannsynlighet i en slik sammenheng betyr likevel at man forutsetter at hendelser opptrer med en viss frekvens (selv om de hittil aldri har skjedd), mens tilnærmingen basert på kriminologisk teori tar utgangspunkt i adferdsteori, rasjonelle valg og mål/middel-kalkyler. Uansett hvordan man vrir og vender på det og hvor mange ulike faktorer og vurderinger man legger inn i sannsynlighetsbegrepet, vil det i en sikringsrisikoanalyse alltid forbli et parameter som er ment å forutse eller anslå hvor sannsynlig det er at akkurat du vil bli rammet av en bestemt hendelse. Den såkalte trefaktormodellen tar i stedet mål av seg å si noe om i hvilken grad det eksisterer en reell trusselaktør, og i hvilken grad det er mulig for denne aktøren å lykkes med å skade dine verdier dersom han forsøker. Forholdet mellom disse faktorene utgjør risikoen knyttet til det aktuelle scanarioet. Dette er en fundamental forskjell i de to tilnærmingene. I en trefaktortilnærming er etterretning et langt viktigere hjelpemiddel enn frekvens når man skal vurdere trusselbildet, og nettopp etterretning er et av nøkkelbegrepene som skiller risikoanalyse i en sikringssammenheng fra for eksempel safety. Å vurdere trusselaktørenes mulige eksistens, tilstedeværelse, intensjon, kapasitet og mulige handlemåter (modus operandi) ved hjelp av tilgjengelig informasjon er et av de bærende elementene en trefaktoranalyse, gjennom den selvstendige trusselvurderingen. I denne prosessen vurderes også både kvantitet og kvalitet på den tilgjengelige informasjonen. Trefaktormetoden forutsetter i det hele tatt en samfunnsvitenskapelig tilnærming der all informasjon og alle vurderinger er redegjort for og dokumentert, herunder grad av usikkerhet, for å sikre størst mulig grad av validitet og reliabilitet.

 

Om usikkerhet

 

«the risk matrix is simple, easily understood and completely misleading»

 

Grad av usikkerhet er og bør være et helt sentralt element i sikringsanalyse. I en trefaktoranalyse skal usikkerheten knyttet til hver av de tre vurderingene verdi, trussel og sårbarhet beskrives og vil påvirke den endelige vurderingen av risiko. Stor usikkerhet rundt datagrunnlaget knyttet til for eksempel trussel- eller sårbarhetsvurderingen vil trekke risikoen opp, nettopp for å kompensere for denne usikkerheten. Terje Aven bruker i sin kronikk «Risikotankegangen er fullstendig foreldet» i Aftenbladet 20. august 2012 eksempelet at risikoen knyttet til et bestemt scenario vurderes som lav, mens den «…burde kanskje ha blitt vurdert som høy fordi kunnskapsgrunnlaget for sannsynligheten som ble satt er svakt». Generelt sett er usikkerhet stemoderlig behandlet innenfor risikoanalyse som benytter sannsynlighet som et parameter, slik Aven også påpeker. Det er selvsagt fullt mulig å kompensere for usikkerhet også ved bruk av en slik metode, men man stilles overfor en del pedagogiske utfordringer. Kan man oppjustere en hendelse fra «lite sannsynlig» til «sannsynlig» grunnet manglende datagrunnlag? Neppe gangbart. Og i en matriseform der risikoen blir et utslag av hvor en sannsynlighetsakse og en konsekvensakse møtes, er det vanskelig å justere selve risikoen for å kompensere for faktorer som usikkerhet uten å ødelegge et av hovedprinsippene ved nettopp denne tilnærmingen. Jeg sier ikke at det er umulig, men det illustrerer med all tydelighet at metoden opprinnelig er utviklet for andre fagområder. Som en brite jeg møtte i jobbsammenheng en gang uttrykte det: «the risk matrix is simple, easily understood and completely misleading».

 

I praksis

Et viktig poeng med risikoanalyse knyttet nettopp til sikring, er at analysen i de fleste tilfeller er ment som et beslutningsgrunnlag for å avgjøre i hvilken grad og på hvilken måte en bestemt entitet, for eksempel en virksomhet, skal velge å beskytte seg mot uønskede tilsiktede handlinger. I en slik kontekst er ikke nødvendigvis hvorvidt sannsynligheten er moderat eller høy så veldig interessant, men snarere hvilke trusselaktører som er reelle og hva slags form et eventuelt angrep vil kunne ha. Hvis man er sårbar overfor et slikt mulig scenario har man i praksis spilt ballen over til motstanderen og må leve med en høy grad av usikkerhet rundt egen fremtid, og nettopp det at risiko er et uttrykk for usikkerhet rundt måloppnåelse, som definert i blant annet ISO 31000, er jo noe de fleste kan enes om. Man kan da iverksette tiltak for å redusere sårbarheten, basert på informasjonen som er fremkommet i trussel- og sårbarhetsvurderingen, og redusere risikoen.

 

"Å si at det er sannsynlig at minst én norsk virksomhet blir rammet av terror i løpet av de neste fem årene, og derfor skal alle norske virksomheter sikre seg mot terror på samme måte, er ikke risikobasert sikring og har lite med god risikostyring å gjøre"

 

Et eksempel fra gateperspektiv: hver dag går politiet ut i gatene i Norge iført en lettvest som blant annet beskytter mot knivstikking. Sannsynligheten for at nettopp betjent Pedersen skal bli knivstukket er minimal, dersom man bruker statistikk eller frekvens som utgangspunkt. Dette bør imidlertid ikke være noen hvilepute for Pedersen. Vi vet nemlig at det finnes individer der ute med kapasitet og intensjon til å angripe politiet med kniv (eller at en slik intensjon kan oppstå i løpet av sekunder), og at knivskader raskt kan bli livstruende. Man velger derfor heller å se på det faktum at det eksisterer en reell trussel, og reduserer egen sårbarhet for å beskytte verdien; i dette tilfellet minimere skaden ved et angrep. Eller med Manuntas teori: man har en verdi, en trussel og en beskytter og dermed en sikringskontekst, og i sikringsprosessen reduserer man sårbarhet ved å bruke vest. Man kan selvsagt løfte problemstillingen opp utover den enkelte tjenestemann og si at sannsynligheten for at en polititjenestemann blir forsøkt knivstukket en eller annen gang er svært høy, og man derfor utstyrer alle med lettvest. Det fungerer greit i dette svært enkle eksempelet, men for eksempel å si at det er sannsynlig at minst én norsk virksomhet blir rammet av terror i løpet av de neste fem årene, og derfor skal alle norske virksomheter sikre seg mot terror på samme måte, er ikke en risikobasert tilnærming til sikring og har lite med god risikostyring å gjøre.

 

I sin rapport «Nasjonal sårbarhets- og beredskapsrapport (NSBR) 2011» presenterer Direktoratet for samfunnssikkerhet og beredskap (DSB) et «nasjonalt risikobilde» der ulike uønskede hendelser, tilsiktede og utilsiktede, er vurdert ut fra sannsynlighet og konsekvens. Et terrorangrep havner i dette bildet på moderat risiko, helt på grensen til lav. Dette skyldes blant annet at sannsynligheten for et slikt angrep er vurdert som lav.

 

Vi ble møtt med en del hevede øyenbryn for disse konklusjonene; det var tydelig kontroversielt å hevde at risiko knyttet til terror var høy.

 

På samme tid gjorde jeg og en kollega i konsulentvirksomheten jeg da jobbet for, en omfattende risikoanalyse for en stor statlig aktør. Med vår trefaktortilnærming vurderte vi terrorangrep som en moderat (og reell) trussel, sårbarheten som høy og mulige konsekvenser som høye. Samlet vurderte vi risiko knyttet til et terrorangrep som høy, og her medvirket også den usikkerhet som knytter seg til en slik trusselvurdering. Vi ble møtt med en del hevede øyenbryn for disse konklusjonene; det var tydelig kontroversielt å hevde at risiko knyttet til terrorhandlinger var høy, og argumentet var gjennomgående at sannsynligheten for et slikt angrep generelt var oppfattet å være liten.

 

Fire måneder etter DSBs rapport og en måned etter vår risikoanalyse detonerte Anders Behring Breivik sin bombe i regjeringskvartalet, etterfulgt av massakren på Utøya.

Nå er det, som jeg påpekte også i politieksempelet, forskjell på å gjøre en nasjonal risikoanalyse og en risikoanalyse for et bestemt objekt. Jeg tør likevel påstå at resultatene, altså hvor terrorangrepet havnet på den rangerte listen over risiko knyttet til forskjellige scenarioer, i disse tilfellene hovedsakelig kan forklares ved valg av metode. Dersom DSBs tilnærming var blitt anvendt til vår analyse ville risikoen havnet på moderat, ikke høy. Det er også grunn til å tro at terrorhandlinger ville havnet høyere på det nasjonale risikobildet hadde man anvendt en trefaktortilnærming. I dette tilfellet fikk vi dessverre fasiten kun uker og måneder etterpå. I DSBs nasjonale risikobilde året etter ble for øvrig ikke scenarioer knyttet til uønskede tilsiktede handlinger lenger vurdert ut fra et sannsynlighetsperspektiv, men behandlet spesielt.

 

Oppsummering

Det finnes mange måter å vurdere risiko på, og ingen av dem er vanntette, nøyaktige eller riktige. Risikoanalyse- og styring er kunsten å forsøke å skape mest mulig sikkerhet rundt håndteringen av mulige, fremtidige hendelser og vil aldri kunne bli en eksakt vitenskap med mindre man får tak i en krystallkule. Det finnes imidlertid verktøy som er bedre egnet enn andre ut fra jobben du skal gjøre, og overfor en antatt rasjonelt tenkende og kalkulerende motstander kan det argumenteres at en metodikk som er forankret i adferdsteori er å foretrekke.

 

"I en sikringssammenheng er det rett og slett lite interessant hvor stor eller liten sannsynligheten er for at en uønsket handling skal ramme nettopp deg eller din virksomhet"

 

I en sikringssammenheng er det rett og slett lite interessant hvor stor eller liten sannsynligheten er for at en uønsket handling skal ramme nettopp deg eller din virksomhet. Like lite interessant er det at noen der ute én eller annen gang kommer til å bli rammet. Står du overfor en for deg reell trusselaktør og de potensielle konsekvensene av et angrep er uakseptable, bør du ta skritt for å håndtere situasjonen på en hensiktsmessig måte.

 

Det er etter min mening kun en verdi-trussel-sårbarhetstilnærming til risiko som ivaretar særtrekkene rundt tilsiktede uønskede handlinger på en tilfredsstillende måte.

 

Kilder

• Aven, T., 2012. Risikotenkningen er fullstendig foreldet. Stavanger: Aftenbladet. Tilgjengelig på: http://www.aftenbladet.no/meninger/kommentar/Risikotenkningen-er-fullstendig-foreldet-3015836.html

• Clarke, R. V. and M. Felson (red.) 1993. Routine Activity and Rational Choice. Advances in Criminological Theory, Vol 5. New Brunswick, NJ: Transaction Books

• Cohen, L. E. and Felson, C., 1979. Social Change and Crime Rate Trends: a Routine Activity Approach. American Sociological Review, 44, s. 588-608

• Direktoratet for samfunnssikkerhet og beredskap, 2011. Nasjonal sårbarhets- og beredskapsrapport (NSBR) 2011. Tønsberg: DSB

• Direktoratet for samfunnssikkerhet og beredskap, 2012. Nasjonalt risikobilde. Tønsberg: DSB

• Hammerlin, J., 2009. Terrorindustrien. Oslo: Forlaget Manifest

• International Organization for Standardization, 2009. ISO 31000: 2009, Risk management – Principles and guidelines. Geneve: ISO

• Manunta, G. (1999) What is security? Security Journal, 12, s. 57-66

• Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste, 2010. En veiledning: sikkerhets- og beredskapstiltak mot terrorhandlinger. Oslo: NSM, POD og PST

• Politiets sikkerhetstjeneste, 2013. Risiko – en innføring. Tilgjengelig på: http://www.pst.no/blogg/risiko-en-innforing/

• Shuttleworth, M., 2009. Bayesian probability – Predicting Likelihood of Future Events. Explorable.com. Tilgjengelig på: https://explorable.com/bayesian-probability

• Standard Norge, 2012. SN 5830: 2012, Samfunnssikkerhet – beskyttelse mot tilsiktede uønskede handlinger – terminology. Oslo: Standard Norge