Tror du på din egen ROS-analyse?
Grunnlaget for et godt beredskapsarbeid er bevissthet og kunnskap om risiko og sårbarhet. En helhetlig risiko- og sårbarhetsanalyse (ROS) er et godt grunnlag for et målrettede arbeid med forebyggende arbeid, styrket beredskap og bedre evne til krisehåndtering. Men tror du på din egen ROS-analyse?
ROS-analysen skal forsøke å synliggjøre hvilke uønskede hendelser som kan komme til å skje, sannsynlighet for de inntreffer, sårbarhet som påvirker sannsynligheten og konsekvensene, hvilke konsekvenser hendelsen kan få og usikkerheten knyttet til vurderingene.
Men er forutsetningene riktige – og med det risikovurderingen god nok?
“It is likely that unlikely things should happen”
― Aristoteles
Svært mange offentlige og private virksomheter gjennomfører ikke en ordentlig ROS-analyse. Blant de som gjør et forsøk, ender den dessverre alt for ofte opp i en perm i en hylle og blir ikke brukt til risikoreduserende tiltak eller bedret beredskap. I de tilfellene har ROS-analysen ingen verdi.
Men selv hos de som gjennomfører en analyse og faktisk bruker den for å redusere risiko og sårbarhet, har den noen klare svakheter. En av de er menneskelig, og handler om hvorvidt de som gjennomfører analysen har tilstrekkelig kunnskap om risiko, sårbarhet og konsekvenser.
Risiko er en vurdering av om en hendelse kan skje, konsekvensene hvis den skjer og usikkerhet knyttet til dette. Sannsynlighet brukes om hvor trolig vi mener det er at en bestemt hendelse vil inntreffe. Når risiko skal vurderes, kreves med andre ord en viss kunnskap. Det gjøres også noen forutsetninger og antakelser og kunnskapen kan være begrenset. Sannsynlighetsvurderingen kan også farges av subjektive oppfatninger som er feil. Det er eksempelvis langt mer sannsynlig at du havner i en ulykke i bilen på vei til flyplassen, enn i en flyulykke under flyturen. Likevel er det flyturen mange er redde for. På samme måte kan risikobildet og sannsynlighet bli farget av personlige oppfatninger og ikke minst av historien: Det har ikke skjedd før, så det skjer neppe nå heller.
DSB har gjort risikoanalyser av alvorlige farer og trusler mot samfunnet i mer enn ti år, og 2019-rapporten inneholder analyser av 25 tenkte, uønskede hendelser.
De to hendelsene som DSB da mente utgjorde størst risiko, var begge helsehendelser: Pandemi og legemiddelmangel. Deres scenario for en global pandemi var skremmende treffsikkert.
Den pågående pandemien er altså et eksempel på en trussel som – tross at den var behørig beskrevet som scenario i DBS-rapporten – svært få virksomheter eller det offentlige Norge var forberedt på. Eller som Erna Solberg sa det til NRK;
“Norge hadde planlagt for en influensapandemi, ikke for en pandemi som krevde nedstenging av samfunnet.”
Vi vet aldri når en uønsket hendelse rammer oss som samfunn, eller hva den uønskede hendelsen består av. Det er heller ikke slik at fordi en hendelse ikke har inntruffet tidligere, er sannsynligheten liten. Det kan skyldes flaks, eller endrede utenforliggende forhold som endrer risiko og sårbarhet. For risiko og sårbarhet er ikke statisk – de endres hele tiden. Flere faktorer som hver for seg ikke er kritiske kan også SAMMEN gjøre at risikobildet endres. Der ligger en annen av svakhetene med mange ROS-analyser. Trusselbildet er ikke statisk, men mange analyser tar ikke hensyn til dette. Mange tar også i for liten grad inn hendelser utenfor organisasjonen som endrer trusselbildet. Den globale pandemien er ett eksempel på dette. Ekstremvær, skred, flom og langvarig ødeleggelse av infrastruktur og ekom-tjenester er andre eksempler som kan påvirke organisasjonens trusselbilde.
I rapporten Analyser av krisescenarioer 2019 skriver DSB at ” En annen type hendelser med svært alvorlige konsekvenser, er digitale angrep mot kritisk infrastruktur.”
9. januar 2021 ble Østre Toten kommune offer for et stort dataangrep, det hittil verste som har rammet noen norsk kommune. Fem måneder senere er de fortsatt ikke tilbake i ordinær drift og alle kommunens tjenester er påvirket. De økonomiske konsekvensene av dataangrepet er usikre, men er ved utgangen av april 2021 har kostnadene allerede passert 30 millioner kroner.
“Dette har vært en utrolig krevende periode. Vi har virkelig stått på bar bakke”
Ordfører Bror Helgestad, Østre Toten kommune til NRK
Det var nok tilfeldigheter som gjorde at det var Østre Toten som ble rammet, og ikke en annen av Norges 356 kommuner. Hvor mange norske kommuner er i samme situasjon som Østre Toten? Og viktigere – hvor mange av dem har nå revidert sine ROS-analyser og revurdert sannsynligheten for å bli utsatt for et cyberangrep? Hvor mange har vurdert om det er endringer i sårbarhet nå som pandemien har tvunget en stor del av de ansatte over på hjemmekontor, der de er på nett fra dels åpne, usikrede hjemmenett? Gjør det at organisasjonen er mer sårbar for angrep?
Digitale angrep er heller ikke unikt for kommunesektoren. I mars 2019 ble Hydros IT-systemer lammet av et tilsvarende cyber-angrep i form av et løsepengevirus som påvirket driften i flere av selskapets forretningsområder. Angrepet kostet Hydro 600 millioner kroner, ifølge kvartalstallene fra juni 2019.
8. mai 2021 bekreftet også det amerikanske selskapet Colonial Pipeline at de var rammet av et angrep med løsepengevirus. Angrepet førte til midlertidig stans i driften av oljerørledninger som leverer rundt 45 prosent av alt drivstoff på USAs østkyst.
Cybertrusselen har generelt vært økende de siste årene. Eksempelvis ble over 20.000 selskaper og myndigheter rammet av et angrep mot Microsoft Exchange i 2020.
Men hvor mange organisasjoner har gjort en revurdering av denne trusselen og revidert sine ROS-analyser? Regjeringen har fått kritikk for ikke å ha vært forberedt. Hvordan står til i din organisasjon?
De færreste kan med hånden på hjertet si at de var forberedt på en pandemi med de konsekvensene vi nå opplever. Men har dere nå vurdert de endrede forutsetningene for organisasjonens trusselbilde slik at dere kan gjennomføre risikoreduserende tiltak og være bedre forberedt før den neste uønskede hendelsen?
For en ting er uansett sikkert: Uønskede hendelser vil skje, og organisasjoner og samfunnet vil bli utfordret. Å erkjenne dette er en viktig forutsetning for et godt beredskapsarbeid.
På tide å blåse støv av ROS-analysen og revidere den?
Analyser av krisescenarioer 2019 | Direktoratet for samfunnssikkerhet og beredskap (dsb.no)
Jan Terje Sæterbø
Jan Terje er Prosjekt- og sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder, og har også en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet.
