For kraftselskap, sykehus og eiere av annen infrastruktur er det livsviktig å være forberedt på terroranslag, cyberangrep og ekstremvær. Ikke minst bør de vite om de er rustet til å reise seg raskt etter alvorlige hendelser. Nå kan slike evner måles.

Trusselbildet har endret seg dramatisk for alle viktige samfunnsfunksjoner de siste årene. Inntil nylig var «terror», «hacking» og «tusenårsflom» sjeldne ord i det norske nyhetsbildet. For alle som vil styrke samfunnets tåleevne mot slike trusler, finnes nå et nyutviklet redskap, født i EU-prosjektet Smart­Resilience. Dataverktøyet viser eiere av kritisk infrastruktur hvor de bør styrke sitt forebyggende arbeid.

Lenge baserte infrastruktureiere all sin beredskap på den strategien som skilpadder har brukt helt siden dinosaur-æraen. Det vil si: sette sin lit til harde skall. Mer presist uttrykt, har organisasjoner og virksomheter vernet sine bygninger, datasystemer og andre installasjoner best mulig.

Men det alene holder ikke lenger, av flere grunner. En av dem er at hackere har fått nye muligheter for å volde skade, siden «alt» nå er på internett. Samtidig har både terrorister og klimaet utvidet sitt repertoar.

Alt dette har fått flere virksomheter til å innse at de må lære ikke bare av skilpadden, men også av løvetannen. Nærmere bestemt å la seg inspirere av denne plantens evne til å reise seg igjen, gang på gang, etter at den slås ned.

I SINTEF har vi forsket mye på tåleevne de siste årene. Med det kombinerte skilpadde- og løvetannperspektivet som utgangspunkt, gikk vi inn i EU-prosjektet SmartResilience i 2016, sammen med 19 partnere fra 11 land.

Sammen har vi skapt et dataverktøy som eiere av kritisk infrastruktur kan bruke til å bedømme sin tåleevne – uten at de har vært gjennom ekstremhendelser, og uten at selv usannsynlige hendelser utelukkes. I denne artikkelen viser vi hvordan det er mulig å måle – og forbedre – slike egenskaper.

Sjekker samfunnets tåleevne

Funksjonen til metoden og dataverktøyet SmartResilience er – som navnet tilsier – å hjelpe eiere av kritisk infrastruktur med å styrke de evnene som på engelsk går under paraplybegrepet resilience. Det nærmeste vi kommer dette ordet på vårt eget språk er «robusthet», «motstandsdyktighet», «tåleevne», «seighet» og «tilpasningsevne». Men ingen av disse er fullt ut dekkende. Vi har likevel valgt å benytte begrepet «tåleevne» i denne artikkelen.

Det engelske resilience-begrepet brukes i mange sammenhenger og innenfor mange fagfelt. Et utall av definisjoner finnes. Dette gjelder også om vi avgrenser oss til kritisk infrastruktur. Det vi ofte finner i forskningslitteratur om forhold som påvirker «tåleevnen» til kritisk infrastruktur, er ulike varianter av det kretsløpet som er illustrert i Figur 1 (Øien m.fl., 2018), og som beskriver innholdet i begrepet.

Den samlede tåleevnen til virksomheter er et produkt av evner og egenskaper som kommer til syne gjennom fem tidsfaser før, under og etter en ekstremhendelse.

I tidsfase 1 avgjøres det om virksomheten gjør nok for å forstå risikoen.

I fase 2 avgjøres det deretter om virksomheten forutser godt nok hva som kan inntreffe, og om den forbereder seg godt nok på trusler og andre uøns­kede hendelser.

Fase 3 starter idet hendelsen oppstår. I denne fasen avsløres det om virksomheten gjennom aktive grep har økt sin evne til å stå imot og håndtere kjente og ukjente ekstreme påkjenninger.

Fase 4 viser om virksomheten har evnen til å komme seg raskt på fote igjen etter ekstremhendelsen. Og i fase 5 avsløres det om den evner å lære av hendelsen.

V-kurven for tap av funksjonsevne (se Figur 1) får sin form alt etter hva slags kombinasjon av skilpadde- og løvetannegenskaper den aktuelle kritiske infrastrukturen har. Begge typer egenskaper er nødvendige. Også egenskaper i fasene før og etter V-kurven påvirker hvor mye og hvor lenge funksjonsevnen er redusert eller uteblir. Andre metaforer kan kaste lys over hva som er viktig i disse fasene. For eksempel kan det å være forutseende i fase 2 illustreres med ei spåkone som ser inn i glasskulen.

Figur 1.

Resilience (tåleevne) innbefatter hele kretsløpet fra det å tenke tradisjonell risikoanalyse og beredskapsanalyse, til virksomhetskontinuitet – samt det å ta med seg lærdom fra hendelser tilbake til eget videre arbeid med beredskap. Resilience omtales derfor som et paraplybegrep (Setola m.fl. 2016), som illustrert i figuren.

Da Ukraina mistet strømmen

Overordnet sett handler resilience/tåleevne om å kunne takle «lyn fra klar himmel». Det vil si å forvente det uventede. Dette skiller resilience-tenkingen fra tradisjonelle risikoanalyser, der mye handler om sannsynligheten for hendelser.

Gitt at det veldig usannsynlige inntreffer: hvor godt vil en virksomhet tåle hendelsen? Det er dette tåleevne handler om. Tradisjonelle risikovurderinger, på sin side, ser ofte bort fra veldig usannsynlige hendelser. Normalt dekker disse vurderingene heller ikke gjenreisning etter en hendelse.

Hva som kan gå galt når tåleevnen ikke er god nok, ble åpenbart for verden gjennom to alvorlige hendelser i Ukraina. Strømnettet i landet ble utsatt for cyberangrep både i 2015 og 2017. Angrepet i 2015 var et komplekst og omfattende anslag mot tre strømleverandører. Hendelsen resulterte i at en kvart million mennesker ble uten strøm fra én til seks timer (Wikipedia, 2017). Nettopp strømnett er et eksempel på en kritisk infrastruktur – kritisk fordi deres funksjoner er vitale for samfunnet.

For å øke servicegraden til kundene er smart teknologi og intelligente systemer tatt i bruk i kritisk infrastruktur. Dette er opphavet til begrepet smart kritisk infrastruktur (SKI). Smarte egenskaper kan imidlertid også gjøre SKI-ene mer sårbare, for eksempel ved at de utgjør en inngangsport for hackere og cyberterrorister.

Behovet for å beskytte disse SKI-ene har vært erkjent i flere tiår. Konseptet Kritisk infrastrukturbeskyttelse (Critical Infrastructure Protection – CIP) er en frukt av dette, et tankegods som har fått både USA og EU til å opprette egne program for CIP. De senere årene er det imidlertid blitt erkjent at CIP ikke er tilstrekkelig, grunnet de stadig mer komplekse og gjensidig avhengige infrastruktursystemene (Homeland Security Advisory Counsil, 2006).

Det er ikke lenger nok å fokusere på beskyttelse av kritisk infrastruktur sektor for sektor mot hendelser som cyberangrep, terrorangrep og ekstremvær. Årsaken er at kompleksitet og gjensidig avhengighet i praksis gjør det umulig å forutse og forhindre alle scenarier. Når slike inntreffer – uansett hvor usannsynlige det er – så er det viktig for samfunnet at tap av kritiske funksjoner begrenses, eksempelvis ved at kritisk infrastruktur gjenvinner funksjonsevnen så snart som mulig etter en hendelse.

Dette har ført til et skifte i fokus fra CIP til CIR (Critical Infrastructure Resilience). En av fagfeltets eksperter sier det slik:

En tilnærming basert på tåleevne er en tilnærming som gradvis blir innført av nasjoner for å møte utfordringene og kostnadene ved å oppnå maksimal beskyttelse i en stadig mer kompleks omgivelse og for å håndtere begrensningene til den tradisjonelle scenario-baserte tilnærmingen til risikostyring, hvor organisasjonen kan mangle evnene til å håndtere risiko fra ukjente og uforutsette trusler og sårbarheter (Setola m.fl., 2016).

Ser hvor en by er mest sårbar

Flere metoder og verktøy for å analysere, vurdere og overvåke tåleevne er utviklet i EUs SmartResilience-prosjekt. I denne artikkelen presenterer vi basismetoden for vurdering av tåleevne. Den måler tåleevnen (RIL – Resilience Level) for SKI-er ved bruk av såkalte resilience-indikatorer. På norsk kalles den «RIL-metoden».

Denne metoden er basert på gjennomgang, tilpasning og videreutvikling av relevante referansemetoder som har sine røtter i teori om høypålitelige systemer (Wreathall, 2006), resilience-teknikk (Woods, 2006) og recilience for kritiske infrastrukturer (Fisher m.fl., 2010).

Hver av de fem fasene (vist i Figur 1) måles med indikatorer for hvert av de viktigste forholdene som påvirker hver av fasene.

Begrepet forhold står her for «faktor», «tilstand», «funksjon», «aksjon», «kapasitet», «evne», osv. som er viktig for å tåle/håndtere alvorlige trusler, som terrorangrep, cyberangrep og ekstremvær, altså hva som skal måles. Eksempelvis kan «trening» være en viktig «aksjon» i forutse-forberede-fasen (fase 2 i figuren).

En indikator er en beskrivelse av hvordan forholdet skal måles. Enhver form for indikator kan benyttes i RIL-metoden, dvs. det kan være ja/nei spørsmål, antall, prosent, frekvens, eller en annen type indikator. Eksempelvis kan det være «prosentandel av personell i et gitt responsteam som har tatt et gitt kurs».

Informasjon om hvilken by/kommune som skal undersøkes, hvilken infrastruktur som skal analyseres og hvilken type trussel som skal vurderes, mates inn i et dataprogram – eller et Excel-ark – sammen med de indikatorene som er gitt for ulike typer forhold i de forskjellige tidsfasene.

Ut kommer et totalresultat for tåleevnen til et geografisk område eller en spesifikk SKI – og i tillegg detaljerte resultater for hver fase og hvert forhold. Tåleevnen angis med en karakter, der A er best og E er verst. Både det overordnete utfallet og de detaljerte resultatene kan blant annet brukes til:

  1. Oppfølging av egen utvikling over tid (trend) og analyse av status

  2. Sammenlikning med andre (benchmarking)

  3. Oversikt over styrker og svakheter som viser hvor det er behov for forbedring

Verktøyet tilpasses hver enkelt bruker

Indikatorene for måling av tåleevne er identifisert og foreslått av casestudie-partnerne i SmartResilience-prosjektet. Disse dekker et bredt spekter av ulik kritisk infrastruktur. Indikatorene er samlet i en database som forslag («kandidater»). Dette vil si at brukerne av verktøyet velger de mest relevante indikatorene for deres infrastruktur ut fra forslagene i databasen. Men de kan også legge til nye indikatorer når dette anses nødvendig.

Forslag (kandidater) til forhold og indikatorer som er etablert i SmartResilience-prosjektet, er fremskaffet av prosjektpartnerne, ut fra standarder, retningslinjer og rapporter innen områder som risiko, sikkerhet, sikring, krisehåndtering, beredskap og virksomhetskontinuitet. I tillegg er noen indikatorer basert på hva casestudiepartnerne allerede bruker selv. Enkelte indikatorer er utviklet som del av prosjektet (bl.a. indikatorer basert på bruk av big data).

Totalt 233 forhold og 1264 indikatorer ble foreslått for ulike trusler, SKI-er og de fem fasene i tåleevne-syklusen frem til 2018. Etter dette har enda flere blitt lagt til.

Tabell 1 viser antallet av forhold og indikatorer som er definert i SmartResilience-prosjektet – fordelt på de fem fasene. I tillegg er noen forhold og indikatorer vurdert som relevante for alle fasene.

Tabell 1.

Antall forhold og indikatorer i hver fase (Øien m.fl. 2018).

Fase

Forhold

Indikatorer

Fase 1

Forstå risikoene

46

226

Fase 2

Forutse/forberede

93

520

Fase 3

Absorbere/motstå

45

236

Fase 4

Respondere/gjenvinne

39

180

Fase 5

Tilpasse/lære

20

95

Relevant for alle faser

10

182

Selv om et betydelig antall forhold og indikatorer altså har blitt samlet inn, så vil listen aldri bli komplett. Innholdet består kun av forslag/kandidater. Til syvende og sist er det alltid den enkelte brukeren som er ansvarlig for å finne et relevant og tilstrekkelig sett av forhold og indikatorer for sitt eget tilfelle.

Som en tommelfingerregel bør det for hver trussel benyttes minst syv til åtte forhold for hver fase, det vil si om lag 40–50 forhold. Disse måles som oftest med mer enn én indikator hver, slik at det totale antall indikatorer for hver trussel kan bli om lag 100–150. Det er imidlertid ingen fasit for dette.

Slik bruker du verktøyet

Dataunderlaget som inngår i Smart­Resilience-metoden, kan legges inn i et dataprogram som brukeren selv kjører, så lenge brukeren får en førstegangs innføring av spesialister som har vært med på å utvikle metoden og verktøyet. Alternativt kan opplysningene legges inn i et Excel-ark for enklere bruk. Også her vil det ved førstegangsetablering være behov for støtte fra spesialister.

Når dataunderlaget skal bygges opp, er det viktig å starte med å velge forhold. Man må vite hva man vil måle, og hvorfor. Først etterpå bør måleindikatorene velges. Gjøres dette i omvendt rekkefølge, kan viktige aspekter overses og ikke bli målt.

Alt etter hvilken infrastruktur og trussel brukerne ser på, kan de velge mellom forskjellige forslag til indikatorer og forhold. I fase 1 (forstå risikoene) kan forhold være risikoforståelse, inngående systemkunnskap og informasjon om kvaliteten på sikkerhetsbarrierene. Blackouten som cyberterrorister forårsaket i Ukraina i 2015, er et interessant eksempel. Forsto de ansvarlige risikoen for nettopp en slik hendelse? Beskyttelsesverktøy mot slike hendelser fantes nemlig, men de var ikke installert.

Dette bringer oss videre til neste fase (forutse/forberede). Her kan forhold være trusselovervåking, bruk av smart deteksjon/teknologi, redundans, beredskapsplanlegging og trening. Slike tiltak kan infrastruktureiere bruke til å nå tre mål: sikre at virksomheten er i stand til å unngå hendelser, dernest sikre at skaden blir minst mulig når en hendelse først skjer, samt sikre at virksomheten er i stand til å komme seg tilbake til normal drift så raskt som mulig.

De to siste årene har Norge hatt to tilfeller av alvorlige datainnbrudd. I januar 2018 opplevde Helse Sør-Øst et datainnbrudd hvor det ble spekulert i om en annen nasjon sto bak. I mars 2019 ble Hydro rammet av cyberangrep. Ukjente gjerningsmenn brukte her et løsepengevirus som stengte brukerne ute. I angrepet ble bedriftens filer kryptert, slik at de ble utilgjengelige for de ansatte.

Er det mulig å forhindre at slike hendelser skjer? Eller må vi innse at de kommer til skje igjen, og at det er minst like viktig å ha systemer som gjør at virksomhetene kommer raskt tilbake etter slike angrep?

Hva med det nye Regjeringsbygget?

Evne til å absorbere og motstå anslag (fase 3 i Figur 1) er uansett også viktig. Her måler indikatorene forhold som fysisk sikring, varsling, situasjonsforståelse, beslutningsstøtte og koordinering.

Hvordan kan vi for eksempel sikre det nye Regjeringsbygget, slik at det tåler ytre påvirkninger fra en eventuell eksplosjon fra utsiden? Kan det bygges med treverk øverst, men ha motstandsdyktig betong nederst? Skal bygget skjermes med fysisk sikring, slik at ingen kjøretøy kan komme helt inntil bygninger? Hva gjør slike fysiske sperringer med resten av bybildet? Og hvordan påvirker dette folks atferd? Et annet spørsmål er om nødetatene kommer frem.

I neste fase (respondere/gjenvinne) gjelder det å komme raskest mulig tilbake til den normale driften. Her kan forhold være beredskapsressurser, sanntids overvåknings- og kommunikasjonsteknologi, organisatorisk robusthet, improvisering/tilpasning og utholdenhet av beredskapsrespons.

Det finnes eksempler på at brannskader på infrastruktur har blitt ekstra omfattende, fordi brannbiler av rent fysiske årsaker har vært avskåret fra å komme seg til skadestedet. Når minuttene teller, kan det være avgjørende om en brannbil kommer frem med en gang.

Om det for eksempel var blitt gjennomført risikovurderinger i forkant av bybrannen som la et helt kvartal i aske i Trondheim i desember 2002, ville disse ha vist betydningen av at brannbilene ikke hadde atkomst til bakgårdene i kvartalet som brant. Dette kunne ha tvunget fram forebyggende tiltak, eksempelvis såkalte tørr-rørsanlegg som kan tilkobles slanger.

Hvordan lære av sine feil?

Den siste fasen i Figur 1 handler om å tilpasse seg og lære av hele hendelsesforløpet etter en ekstremhendelse. Viktige forhold er læring og forbedring, rapportering og organisasjonsendring. Lærdommen etter hendelser må føres tilbake til organisasjonen/virksomheten og innlemmes i dem, slik at disse står enda sterkere rustet neste gang en liknende hendelse inntreffer.

For å oppnå slike læringseffekter, må organisasjoner/virksomheter være villige til å endre seg. Effekter av tiltak bør også evalueres. Kanskje bør mange virksomheter mer systematisk også lære av det som har fungert bra og vært vellykket, både fra egne og andres erfaringer.

Når indikatorene summeres opp for forskjellige infrastrukturer og trusler, kan de brukes som et verktøy for en by eller et område til å se sin egen endring over tid, jf. Figur 2 (Øien m.fl., 2019).

Figur 2.

Tåleevnenivå for en tenkt by/infrastruktur over tid.

En by eller en landkommune kan i tillegg bruke metoden til å sammenlikne hver enkelt del av sin kritiske infrastruktur og se hvor eventuelle forbedringer trengs. All informasjon kan nemlig visualiseres i et diagram (såkalt tre-strukturdiagram) som inneholder alle opplysninger om status på hver enkelt indikator og for alle forhold, faser, trusler, SKI-er og til slutt et samlet geografisk område, jf. Figur 3 (som beskrevet i Barzelay m.fl., 2018).

Figur 3.

Tre-struktur for visualisering av tåleevnen på alle nivå.

En måling av tåleevne (RIL-vurdering) kompletterer risikovurderinger, men den er ikke en erstatning for disse. Risikovurderinger gir også verdifull input til en RIL-vurdering, spesielt i forhold til fase 1 – forstå risikoene.

Høy tåleevne gir mindre alvorlige konsekvenser

Et viktig formål med målinger av tåleevne, er å identifisere mulige problemer før de oppstår, slik at tiltak for å fremme samfunnets tåleevne kan planlegges og iverksettes etter behov, uavhengig av sannsynligheten for hendelser.

De fleste kritiske infrastrukturer i verden har aldri, og vil aldri, erfare en ekstrem hendelse. Likevel er slike hendelser mulig, og derfor er det nødvendig å vurdere tåleevnen. Høy tåleevne gjør det mindre sannsynlig at ekstremhendelser får store konsekvenser. Om skader likevel skulle inntreffe, så vil høy tåleevne bidra til at avbrudd og forstyrrelser i ettertid blir mer kortvarige enn de ellers kunne ha blitt.

Metoden har blitt testet i ulike virtuelle case i åtte europeiske land. Den har så langt ikke blitt anvendt i Norge. Dette ønsker vi i SINTEF å få til. Derfor har vi gjort resilience/tåleevne til ett av våre strategiske satsingsområder.

Referanser:

Barzelay, U., Shapira, I., Knape, T. and Klimek, P. (2018). SmartResilience D3.5: Interactive Visualization as support to indicator-based decision making. EU project SmartResilience, Project No. 700621.

Fisher R.E., Bassett G.W., Buehring W.A., Collins M.J., Dickinson D.C., Eaton L.K., … Peerenboom J.P. 2010. Constructing a resilience index for the enhanced critical infrastructure protection program, Argonne National Laboratory, Decision and Information Sciences Division, ANL/DIS-10–9, Argonne, IL, USA.

HSAC 2006. Report of the Critical Infrastructure Task Force. Homeland Security Advisory Council.

Setola, R., Luiijf, E., Theocharidou, M. (2016). Critical Infrastructures, Protection and Resilience. In R. Setola et al. (eds.), Managing the Complexity of Critical Infrastructures, Studies in Systems, Decision and Control 90, DOI 10.1007/978–3–319–51043–9_1.

Woods, D.D. 2006. Essential Characteristics of Resilience. In: N. Leveson, E. Hollnagel, and D.D. Woods (eds), Resilience engineering: concepts and precepts: 21–34. Aldershot: Ashgate.

Wreathall, J. 2006. Properties of resilient organizations: an initial view. In: N. Leveson, E. Hollnagel, and D.D. Woods (eds), Resilience engineering: concepts and precepts: 21–34. Aldershot: Ashgate.

Øien, K., Bodsberg, L., and Jovanović, A. (2018). Resilience assessment of smart critical infrastructures based on indicators. Safety and Reliability – Safe Societies in a Changing World – Haugen et al. (Eds). 2018 Taylor & Francis Group, London, ISBN 978–0–8153–8682–7.

Øien, K., Jovanović, A., Grøtan, T.O., Choudhary, A., Øren, A., Tetlak, K., … Jelic, M. (2019). SmartResilience D3.8: Assessing Resilience Level of Smart Critical Infrastructures based on Indicators. Update. EU project SmartResilience, Project No. 700621.