Sjekker samfunnets seighet
Vil alle banker, sykehus og kraftselskap komme raskt på fote om de blir rammet av ekstremhendelser?
Faren for avanserte hackerangrep, fysiske terroranslag og ekstremvær har gjort samfunnssikkerhet til et brennhett tema verden over. Dagens trusselbilde har samtidig endret oppfatningene om hva som må til for å sikre viktige samfunnsfunksjoner.
Nå kommer etterlengtet verktøy som vil vise eiere av kritisk infrastruktur – alt fra samferdsel til finans – hvor forbedringsbehovet er størst.
Vant til å gjøre som skilpaddene
Før kunne eierne av slik infrastruktur gjøre som skilpaddene: sette sin lit til harde skall. Enten vi snakker om energiselskap, vannverk eller transportselskap, bruker de stort sett samme medisin mot aktuelle trusler.
De beskytter bygninger, installasjoner og datasystemer så godt som mulig – og så blir det gjerne med det.
Men verden er endret. Fordi “alt” er på internett, har hackerne fått nye muligheter for å utrette skade. Terrorister har utvidet sitt repertoar, og klimaet blir stadig mer ekstremt.
Dette har fått mange til å enes om en ny resept for sikring av den kritiske infrastrukturen. Beskyttelsestiltak alene er ikke lenger tilstrekkelig.
Bør lære av løvetann også
Den nye oppskriften er å gi kritisk infrastruktur egenskaper som på engelsk kalles “resilience”. Alternative ord på norsk er “robusthet”, “motstandsdyktighet”, “tåleevne”, “seighet” og “tilpasningsevne”, men ingen er fullt ut dekkende.
Nytenkningen betyr uansett at de aktuelle virksomhetene bør låne egenskaper ikke bare fra skilpadder, men også fra løvetann – og særlig la seg inspirere av ugressplantens evne til å vokse opp igjen og igjen etter nedklipping.
Metodikk for egenskapsmålinger
EU ønsker at det skal bli mulig å måle de nødvendige egenskapene – for så å få brukt resultatene til å forbedre sikringen av kritisk infrastruktur.
I det felleseuropeiske forskningsprosjektet “SmartResilience”, er vi i Sintef i gang med å utvikle metodikk for slike målinger.
I fokus står farer knyttet til mulige hackerangrep, terroranslag og ekstremvær. Det som skal måles, er virksomhetenes egenskaper i fem ulike faser:
Har de gjort det de må for å forstå risikoen? Har de deretter forberedt seg på trusler og uønskede hendelser? Har de gjennom aktive grep økt evnen til å stå imot og håndtere kjente og ukjente fenomen, til å komme seg raskt på fote igjen etter ekstremhendelser og til å lære av disse?
Vidt spekter av sektorer
I prosjektet dekker vi sektorer som energi, vann, helse, finans, kjemisk produksjon og transport. Måleverktøyet består av spørsmål knyttet til tema som representanter for de enkelte sektorene anser for viktige.
Vår samarbeidspartner innenfor kjemisk industri, et serbisk konsern, har for eksempel definert “risikoregistre” som ett av flere viktige tiltak innenfor fasen “risikoforståelse” i sin sektor.
Derfor har vi lagd spørsmål som går på om slike registre finnes og om de brukes i beslutningsprosesser.
Svarene gir poeng. Scoren blir et mål på virksomhetens “resilience”. En by vil dermed kunne sammenlikne hver del av sin kritiske infrastruktur og se hvor eventuelle forbedringer trengs.
Blackout i Ukraina
Behovet for å inkludere risikoforståelse, går klart fram av en alvorlig hendelse i Ukraina lille julaften 2015. Da satte cyberterrorister for første gang i historien et strømnett ut av spill. Blackouten rammet nær en kvart million strømkunder.
Angrepet var velorganisert. Like fullt finnes beskyttelsesverktøy som ville redusert skadevirkningene – om det bare hadde vært installert.
Simulerer ekstremhendelser
I prosjektet utvikler vi også metoder for stress-testing gjennom simulerte ekstremhendelser. Disse vil vise hva en kritisk infrastruktur tåler.
Hadde atomkraftverket i japanske Fukushima gjort en slik test før flodbølgen kom i 2011, kunne det blitt avdekket at beskyttelsen mot tsunamier var for dårlig, og forbedringstiltak kunne vært iverksatt.
Alt i alt tror vi at et felleseuropeisk målesystem som identifiserer og høyner statusen til “løvetannegenskaper” som et viktig supplement til “skilpaddeløsninger”, vil bidra til at viktige samfunnsfunksjoner ivaretas under kriser.
Innlegget sto første gang i Dagens Næringsliv fredag 27. oktober 2017 og gjengis her med DNs tillatelse.