Áhættustjórnun

Áhættustjórnun, áfallaþol og hættumat

 Margir aðilar eru vafalaust að velta fyrir sér hvers vel starfsemi þeirra (eða heimili) eru búin undir hinar ýmsu náttúruvár sem gætu gengið yfir.  Í ljósi umbrota á Reykjanesskaga, þá er þetta svo sem ekkert óeðlilegt.  Höfundur hefur fengist við gerð áhættumats í hátt í 30 ár bæði hér á Íslandi og erlendis.  Vill hann hér miðla af reynslu sinni, þó í þessu tilfelli sé bara gefið gróft yfirlit.

(Biðst afsökunar að þessi færsla birst á vefnum betriakvordun.is, en vefurinn secprico.is er í vinnslu.)

Nokkrar grundvallarspurningar skipta máli:

·        Hvað á að verja?

·        Hverju á að verjast?

·        Hver eru líkleg áhrif af atburði?

·        Hver eru verstu áhrif af atburði?

·        Hvaða líkur eru á atburði?

·        Hvað er hægt að gera til að verjast atburði?

·        Hvernig er hægt að bregðast við atburði?

Hvert um sig verður skoðað nánar hér fyrir neðan.

Hvað á að verja?

Grunnur allrar áhættustjórnunar er að skilja hvað á að verja.  Almennt eru vísað til þessa sem verðmæti og í þeim öryggisstjórnstöðlum sem þýddir hafa verið á íslensku er það orð notað.  Skiptir þá ekki máli á hvaða formi verðmætið eða hvort hægt sé að setja á það fjárhagslegt gildi eða ekki.  Verðmæti geta því verið eitthvað áþreifanlegt eða óáþreifanlegt.  Meðal áþreifanlegra þátta eru innviðir, fólk, búnaður, húsnæði, o.s.frv.  Óáþreifanleg verðmæti eru alls konar rafræn upplýsingaverðmæti, orðspor, viðskiptavild, þjónusta, o.s.frv.  Verðmætalisti er því almennt fyrsta skjalið sem tekið er saman við gerð áhættumats.

Hverju á að verjast?

Orðið ógn eða ógnun er yfirleitt notað yfir það sem þarf að verjast, einnig hætta eða vá.  Hér er notað ógn.  Ógnir geta verið margvíslegar og aðili, sem framkvæmir áhættumat, þarf annað hvort að vera með frjótt ímyndunarafl eða hafa aðgang að sérfræðingum með góða þekkingu, hver á sínu sviði.  Hver ógn getur birst í fjölbreyttum myndum, með mismunandi áhrifum og afleiðingum.  Flestar ógnir úr raunheimum eiga það þó sameiginlegt að raungerast mjög sjaldan og jafnvel aldrei á líftíma þess aðila sem er að framkvæmda áhættumati, meðan þær sem tengjast rafheimum geta hamrað á upplýsingaverðmætum á hverri sekúndu.  Ógnir hafa því mismunandi áhrif, líkindi fyrir að gerast og mislangan endurkomutíma.  En til þess að ógn hafi áhrif, þá verður hún að hafa möguleika á því.  Til staðar þarf að vera veila (e. vulnerabilities) sem gerir ógninni að hafa þau skaðlegu áhrif sem verið er að meta.   Tvennt er mikilvægt að skilja í þessu samhengi.  Annað er, að séu engar ógnir, þá er ekkert til að verjast.  Hitt er, að séu engar veilur sem ógnirnar geta nýtt sér, þá verður enginn skaði, þó ógn raungerist.

Höfundur telur að þegar ógnir eru skoðaðar, þá sé sett í forgang að skoða annars vegar þær sem eru líklegastar og hins vegar þær sem geta valdið mestum skaða án tillits til þess hve líkt er að þær raungerist.  Hér þarf aftur að greina á milli raunheima og rafheima.

Hver eru líkleg áhrif af atburði?

Mjög misjafnt er hver áhrifin verða, ef ógn raungerist.  Það getur ráðist af staðsetningu, tíma dags, viku, mánaðar eða árs, mikilvægi verðmæta sem eru undir og þeim vörnum sem þegar eru til staðar.  Höfundur telur hins vegar að við gerð áhættumats eigi að meta fyrst áhættu án varna, því áhættumatið á að geta veitt vörnunum stuðning.  Rétt framkvæmd áhættustjórnun meðhöndlar alla áhættu og skilur enga óásættanlega áhættu eftir án þess að fyrst hafi verið reynt að draga úr henni með ráðstöfunum.  Slíkar ráðstafanir geta verið styrking varna, tilflutningur áhættu (t.d. útvistun rekstrar eða kaup á tryggingum) eða forðast hana.  Hafi ekki reynst mögulegt að koma áhættu niður á ásættanlegt stig, þá þarf ábyrgðaraðili viðkomandi eignar (eða áhættu sé sú nálgun notuð) að samþykkja umfram áhættu.

Hver eru verstu áhrif af atburði?

Áhrif af atburðum geta verið margvísleg, en mikilvægt er að skilgreina verstu niðurstöðu.  Ekki vegna þess að það sé endilega líklegast niðurstaðan, heldur vegna þess að það gæti gerst.  Þó verður að einskorða sig við það er raunhæft að geti gerst innan tímaramma áhættumatsins.  T.d. nái tímaramminn yfir 10 ár, þá eru líklegir verstu atburðir almennt allt aðrir og vægari, en sé verið að horfa til 50 ára, 100 eða 200.  Ekki það, að ólíklegt er að áhættumat fyrirtækis gert á einhverjum tilteknum degi, nái mikið fram yfir 100 ár, þó ekki væri nema vegna þess, að tækniframfarir eru óþekktar.  Sveitarfélög vilja mögulega að áhættumat vegna íbúðarbyggðar nái lengra fram í tímann.  Ekki er þörf á að fara lengra fram í tímann en að versta hugsanlega atburði.  Séu líkur á að versti hugsanlegi atburður, sem ógn tengist, geti átt sér stað á næstu 10 árum, þá er engin ástæða að skoða vægari atburði sem gætu orðið eftir 100 ár.

Framtíðin er hins vegar óútreiknanleg og versti hugsanlegi atburður, sem spáð var innan 300 ára, gæti orðið næsta dag, mánuð eða ár.  Komi fram vísbendingar um að styttra gæti verið í slíkan atburð en áður var talið, þá þarf að sjálfsögðu að endurskoða áhættumatið, viðbrögðin og varnirnar.  Að það hafi byrjað að gjósa í Fagradalsfjalli árið 2021 breytti ýmsu, færði endurkomutíma eldgosa þar niður í núll, jók áhættuna á umbrotum í nágrenninu, en létti mögulega spennunni af öðrum svæðum hvað jarðhræringar og eldsumbrot varðar.  Eldsumbrotin höfðu hins vegar engin áhrif á möguleg sjávarflóð sem gætu kaffært hluta höfuðborgarsvæðisins.

Hvaða líkur eru á atburði?

Mjög mismunandi líkur eru á atburðum og raunar er ekki skynsamlegt að nota sama alvarleikaskala fyrir tíðni allra atburða.  Bankakerfið verður fyrir árásum á hverjum degi, sem flestum er hrundið vegna varna sem settar hafa verið upp.  Það eru því miklar líkur á hverri klukkustund á slíkum árásum og talsverðar líkur á að þær hafi heppnast.  Persónuverndarbrot verða líklegast líka í hverri viku í kerfum banka, svo ég haldi áfram að taka banka sem dæmi.  Þannig eru miklar líkur á persónuverndarbrotum í hverri viku.  Þessar líkur eru hins vegar á öðrum líkindaskala en netárásirnar.  Því getum við ekki notað sama skalann fyrir báða atburðina, en við viljum vega þá til jafns, þar sem við viljum ekki draga úr alvarleika persónuverndarbrotanna, vegna þess að einhver annar atburður gerist oftar.  Munurinn á ólíkum líkindaskölum verður enn meira áberandi, þegar farið er að tala um náttúruvár.  Mestar eru líkur á afbrigðilegu veðri, en það verður samt ekki nema nokkrum sinnum á ári.  Sjávarflóð verða nokkrum sinnum á öld.  Stórir jarðskjálftar á 50 ára fresti.  Eldgos verða á 800-1000 ára fresti. 

Hvernig eigum við þá að meðhöndla áhættu af þessum mögulegum atburðum?  Í hvaða röð eigum við að gera það?  Í þessu tilfelli er gert ráð fyrir að hver atburður geti haft mikil áhrif, hver á sinn hátt.  Þetta verður áhættustjórnunin að geta ráðið við, en aðferð við forgangsröðun er undir hverjum og einum aðila komið.

Hvað er hægt að gera til að verjast atburði?

Meðhöndlun áhættu getur verið með þrennum hætti:  Varnir, tilfærsla eða forðast.  Í vörnum getur falist að innleiða tæknilegar eða skipulagslegar ráðstafanir.  Undir varnir fellur að dreifa áhættunni með því að hafa margar starfsstöðvar.  Tilfærslan er að færa áhættuna annað, t.d. með útvistun starfsemi með áhættan tengist eða að kaupa tryggingar, þannig að verði tjón, þá fær viðkomandi tjónið bætt.  Hægt er að forðast áhættuna t.d. með breyttum aðferðum eða færa starfsemina svæði sem ekki undir áhrifum hættunnar. 

Mögulegt er, að ekkert af þessu færi áhættuna niður á ásættanlegt stig samkvæmt skilgreiningu viðkomandi aðila á hvað telst ásættanlegt.  Því þarf að vera með áætlanir um samfelldan rekstur, viðbragðsáætlanir, neyðaráætlanir og viðreisnaráætlanir.  Þó ekki séu til slíkar áætlanir fyrir allar útgáfur af öllum mögulegum atburðum, þá byggist upp þekking um viðbrögðin sem hægt er að yfirfæra á aðra atburði.

Hvernig er hægt að bregðast við atburði?

Séu viðbragðsáætlanir og neyðaráætlanir til skjalfestar, þá eru þær það fyrsta sem er skoðað.  Neyðaráætlanir eru almennt notaðar þegar líf og heilsa fólks er í hættu.  Þær ná til rýmingar á húsnæði og landsvæðum.  Oft hefur við gerð neyðaráætlana uppgötvast að rýmingarleiðir eru ekki til staðar, þær óöruggar, lokaðar, notaðar sem geymslusvæði eða eru líklegast ekki nothæfar í algengustu tilfellum rýmingar.  Því er mikilvægur þáttur í gerð neyðaráætlunar að tryggja að rýmingarleiðir séu til staðar og nothæfar.  Ítrekað hefur mátt lesa, að mannskaði í eldsvoðum á skemmtistöðum hafi verið vegna þess að neyðarútgangar voru lokaðir með keðjum.

Viðbragðsáætlanir eru fyrir neyðarstjórnir og viðbragðsteymi til að vinna eftir.  Þar eru skjalfestar upplýsingar um viðbrögð eftir alvarleika, útkallslistar, viðbragðs- og neyðarstig, stjórnun á vettvangi og fleira þess háttar.  Það auðveldar alla viðbragðsvinnu að viðbragðsáætlanir hafi verið útbúnar, þó þær hafi ekki verið sérstaklega út búnar fyrir þær aðstæður sem komu upp.  Sé skipulag viðbragðsáætlunar rétt, þá er yfirleitt auðvelt að yfirfæra þær á ólíkar aðstæður.

Um höfund

Höfundur skjalsins er Marinó G. Njálsson, ráðgjafi á svið áhættustjórnunar, upplýsingaöryggis og persónuverndar.  Marinó var öryggisstjóri hjá Íslenskri erfðagreiningu frá 1997-2000 og hefur eftir það unnið sem ráðgjafi.  Hann hefur framkvæmt áhættumat hjá mörgum stórum fyrirtækjum.  Á Íslandi hjá VÍS, Landsbanka Íslands, nær öllum lífeyrissjóðum landsins, fyrir dómsmálaráðuneyti og ríkislögreglustjóra vegna Schengen upplýsingakerfisins, Valitor (nú Rapyd), nær alla grunnskóla landsins, nær alla leikskóla í landinu og hjá Lögreglustjóranum á höfuðborgarsvæðinu.  Utan Íslands hjá APMM (Danmörku), Nokia (Finnlandi), BMW vegna ISO/IEC 27001, TISAX og persónuverndar (Þýskalandi) og Økonomistyrelsen vegna persónuverndar (Danmörku), svo nokkur séu nefnd.  Í nýlegri umsögn úttektarmanns á vinnu höfundar kom fram:  „The risk assessment framework is very well documented and the approach is among the most mature the auditor has seen.“

Sé frekari upplýsinga óskað má senda tölvupóst á oryggi@internet.is

Aftur í Greinar og og pistlar