SAMRISK-II: New Strains of Society – hidden, dynamic and emergent vulnerabilities
Teknologi og infrastruktur blir stadig mer sammenflettet, organisasjoner og nasjoner knyttes tettere sammen gjennom transport, kommunikasjon og økonomi. Denne utviklingen fører også med seg nye belastninger for samfunnet, som for eksempel avhengighet av datasystemer, at ressurser er forutsatt brukt av flere aktører, at det oppstår nye former for kriminalitet, eller at politiske, militære og sivile motiver og handlingsforløp og -mønstre kombineres.
Slike sårbarheter kan skape kriser, men samtidig kan nettopp krisen være den anledningen der nye sårbarheter avdekkes, enten av noen som føler eierskap til dem, eller av noen som rett og slett bare rammes av konsekvensene. Er samfunnet, herunder evnen til kriseledelse, tilstrekkelig rustet til utfordringene vi kan stå overfor?
Tradisjonene for sikkerhetsstyring og risikovurdering hviler på forestillinger om kontroll og ansvar. Risiko må oversettes til kontrollerbare størrelser, og noen må eie problemet. Hva om truslene er grenseløse? Hva om ingen eier dem? En allegori illustrerer dette: Hvis man bor i et hus med mange rom og ulike beboere, kan ikke sikkerheten ivaretas rom-for-rom, samme hvor god den enkelte rom-analyse er. Noen må så å si rive av taket, komme seg opp på veggen og se det større bildet; hva som er på den andre siden av veggene, hvilke forbindelser som finnes mellom, hvordan huset fungerer.
I prosjektet som omtales her var oppmerksomheten rettet mot det vi kaller skjulte, dynamiske og «emergente» (oppkommende, fremvoksende) sårbarheter. Dette er sårbarheter som kan være ukjente i enhver betydning: ignorert, glemt, aldri tenkt på, umulig å identifisere, feiloppfattet eller underestimert. Prosjektets mål var et analytisk rammeverk for å forstå, identifisere og håndtere denne typen nye samfunnsmessige belastninger.
For å anerkjenne nye utfordringer må vi godta at nåværende risikotilnærminger kan komme til kort. Nye trusler og mulige konsekvenser i form av ukjente belastninger for samfunnet krever ny tenkning og nye tilnærminger til risiko og sårbarhet. Oppmerksomheten vendes dermed mot komplekse landskap av risiko, som involverer flere systemer som kan generere, overføre og omplassere risiko. Vi kaller samlingen av disse trusselbildene for «trussellandskap» – landskap som involverer flere systemer i samspill. Vi åpner dermed for at flere scenarier griper inn i hverandre – med muligheter for overføring og eskalering.
Prosjektet setter disse problemstillingene helt på spissen med mål om å utvikle og utprøve metoder for å stress-teste (belastningsteste) samfunnets evne til å møte nye trusler og sårbarheter. Vi retter også stress-testen mot oss selv som fagpersoner: Hvordan evner eksisterende risikotilnærminger å forklare samfunnets nye belastninger? Kan eksisterende metodikk noen gang kunne imøtekomme de nye utfordringene? Hvor ligger metodenes begrensninger?
Prosjektet tok utgangspunkt i tre ulike trussel-landskap:
• IKT-basert infrastruktur, der bl.a. «cyber-fysiske» egenskaper, f.eks. i energiforsyningen, sto i fokus. Her ble det lagt spesielt vekt på en komparativ tilnærming mellom Norge og USA.
• Petroleumsvirksomhet i nordområdene, med bl.a. lange avstander og responstider, klimatiske utfordringer og begrensede ressurser.
• Samfunnets respons på pandemiske sykdomsutbrudd.
Hvert av disse kan beskrives som trussel-landskap, men de kan også gripe inn i hverandre. IKT kan beskrives som «infrastrukturenes infrastruktur». En pandemi-situasjon kan på sin side underminere ethvert premiss om fleksibilitet og tilgang på ressurser i en krisesituasjon.
En ny tilnærming tar form: fra statiske bilder til levende landskap
Prosjektet har undersøkt og beskrevet konkrete digitale sårbarheter på komponent- og systemnivå i kritisk energi-infrastruktur med bl.a. cyber-fysiske problemstillinger, og med et komparativt perspektiv på Norge og USA. Med forankring i disse er det også skissert og utdypet trussel-landskap som går på tvers av samfunnsmessige sektorer og ansvarsområder, primært knyttet til oljevirksomhet i nordområdene med strømforsyning fra land, og med uvanlige kombinasjoner av hendelser (f.eks. inkludert pandemi-situasjon).
Selv om resultatene ikke kan beskrives som ferdige metoder, har prosjektet bidratt med kritisk tenkning og praktiske tilnærminger med potensiell stor nytte i en tid der potensialet for alvorlige forstyrrelser av kritisk infrastruktur, kritiske samfunnsfunksjoner samt de grunnleggende premissene for samfunn og fellesskap trues. Selv om trussel-landskapene ikke er fullt utviklet (og aldri kan bli det) har de bidratt til å illustrere samfunnets digitale sårbarhet og (mangelfulle) bæreevne i lys av svært alvorlige nasjonale og internasjonale hendelser og situasjonsbeskrivelser både før, under og etter prosjektperioden. Prosjektet bidrar til bedre forberedelse overfor et mer komplekst og sammensatt trusselbilde gjennom en portefølje av metodiske tilnærminger.
En «take it to the limit» tilnærming gjør det mulig å sette på spissen og deretter kombinere avgrensede, innforståtte og tilvante trusselbilder, slik at disse kan forstås som trussel-landskap som gjør det lettere å anerkjenne krysskoplinger og kaskadeeffekter som berører flere parter på nye måter, for deretter å kunne stress-testes.
Ny digital sårbarhet kan slå ut på mange områder og i mange grenseflater. En “Big Cyber” sensiteringsmodell kan brukes til å forstå nåværende og fremtidig digital sårbarhet, angrepsflater og angrepsvektorer, i lys av de disruptive, men også fristende mulighetene som en teknologi i hurtig utvikling tilbyr individer, organisasjoner og samfunn.
En tilnærming for stresstesting av trussel-landskap må ikke bare søke grensene der sammenbrudd og svikt oppstår, men også inkludere utforsking av eksisterende motstandsdyktighet og tåleevne («resiliens») ved disse grensene. Et «resiliens-landskap»-konsept som vektlegger betydningen av varierte menneskelige og organisatoriske forutsetninger og kontekster som sentrale aspekter for oppnåelig og realistisk motstandsdyktighet og tåleevne (resiliens) på aggregert nivå er derfor utviklet.
Spillbasert tilnærming til resiliens kan brukes til å avdekke, utforske og utvikle resiliente egenskaper til enkeltaktører som kan inngå i et polysentrisk resiliens-landskap der aktørene, individuelt og i fellesskap, øver på egen og andres bidrag og forventninger, f.eks. gjennom brettspillet TORC (Training for Operational Resilience Capabilities).
Tradisjonene for sikkerhetsstyring og risikovurdering hviler på forestillinger om kontroll og ansvar. Hva om truslene er grenseløse? Hva om ingen eier dem?
En diskursiv tilnærming for å levendegjøre felles forståelse av sårbarheter, trusler og farer, samt gjensidig anerkjennelse av resiliente kapasiteter på ulike premisser, er viktig for å opprettholde de ønskede egenskapene over tid.
Både planleggere, strategisk og operativ kriseledelse og «first responders» har behov for å skaffe seg innsikt i det større trusselbildet. Fokusering på trussel-landskaper er et konstruktivt bidrag til dette.
Resiliens-tenkning vil være et viktig bidrag til bygging av nødvendige kapasiteter for å takle det uventede. Det er imidlertid viktig at bruken av slike tilnærminger ikke glemmer de ulike aktørenes ulike forutsetninger. Hvis ytelsen til de beste aktørene, med maksimalt «klaff», blir normen for alle aktører, sitter man igjen med en oppskrift på skuffelse. «Resilience as imagined» hjelper ingen. Landskaps-orientering og trening vil bidra til å skape en realistisk forventning til resiliente egenskaper, og unngå at strategisk og operativt nivå mister kontakten når krisen håndteres.
Grunnlaget for en slik kapasitetsbygging ligger i en evne og vilje til å se det større bildet, forberede seg på dynamikken i dette, men samtidig forbli «prepared to be surprised». Det er ikke nok å nøye seg med å ha kontroll på sitt eget rom, være glad for at taket er tett, og at døren er lukket. Før eller siden går døren opp, og en ukjent verden kommer inn. Dette gjelder sivil så vel som militær sektor.