Metode for identifisering og rangering av kritiske samfunnsfunksjoner

Abstract

Prioritering av samfunnskritiske funksjoner og virksomheter er en politisk og ikke en teknokratisk prosess. Blind anvendelse av en metodikk til dette formålet er derfor lite hensiktsmessig – det må være klart hva prioriteringen skal anvendes til og hvilke ulike hensyn som skal tas i ulike prioriteringssituasjoner. Eksempler på beredskapsproblemstillinger med behov for prioritering er utpeking av nøkkelobjekter som beskyttes av militære styrker i en krisesituasjon, klassifisering kritiske infrastrukturer for å avklare hvilke som skal underlegges de hardeste sikkerhetskravene, og utpeking av sektorer som skal prioriteres med vaksiner i tilfelle en pandemi. Muligheten for prioritering er også et vesentlig aspekt av en nasjonal tverrsektoriell ROS-vurdering, hvor ulike sektorer, virksomheter eller til og med personer og stillinger kan ses mot hverandre. Prioriteringsproblematikken knyttet til IKT kan ikke bare inkludere IKT-systemene i seg selv, men må også inkludere brukerne som er avhengige av systemene. BAS5 har derfor utviklet en metode for identifisering og rangering av alle kritiske samfunnsfunksjoner, herunder alle kritiske infrastrukturer, og ikke bare kritiske IKT-systemer. Prosjektet har videre beskrevet et system for beslutningsstøtte, og ikke et system for automatisk prioritering. Dette betyr at relevante beslutningsmiljøer må involveres i bruken av metoden. I BAS5-prosjektet er ulike samfunnsfunksjoners kritikalitet knyttet til sårbarheten overfor ulike hendelser som kan ramme dem, i tillegg til betraktninger om deres vesentlighet eller viktighet for samfunnet. Det er derfor knapt mulig å prioritere kritiske samfunnsfunksjoner uten samtidig å gjøre seg opp en grunnleggende mening om hvilke risiko de er utsatt for eller utsetter andre for. Det vil si at det må forutsettes at det foretas risiko- og sårbarhetsvurdering (ROS-vurdering) på sektor- og virksomhetsnivå. Metoden som er utviklet beskriver hovedtrekkene for beslutningstøtte i situasjoner hvor det kan være nødvendig å prioritere mellom forskjellige kritiske samfunnsfunksjoner. Metoden er risikobasert, og inneholder to hovedaspekter. Det utvikles og forankres en permanent løpende prosess som involverer ansvarlige departementer og alle andre som har ansvar og kunnskap innen egen sektorer. Til støtte for denne prosessen brukes en teknikk som er ROS-basert, da antagelser om kritikalitet bør forutgås av nærmere analyse og vurdering Prosessen krever at ”noen” pekes ut til å samordne den på nasjonalt nivå, på tvers av ansvarsgrenser, at det ordinære ansvarsprinsippet utnyttes for å strukturere arbeidet, at det etableres tverrsektorielle felles prosedyrer, inklusive permanente fora med tett møtefrekvens og at det etableres tverrsektorielle standarder. Konkret valg av metodikk for ROS-analyse er overlatt til den enkelte sektor eller virksomhet, tilpasset dennes forutsetninger. Innrapportering av resultater fra ROS-analyse skal derimot foretas i et rigid standardisert format. Det forutsettes at det utvikles en enkel standard database for å håndtere informasjon på tvers av virksomheter og samfunnssektorer.

Making priorities about societal critical functions and entities is a political and not a technocratic process. The blind usage of a methodology does not meet the purpose – there must also be clear ideas about the purpose of priority and what other concerns that may have to be considered in different situations. The following are some examples of emergency planning problems that highlight the need for priorities: determining key assets to be protected by military forces in a crisis situation, classifying critical infrastructures to determine levels of security, and determining priority for vaccines during a pandemic. Making priorities possible is also a significant aspect of a national cross sector risk assessment, juxtapositioning sectors, entities, or even persons and positions. The problem of prioritising relative to ICT must not only include the ICT systems themselves, but also users that depend upon them. BAS5 has developed a method for the identification and ranking of all critical functions of society, not only critical ICT systems. Furthermore, the project has described a system for decision support, and not a system for making automatic priorities. This means that relevant decision making environments have to be involved in the use of the method. In the BAS5 project, the criticality of various sectors of society is related to vulnerabilities derived from various events that might befall them, in addition to thoughts about their significance or importance to society. It is therefore hardly possible to prioritise the critical functions of society without, at the same time, making up one’s mind about the risks that they are subjected to or subject others to. That means that risk assessments must be assumed to be performed at sector and entity levels. The developed method describes a system for decision support for situations that make prioritising between various critical societal functions necessary. The method is risk based, and contains two main aspects. Firstly, a permanent and ongoing process between ministries and others with responsibilities within their own sectors is established. Secondly and to support this process, a risk assessment based technique is applied, as assumptions about criticality should be preceded by some analysis and assessment. The process requires that “somebody” is appointed as coordinator at national level and across sectors, that the normal principle of sector responsibility is exploited to structure the work, that cross-sectoral common procedures are implemented, including the establishment of permanent fora meeting frequently, and the establishment of cross-sectoral standards. The choice of risk assessment methodologies should be left to sectors and entities, adapted to their particular circumstances. The reporting of results from risk assessments should however be subjected to a rigidly standardised format. It will also be necessary to develop a simple standard database for the management of cross-sectoral information.