Gå till innehåll

I jakt på goda exempel på riskanalys (för IT-/infosäk) snubblade jag över en handbok från Socialstyrelsen1. Den bör bygga på vetenskap och beprövad erfarenhet, så det känns ju lovande... Nu kunde jag dessvärre avfärda metodiken snabbt genom att bläddra fram till riskmatriserna. Riskmatriser är i sig fundamentalt trasiga2, men det finns olika grader av problem.

Jag hoppas jag har missförstått detta, men det ser inte bra ut.

Beräkning av riskpoäng

Metodiken bygger på beräkning av riskpoäng för identifierade risker. Jag har klippt ut några essentiella delar.

Konsekvens

För risker bedömer man allvarlighetsgraden av dess konsekvens enligt tabell nedan. (Bilder är från handboken sidan 46 och framåt.)

socialstyrelsen-konsekvens

Kriterierna i sig har jag ingen åsikt om, det är tilldelningen av allvarlighetsgrad 1 till 4 som är problematisk. Summan av 4 st obehag är lika med 1 död. Svårt med folklig förankring här tror jag.

Sannolikhet

socialstyrelsen-sannolikhet

Sannolikheten bedöms på en skala 1 till 4. En gång på ett år blir 1 och 365 på ett år blir 4. Inte bra.

Och så riskmatrisen...

Den i nästan alla riskanalyser obligatoriska matrisen, här med ett lite annorlunda koordinatsystem men med den klassiska multiplikationen. Det är inget matematiskt fel på "Sannolikhet x Konsekvens", men det gäller ju att stoppa in något bättre än godtyckliga ordningstal i ekvationen.

socialstyrelsen-riskmatris

 

Dagligt obehag är likvärdigt med ett dödsfall per år!

Vi kan nu se att en risk som vi bedömer kommer att skapa obehag (1) dagligen (4) ger oss riskpoäng 4, vilket är samma riskpoäng som en risk som medför ett dödsfall (4) varje år (1), och samma som att en patient i månaden (2) får en utökad vårdepisod (2).

Vilken risk ska vi prioritera att åtgärda om vi bara har pengar till att lösa ett problem? Spelar ingen roll!

 

Förbättringsförslag

Till att börja med så tycks det inte finnas något vetenskapligt stöd för att Socialstyrelsens metod fungerar, det är ett problem även om det är väntat. Metoden ger heller inget stöd för att prioritera åtgärder. En risk med ett högre riskvärde är inte med nödvändighet viktigare att hantera än en risk med ett lägre (övriga omständigheter lika).

Om man nu vill behålla matrisen (vilket det egentligen inte finns någon vettig anledning till) så skulle man ändå kunna förbättra den genom att tilldela värden för sannolikhet och konsekvens som har verklighetskoppling. Sannolikheten är enkel, vi kan t.ex. ange frekvensen per år vilken redan framgår av Socialstyrelsens tabell. Konsekvensen kan översättas till kostnad i kronor för människoliv och annan skada. Myndigheter räknar på kostnaden för människoliv i andra situationer, så varför inte i riskanalyser.

Med googlade kostnader för liv och hälsa så konstruerade jag lite snabbt följande nya "riskmatris". (Färgskalan rött-vitt blev lite tråkig eftersom det är väldigt dyrt att ta livet av en patient/dag.)

socialstyrelsen-riskmatris-ng

Uppdaterad riskbedömning

Nu är det ca 5 gånger så dyrt med ett årligt dödsfall som för det dagliga obehaget. Även om liv fortfarande kan tyckas vara lågt prioriterat så är vi i alla fall närmare en bedömning som känns rimlig.

Vi kan också se att den månatliga ökningen av vårdepisod för en patient nu bara kostar en tredjedel av det dagliga obehaget. Känns ganska rimligt.

Sammanfattning

Detta var bara ett snabbt nedslag i en detalj i en metodbeskrivning, men:

  • Det finns generella och stora problem med metodiken för riskanalyser inom det offentliga, och naturligtvis även inom det privata.
  • Vi måste våga att kvantifiera!
  • Osäkerhet i bedömningar måste redovisas!

Jag hoppas kunna återkomma med inte bara gnäll, utan även något mer konstruktivt.

Aktuellt kl 21 i kväll frågade ”Hur stort är hotet [från terrorister] mot Europa i dag?”. Hans Brun, terrorismforskare vid King's College svarar att ”Säpo […] har sagt sedan hösten 2010 att det finns ett förhöjt hot mot både Sverige och Europa, och den bedömningen tycker jag är både realistisk ganska sansad”. Han lägger även till att ”Problemet är att det räcker med att en eller två personer bestämmer sig för att göra någonting i Europa för att de ska få katastrofala konsekvenser”, och att ”Det finns ett ganska konkret hot”.

Om man nu tittar på Aktuellt för att lära sig något, vad ska man då tro? Ordet "förhöjt" säger ingenting om nivån vi kom ifrån eller ligger på, så den första utsagan bortser jag ifrån. Däremot har vi faktiskt fått fram sannolikheten (typ) "ganska konkret hot" och konsekvensen "katastrof". Där finns kanske lite att jobba vidare med...

Terrorism vore inte terrorism om den inte försökte störa demokratin och injaga fruktan, men om man i stället snävar ner konsekvensfrågan till död, hur stort är då hotet? Hur man än skulle räkna är risken att drabbas minimal om man ställer det i relation till andra vardagliga risker som t.ex. hala badkar och bilåkning.

Problemet är att om det är något som injagar fruktan så är det att svepande prata om katastrofala konsekvenser och ökade hot utan att relatera till något konkret och helst kvantifierbart.

Bristen på underlag till rationella beslut igen känns igen allt för ofta inom informationssäkerhetsområdet.