Grov analys av olika typer av fel

Den enklaste typ av analys som kan genomföras då materialet rörande det aktuella systemet samlats in är att göra en i huvudsak kvalitativ analys av sårbarheten i systemet. Detta innebär exempelvis att varken sannolikheter för olika riskscenarier eller beroenden mellan olika element i systemet behöver kvantifieras. Ibland kan det dock vara önskvärt att kvantifiera konsekvenserna av ett visst scenario.

Analyser av det här slaget kan med fördel genomföras i form av en seminarieövning där ett flertal personer från de berörda aktörerna deltar. Målet med analysen är att producera en uppsättning riskscenarier som kan tänkas inträffa om en specifik störning drabbar systemet, d.v.s. en uppdelning av riskscenariorymden (se kapitel 2). Som en inledande metod för att göra en grov klassificering av scenarier kan man beakta olika typer av ”fel” i det system som man studerar. Den första typen av fel som är förhållandevis enkel att skydda sig mot och därför en av de första typerna som bör studeras är enskilda fel. Komplexa system kan vara sårbara för enskilda fel om det finns delar i systemet, agenter eller artefakter, som många andra agenter och artefakter är beroende av. Det primära skyddet mot

enskilda fel är redundans. Ett exempel på ett redundant system är då man har två reservkraftgeneratorer i ett tekniskt system. Om en av generatorerna av någon anledning inte fungerar kan den andra försörja systemet med ström.

I praktiken kan en sådan analys genomföras med hjälp av kartläggningen av systemets element (agenter och artefakter). Genom att successivt gå igenom de olika elementen och fråga sig ”Vad händer med de andra elementen om det här elementet inte fungerar?” kan man snabbt få en uppfattning om vilka element i systemet som har en stor potential att orsaka negativa konsekvenser i systemet.

Den här typen av analys liknar en så kallad What if-analys som brukar användas inom processindustrin. Analysen innebär inte att man behöver definiera något specifikt hot utan riskscenariorymden kan sägas bestå av alla de möjliga scenarier som medför att något av elementen i systemet inte fungerar, oavsett vad det var som orsakade det. Resultatet från analysen blir ett antal riskscenarier där påfrestningen på systemet består i att olika element slutar fungera som de ska. För vart och ett av dessa scenarier skall det också finnas en beskrivning av konsekvenserna.

En annan typ av fel som kan vara svårare att upptäcka och skydda sig mot är så kallade ”common cause failures”. När det gäller komplexa system är detta en typ av påverkan som kommer från systemets omgivning, men som får flera delar i systemet att sluta fungera. Genom diversifiering, d.v.s. att alla komponenter i systemet inte är av samma typ, kan ett visst skydd erhållas mot den här typen av fel. Att inte bara förlita sig på en typ av tekniskt system för någon viktig krishanteringsfunktion, exempelvis genom att ha möjlighet att använda två eller flera olika typer av system för kommunikation, är ett exempel på diversifiering.

Genom att kartlägga ett system och analysera dess komponenter kan externa orsaker (utanför systemet) som kan skada flera komponenter samtidigt identifieras.

En tredje typ av fel som kan vara allvarlig i komplexa system med starka kopplingar (beroenden) är kaskadfel. Ett kaskadfel är ett fel som innebär att någon komponent i systemet slutar fungera, eller får nedsatt funktion, och som en konsekvens av detta sker en ”lastomfördelning” i systemet. Denna omfördelning resulterar i att en eller flera andra komponenter får bära en större last än vad de klarar av, vilket innebär att de kollapsar. Detta leder på nytt till en lastomfördelning, vilket i sin tur kan leda till att ytterligare komponenter slås ut, o.s.v. Genom att öka skillnaden mellan belastningen som en komponent klarar och den som den normalt utsätts för kan risken för kaskadfel minskas. Det går också att bygga system enligt ”modul-konceptet” (se avsnitt 4.1.4) för att minska sannolikheten för fel som sprids utanför den del av systemet som felet uppstod i.

Kaskadfel är svåra analysera bara med hjälp av kvalitativa metoder, men det går i alla fall att föra en diskussion om dem och möjligtvis kan man också resonera sig fram till hur ett fel kan fortplanta sig i det aktuella systemet.

Om ett system har kända svagheter kan dessa utnyttjas av någon som vill skada systemet. Detta är en annan typ av påfrestning på systemet än de övriga typerna av fel. Antagonistiska ”fel” är inte oberoende och därför fungerar skyddsstrategin med att introducera redundans i systemet inte lika effektivt som mot oberoende fel.

Antagonistiska attacker kan resultera i ett ”common cause failure”, eller ett kaskadfel. När dessa fel är ett resultat av en antagonistisk handling är det troligare att systemets svagheter utnyttjas och att attacken mot systemet kommer vid en tidpunkt som är lämplig från antagonistens synpunkt, men olämplig från systemets synpunkt, exempelvis då belastningen på systemet redan är stor. Att skydda sig mot antagonistiska hot är svårare än att skydda sig mot övriga typer av fel och det blir givetvis inte lättare av att de tekniska och sociala system som samhället vill skydda blir allt mer starkt kopplade till varandra. Ett sätt att minska möjligheten för konsekvenserna av antagonistiska handlingar att sprida sig i ett system är genom uppdelning i moduler som sinsemellan har relativt få kopplingar och som dessutom kan vara övervakade. I system med skalfria egenskaper (se avsnitt 4.1.2) är det speciellt viktigt att förse hubbarna (de noder eller systemdelar som har många länkar till andra delar) med ett adekvat skydd.

En annan viktig sak när det gäller antagonistiska påfrestningar är att bara för att hotet inte realiserats när systemet befinner sig i ett ”normalt” tillstånd innebär det inte att hotet inte existerar. Eftersom personer som vill skada ett system sannolikt vill göra så stor skada som möjligt är det inte otänkbart att de väntar tills dess att påfrestningen på systemet är större än normalt, eller möjligheten att göra skada är större. Ett bra exempel på detta är de allierades desinformationskampanj mot de tyska spionerna inför invasionen i Normandie under andra världskriget. De allierade kände till en stor mängd tyska spioner långt innan invasionen, men valde att inte göra något åt dem eftersom påfrestningarna på det tyska ”systemet” inte var tillräckligt stora och skadan som de skulle kunna åstadkomma inte var tillräckligt stor. När däremot invasionen skulle genomföras var möjligheten att göra stor skada stor. När de allierade läckte falsk information om var landstigningen skulle ske till samtliga tyska spioner som man kände till blev effekten mycket lik ett ”common cause failure”, d.v.s. flera komponenter i systemet (flera spioner) drabbades av fel (lämnade vidare felaktig information) på grund av samma externa orsak (de allierade) [34].

Kartläggningen av systemet, d.v.s. agenterna, artefakterna, uppgifterna, beroendena, mm., kan användas då man tillämpar metoden Anticipatory Failure Determination (AFD) [67], vilken är en metod som är lämplig då man gör en sårbarhetsanalys med avseende på antagonistiska hot. I korthet går AFD ut på att i stället för att fundera över vilka möjliga skadliga händelser som kan orsakas av antagonister fundera över hur man bäst kan skada systemet. Detta sätt att vända på frågeställningen kan göra det lättare att hitta svagheter i systemet, speciellt då man har en bra systembeskrivning samt en klar definition av vad som menas med oönskade konsekvenser.

Resultatet från en grov analys av olika typer av fel blir en beskrivning av vilka aktörer som ingår i systemet, exempelvis olika organisationer eller delar av organisationer, och vilka artefakter som ingår, exempelvis fysiska resurser. Vidare resulterar analysen i en systematisk genomgång av alla dessa element med syftet att identifiera riskscenarier som kan uppstå på grund av att något händer med elementen. Exempel på ett sådant riskscenario kan vara att en organisation av någon anledning inte kan utföra en specifik uppgift. Riskscenariot skall också kompletteras med någon typ av konsekvensbedömning för scenariot, d.v.s. vad får det för konsekvenser för systemet att det specifika elementet inte fungerar som det var tänkt? Om det är möjligt är det också bra om en sannolikhetsbedömning för riskscenarierna genomförs, men detta är inte nödvändigt i en grov analys.