Dimensjonering av sikringstiltak mot tilsiktede uønskede handlinger. En kvalitativ studie av sårbarhetsvurderinger som et verktøy for dimensjonering av sikringstiltak i norske ISPS-havneanlegg

Abstract

Terror er ikke et nytt fenomen i Europa. Likevel har terrorfokuset økt som et resultat av en rekke alarmerende hendelser de siste tiårene. Etter terrorangrepene mot USA 11. september 2001 fikk den vestlige verden for alvor opp øynene for hvordan terrorangrep kan bli utført på den internasjonale arena. Som følger av terrortrusselen utviklet FNs sjøfartsorganisasjon, IMO, ISPS-koden. Koden stiller krav til at havneanlegg som betjener skip i internasjonal fart skal sikres mot tilsiktede uønskede handlinger. Den enkelte sjøfartsnasjon har selv ansvaret for å følge opp at havneanlegg tilfredsstiller kravene i ISPS-koden. I Norge ligger dette ansvaret hos Kystverket. Hvordan havneanleggene sikres, avgjøres gjennom en «port facility security assessment» og en «port facility security plan». I forskrift om sikring av havneanlegg omtales disse som «sårbarhetsvurdering» og «sikringsplan». Sårbarhetsvurderinger er i praksis en risikoanalyse for havneanlegget. Denne risikoanalysen danner grunnlaget for sikringsplanen, som beskriver sikringstiltakene i havneanlegget. Kystverket har utarbeidet en mal som gir retningslinjer for utarbeidelse av sårbarhetsvurderinger. Problemstillingen i oppgaven er: «Hvordan fungerer sårbarhetsvurderinger som et hensiktsmessig verktøy for dimensjonering av sikringstiltak i norske ISPS-havneanlegg?». Bakgrunnen for oppgaven er at det kan være utfordrende å gjennomføre risikoanalyser for tilsiktede uønskede handlinger. En har gjerne et for smalt datagrunnlag til å basere analysen på frekvensbasert sannsynlighet. Videre er trusselaktørene i stadig endring, og det kan være vanskelig å vurdere når risikoen er på et akseptabelt nivå. Utfordringene har demonstrert et behov for en standardisert tilnærming til slike risikoanalyser. I perioden 2012-2014 utarbeidet en arbeidsgruppe en standardserie som søker å dekke dette behovet. Norsk Standard 5832:2014, «Krav til sikringsrisikoanalyse», gir et forslag til hvordan en kan gjennomføre risikoanalyser mot tilsiktede uønskede handlinger. Standarden omtaler ikke sannsynlighet, men legger opp til at en virksomhets risikobilde sammenstilles på bakgrunn av trussel-, sårbarhets-, og konsekvensvurderinger. Kystverket har valgt å legge standarden til grunn for malen for gjennomføring av risikoanalyser for havneanlegg. I oppgaven diskuteres NS 5832:2014, Kystverkets mal, og foreliggende sårbarhetsvurderinger opp mot et teoretisk rammeverk. Studien har vist at både NS 5832:2014 og Kystverkets mal oppfyller de fleste kravene til en god risikoanalyse, og således er hensiktsmessige verktøy for dimensjonering av sikringstiltak i norske ISPS-havneanlegg. En svakhet med metodikken er manglende beskrivelse og vurdering av usikkerhet. I tillegg viser betraktninger fra foreliggende sårbarhetsvurderinger at trusselvurderinger, sårbarhets- og konsekvensvurderinger og risikovurderinger avgjøres av havneanleggets beliggenhet, operasjoner, og omfanget av operasjonene. Dette er faktorer som kartlegges innledningsvis i sårbarhetsvurderingene, og gjør at en allerede på dette tidspunktet har dannet seg et bilde av hvordan risikobildet blir. En kan dermed ende opp med å gjennomføre en analyse for å støtte en gitt oppfatning, istedenfor å foreta en selvstendig analyse.