Er risikoanalysen din tilpasset dagens kriminalitetsbilde?

Kriminalitetsbildet har endret seg de senere årene, og truslene mot virksomhetene likeså. Villede hendelser som terror, organisert kriminalitet og informasjonstyveri setter risikovurderingen vår på nye prøver. En VTS-analyse er godt egnet til å håndtere de nye utfordringene.

Vi er gjerne vant til å kartlegge risiko i forhold til fare. Næringslivet, det offentlige og interesseorganisasjonene er nå i større grad mål for villede hendelser, eller det vi til daglig kaller kriminalitet. Både teknologi og eksponering internasjonalt gir nye muligheter for kriminelle nettverk til å utnytte sårbarheter i hver enkelt bedrift. Ny kriminalitet oppstår, og verdier som før ikke var attraktive, er nå omsettbar på det kriminelle markedet. 

Dette må din beredskapsplan inneholde

Mange næringsdrivende og offentlige virksomheter kjenner dette på kroppen. Kriminalitets- og sikkerhetsundersøkelsen (KRISINO), som NSR gjennomfører, avdekket i 2021 at 34 prosent av virksomhetene har i løpet av de siste 12 månedene fått faktura for varer som ikke er bestilt, 9 prosent har blitt utsatt for løsepengevirus og direktørsvindel. 3 prosent har opplevd å få faktura for varer som er bestilt, men der kontonummer er endret til svindleres konto. Hele 33 prosent av offentlige virksomheter har opplevd at ansatte utsettes for vold eller trusler om vold, mens det tilsvarende i private virksomheter er 4 prosent.

Hvordan vurderer vi risikoen for disse nye typene kriminalitet? Jeg vil hevde at VTS-analysen er mer egnet til å avdekke risiko for villede hendelser enn den tradisjonelle proaktive metoden.

VTS-analysen bygger på NS 5830-serien, som brukes av blant annet politiet, og den kan teoretisk framstilles slik:

Verdi x Trussel x Sårbarhet = Risiko

Her er det er verdivurderingen som legger grunnlaget for hvor mye ressurser man bruker til sikring. Hvis vi ikke har noe av verdi, eksisterer heller ikke noen trussel eller sårbarhet (noe som multipliseres med null, blir alltid null). Dermed finnes heller ingen risiko.

Hva skiller VTS-analysen fra annen risikoanalyse?

VTS-analyse

Metoden starter med å identifisere hva som skal sikres og hvor viktig disse verdiene er for dem som eier, forvalter eller på andre måter drar fordeler av disse verdiene. Om man i denne fasen ikke klarer å identifisere noen verdier, eller at disse vurderes som ikke spesielt viktige, kan prosessen stoppes allerede her.

Sikringsmål er en beskrivelse av hva som er ønsket sluttilstand for verdiene som nettopp har blitt identifisert og vektet.

Trusselvurderingen kartlegger hvilke personer og/eller grupper som har, eller kan ha, interesse av å påvirke verdiene som har blitt identifisert og vektet. Noe av VTS-analysens særpreg er at man på dette stadiet lager scenarier med detaljerte beskrivelser av hvordan aktørene som er identifisert vil gå frem for å påvirke verdiene deres negativt. Når vi så vurderer sårbarheten, ser vi om det eksisterer sikringstiltak som er egnet til å begrense utviklingen i hvert enkelt scenario.

Risikovurdering

Etter at man har vurdert alle relevante faktorer innenfor verdi, trussel og sårbarhet, samler man konklusjonen fra de ulike delvurderingene i risikovurderingen. Her går man igjennom hvert enkelt scenario og gjennomfører en skjønnsmessig vurdering av all informasjon som er tilgjengelig. Da får man et konkret risikobilde for dagens situasjon.

Man vurderer også om risikoen er akseptabel. Er den ikke det går man videre i prosessen.

Hold følge med den kriminelle

Arbeidet fra sikringsrisikoanalysen føres nå over i virksomhetens risikostyringsprosess og blir operativ. Her kunne dette arbeidet endt, og dessverre er det slik i en del virksomheter. Analysen blir liggende i en skuff og viser et øyeblikksbilde som ganske fort blir utdatert når forutsetninger endres, slik som 

  • nye produkter
  • nye produksjonsmetoder
  • nye samarbeid
  • nye leverandører
  • ny lovgivning.

Enhver slik endring vil skape nye sårbarheter og vil kreve oppdatert analyse for å møte den kriminelles evne til stadig å tilpasse seg. 

Har du utarbeidet og lagret analysen elektronisk i et verktøy egnet til dette formålet, vil det være enkelt å gjøre justeringer når det trengs. Jeg vil også framheve de positive effektene dette har når det gjelder å kommunisere risiko – enten det er til ledelse eller organisasjon.

Jack Fischer Eriksen

Jack Fischer Eriksen er seksjonsleder sikkerhetsrådgivning i Advansia. Han var tidligere administrerende direktør i Næringslivets Sikkerhetsråd, og har arbeidet med sikkerhetspolitikk, kommunikasjon og sikkerhetsrådgivning på strategisk nivå mot regjering, departementer, politiet og næringslivet, og står bak flere viktig sikkerhetspublikasjoner i Norge.

Eriksen er en populær foredragsholder innen temaet sikkerhet og forebygging av kriminalitet, og har deltatt i mange diskusjoner og debatter i media. Han har mange års erfaring fra Politiet i Oslo, både som leder og i operativ tjeneste. I tillegg har han lang erfaring som sikkerhetssjef i næringslivet, og har vært ansatt i Politiets Sikkerhetstjeneste og Utenriksdepartementet. I tiden som politioverbetjent i PST, jobbet han som sikkerhetsrådgiver, og har vært med på en rekke sikringsrisikoanalyser for kritisk infrastruktur.

Book en demo:

Avtal en uforpliktende demo

Hvordan kan CIM bidra i din organiasjon

Vi er her for deg!

Har du noen spørsmål om F24?
Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

Vi er her for deg!

Har du noen spørsmål om F24?
Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

Vi holder deg oppdatert.

Vil du motta aktuelle pressemeldinger rett fra oss?
Meld deg på e-postlisten for nyhetsbrev fra F24.