Analys av sårbarhet med hjälp av nätverksmodeller Tehler, Henrik; Hassel, Henrik; Johansson, Jonas

Analys av sårbarhet med hjälp av nätverksmodeller Tehler, Henrk; Hassel, Henrk; Johansson, Jonas Publshed: 01/01/2007 Lnk to publcaton Ctaton for publshed verson (APA): Tehler, H., Hassel, H., & Johansson, J. (2007). Analys av sårbarhet med hjälp av nätverksmodeller. (LUCRAM; Vol. 1011). LUCRAM, Lund Unversty. General rghts Copyrght and moral rghts for the publcatons made accessble n the publc portal are retaned by the authors and/or other copyrght owners and t s a condton of accessng publcatons that users recognse and abde by the legal requrements assocated wth these rghts. Users may download and prnt one copy of any publcaton from the publc portal for the purpose of prvate study or research. You may not further dstrbute the materal or use t for any proft-makng actvty or commercal gan You may freely dstrbute the URL dentfyng the publcaton n the publc portal? Take down polcy If you beleve that ths document breaches copyrght please contact us provdng detals, and we wll remove access to the work mmedately and nvestgate your clam. Download date: 28. Sep. 2016 L UNDUNI VERS I TY PO Box117 22100L und +46462220000

Analys av sårbarhet med hjälp av nätverksmodeller Henrk Johansson Henrk Jönsson Jonas Johansson LUCRAM Lunds unverstets centrum för rskanalys och rskhanterng Lunds unverstet Rapport 1011, Lund 2007

Analys av sårbarhet med hjälp av nätverksmodeller Henrk Johansson Henrk Jönsson Jonas Johansson Lund 2007

Analys av sårbarhet med hjälp av nätverksmodeller Henrk Johansson Henrk Jönsson Jonas Johansson Rapport 1011 ISSN: 1404-2983 Antal sdor: 43 Illustratoner: Författarna om nte annat anges. Sökord: Nätverk, sårbarhetsanalys, teknsk nfrastruktur, nätverksanalys eldstrbutonssystem Abstract: Ths report presents the research concerned wth vulnerablty analyss of techncal nfrastructure networks conducted n the research framework programme called FRIVA. The report revews how network analyss has been used to analyse the vulnerablty of systems that are possble to model as networks, such as techncal nfrastructure systems. In addton, t proposes how these methods can be developed n order to better sut vulnerablty analyss conducted wth a socetal perspectve. In order to show the applcablty of these methods, they are appled to both hypothetcal and real-world systems. LUCRAM Lunds unverstets centrum för rskanalys och rskhanterng Lunds unverstet Box 118 221 00 Lund http://www.lucram.lu.se LUCRAM Lund Unversty Centre for Rsk Analyss and Management Lund Unversty P.O. Box 118 SE-221 00 Lund Sweden http://www.lucram.lu.se

Sammanfattnng I denna rapport redovsas delar av den forsknng som handlar om rsk- och sårbarhetsanalyser för system som är uppbyggda form av nätverk. Forsknngen har utförts nom ramen för FRIVA (Framework Programme for Rsk and Vulnerablty Analyss) som är ett ramforsknngsprogram fnanserat av Krsberedskapsmyndgheten. Dagens samhälle är starkt beroende av den servce som tllhandahålls av ett antal nfrastruktursystem, t.ex. eldstrbutons-, vatten- och avlopps- samt transportsystem. Många av dessa system är uppbyggda olka typer av nätverksstrukturer och är de flesta fall geografskt utsprdda samt nnehåller ett stort antal komponenter. Avbrott den servce som systemet tllhandahåller kan många fall leda tll allvarlga problem för många av samhällets daglga aktvteter. Dessutom kan störnngar nfrastrukturer leda tll att hanterngen av en krs som av någon anlednng har uppstått kraftgt försvåras, t.ex. genom att möjlgheten tll kommunkaton blvt utslagen. Eftersom nfrastruktursystemen spelar en så vktg roll samhället är det vktgt att dessa analyseras ur ett rsk- och sårbarhetsperspektv med syftet att t.ex. undersöka vlka hot som kan skada systemen och hur allvarlgt systemet drabbas av hot som realseras. Med tanke på den stora komplextet som är förknppad med dessa typer av system är det vktgt att det fnns väl utvecklade metoder för sådana analyser. Denna rapport syftar därför tll att belysa de metoder som har utvecklats nom området nätverksanalys och som har applcerats på nfrastruktursystem av olka slag. Rapporten fokuserar på sårbarhetsanalyser, d.v.s. på metoder som kan användas för att undersöka vad som kan hända, hur trolgt detta är samt vlka konsekvenserna blr av detta gvet att ett system utsätts för en specfk påfrestnng. Utgångspunkten för de sårbarhetsanalyser som utförs nom nätverksanalysområdet är att en nätverksmodell (bestående av noder och länkar) av det aktuella systemet tas fram. Genom att slå ut noder och/eller länkar, antngen en slumpmässg ordnng eller genom en rktad utslagnng av en vss typ av komponenter, och sedan uppskatta hur stora de negatva konsekvenserna (som uppskattas genom att mäta någon typ av mått med utgångspunkt nätverkets struktur) blr tll följd av utslagnngen kan man få en uppfattnng om hur sårbart systemet är. Grovt sett kan metoderna nom området delas n två huvudkategorer; de som är rent strukturella/statska och de som försöker ta större hänsyn tll underlggande fyskalska egenskaper (t.ex. att modellerng av ett eldstrbutonsnät ta hänsyn tll laster och kapacteter olka noder). Större hänsyn tll de underlggande fyskalska egenskaperna ger gvetvs en mer verklghetstrogen modell, men samtdgt blr smulerngarna betydlgt mer krävande, både vad gäller den ndata och den td som krävs för att genomföra smulerngarna. Att använda alltför avancerade modeller kan därmed leda tll att möjlgheten att genomföra en heltäckande och systematsk analys mnskar. De lte grövre modellerna kan därför vara ett bra komplement tll mer avancerade och detaljerade modeller vd analys av rsker och sårbarheter. I rapporten presenteras även förslag tll hur de befntlga metoderna för sårbarhetsanalys kan utvecklas för att de ska vara bättre lämpade för användnng ur ett samhällelgt perspektv, snarare än ett rent teknskt perspektv. I rapporten vsas sedan exempel på tllämpnng av de föreslagna metoderna på eldstrbutonssystem, men syftet är att metoderna även ska kunna användas för analys av andra typer av nfrastruktursystem som kan modelleras form av nätverk. Gvetvs måste t.ex. de mått som används för uppskattnng av konsekvenser anpassas tll den typ av system som är aktuellt.

Innehållsförtecknng 1 INLEDNING...3 1.1 BAKGRUND...3 1.2 SYFTE...5 2 NÄTVERKSANALYS...6 2.1 DEFINITIONER OCH BEGREPP...7 3 ÖVERSIKT AV OLIKA METODER FÖR SÅRBARHETSANALYS AV NÄTVERK...10 3.1 OLIKA TYPER AV PÅFRESTNINGAR...10 3.2 KASKADEFFEKTER...11 3.3 NÅGRA OLIKA TYPER AV NÄTVERKSANALYSER...12 4 NÄTVERKSANALYS SOM EN DEL I EN KOMMUNAL ELLER REGIONAL SÅRBARHETSANALYS...16 4.1 EN METOD FÖR ANALYS AV ETT TEKNISKT SYSTEMS SÅRBARHET...19 4.2 MÅTT PÅ SÅRBARHET...23 4.3 OLIKA TYPER AV PÅFRESTNINGAR...27 4.4 EXEMPEL PÅ SÅRBARHETSANALYS AV ETT LOKALT ELDISTRIBUTIONSSYSTEM..30 4.5 KRAV FÖR ANVÄNDNING AV METODEN...34 5 ANALYS AV VERKLIGA ELNÄT...35 5.1 NÄTVERKSMODELLERING...35 5.2 SIMULERINGSRESULTAT...36 6 SAMMANFATTANDE DISKUSSION...41 REFERENSER...42

1 Inlednng Denna rapport är skrven nom ramen för ramforsknngsprogrammet FRIVA 1 (Framework programme for Rsk and Vulnerablty Analyss) som bedrvs nom Lunds unverstets centrum för rskanalys och rskhanterng (LUCRAM) 2 och är fnanserat av Krsberedskapsmyndgheten. Denna rapport är en drekt följd av arbetet som redovsas rapporten Metoder för rsk- och sårbarhetsanalys ur ett systemperspektv [1], där bl.a. många av de teoretska utgångspunkterna för det aktuella arbetet beskrvs. För en djupare förståelse för vssa av de begrepp som används denna rapport, såsom sårbarhet, hänvsas därför tll ovan nämnda rapport. 1.1 Bakgrund Nätverksstrukturer är något som fnns prncp vart man än vänder sg. Genom att använda nätverk kan en stor mängd system av olka slag representeras och modelleras. Som några exempel kan nämnas bologska (t.ex. närngsväv), socala (t.ex. vänskapsrelatoner mellan ndvder), teknologska (t.ex. vattendstrbutonssystem) och cybereller nformatonsnätverk (t.ex. World Wde Web). I en nätverksmodell av ett system beskrvs och åskådlggörs beroenden och relatoner mellan olka delar av systemet genom att använda två grundläggande byggstenar: noder och länkar. (En utförlgare ntrodukton tll nätverk och nätverksanalys ges kaptel 4 av rapporten Metoder för rsk- och sårbarhetsanalys ur ett systemperspektv [1] och tll vss del även nästföljande kaptel). Med hjälp av den verktygslåda som forsknngen nom området nätverksteor och nätverksanalys har utvecklat fnns sedan möjlgheter att utforska de nätverksstrukturer som observeras med syftet att skapa en djupare förståelse för de system som studeras. Ett av de områden som den nätverksanalytska verktygslådan kan användas på är att analysera systems sårbarhet för olka typer av påfrestnngar. Teknska nfrastruktursystem är en typ av system som många fall är möjlga att modellera som nätverk. Dessa system, t.ex. eldstrbutonssystem, väg- och järnvägssystem, telekommunkatonssystem, vattendstrbutonssystem, etc., är ofta uppbyggda med en tydlg nätverksstruktur och är de flesta fall geografskt utsprdda samt nnehåller en stor mängd komponenter. Dessa egenskaper gör systemen mycket svåra att analysera ur ett helhetsperspektv. Dagens samhälle är hög grad beroende av dessa system för att kunna fungera. Avbrott den servce som de teknska nfrastrukturerna tllhandahåller kan leda tll mycket stora påfrestnngar på samhället eftersom det så hög grad förltar sg på systemens kontnuerlga funkton, något som nte mnst har vsat sg vd ett flertal natonella och nternatonella krser (t.ex. stormen Gudrun 2005, sstormen Kanada 1996, Elavbrottet Auckland 1998 och Orkanen Katrna New Orleans 2005). Avbrott eller mnskad effektvtet nfrastrukturernas servce kan även leda tll att en befntlg krs som uppstått av samma eller andra orsaker nte kan hanteras på ett lka effektvt sätt som om servcen hade vart normal. Det är alltså vktgt att de teknska nfrastruktursystemen är tllförltlga och robusta. Faktum är att de teknska nfrastruktursystemen har vsat sg vara alltmer tllförltlga men man får 1 För mer nformaton om ramforsknngsprogrammet hänvsas tll följande hemsda: http://www.frva.lucram.lu.se/ 2 För mer nformaton om LUCRAM se följande hemsda: http://www.lucram.lu.se/ 3

nte glömma bort att trenden under denna td även har vart att samhället blvt alltmer sårbart mot avbrott, då det gjort sg alltmer beroende av dessa system. Det samhället kunde hantera förr har det kanske nte möjlghet att göra dag. Som ett exempel på detta kan nämnas elavbrott som tdgare vart långt mer vanlga än dag. Eftersom dessa skedde relatvt ofta tdgare hade männskor och organsatoner större utsträcknng en beredskap för att klara av ett elavbrott än vad som är fallet dag. Hur framtden kommer att gestalta sg är gvetvs vansklgt att sa om men en trolg utvecklng är att beroendet av de teknska nfrastrukturerna all fall nte kommer att mnska under en överskådlg framtd. Att genomföra rskanalyser och sårbarhetsanalyser på olka typer av system är ett sätt att skaffa kunskap om systemen med syftet att sedan kunna hantera rskerna och sårbarheterna på ett effektvt och ratonellt sätt. Medvetna val bör alltså styra de nvåer av tllförltlghet, robusthet etc. som anses vara lämplga att uppnå. Lämplgen är det en avvägnng mellan de resurser och kostnader som behövs för att skapa robustare system samt den nytta som ett mer robust system nnebär för samhället som bör styra vlken den optmala tllförltlgheten och robustheten ska vara. Ett syfte med rsk- och sårbarhetsanalyser är att de ska användas för att ta fram det underlag som krävs för att fatta beslut relaton tll ovan nämnda avvägnng. I Sverge ställer ett antal olka regelverk krav på att olka verksamheter ska utföra rskoch sårbarhetsanalyser för sn verksamhet. De regelverk som har störst kopplng tll denna rapport är Förordnngen om krsberedskap och höjd beredskap (SFS 2006:942), Lag om kommuners och landstngs åtgärder nför och vd extraordnära händelser fredstd och höjd beredskap (SFS 2006:554) samt Ellagen (SFS 1997:857). Sammantaget handlar dessa lagstftnngar om att olka verksamheter (centrala myndgheter, kommuner, landstng samt företag med elnätkoncesson (under 220kV)) skall upprätta rsk- och sårbarhetsanalyser över sn verksamhet. Kraven på rsk- och sårbarhetsanalyser är relatvt nya, nte mnst kraven Ellagen, och vad analyserna ska uppfylla är många fall oklart. Dessutom är det oklart vlka metoder som skall användas dessa analyser. I denna rapport kommer exempel på metoder att ges, nämlgen metoder som är applcerbara på system som är möjlga att modellera form av nätverk. Rapporten kommer att fokusera på sårbarhetsanalyser. I rapporten Metoder för rskoch sårbarhetsanalys ur ett systemperspektv [1] presenterades en operatonell defnton av sårbarhet och denna kommer att användas även denna rapport. Sårbarhet defnerades där som en uppsättnng scenarer samt deras respektve konsekvens och sannolkhet gvet att systemet utsatts för en specfk påfrestnng. Antalet scenarer som skulle kunna nträffa efter att ett system utsatts för en påfrestnng kan vara mycket stort eftersom det många fall är osäkert hur en vss påfrestnng påverkar systemet. Det är därför ofta svårt att htta en lämplg representaton av samtlga scenarer rskscenarorymden 3 genom en rent manuell analys. Genom att använda en nätverksanalytsk ansats där systemen representeras av nätverksmodeller kan problemen förknppade med analysen reduceras. Detta eftersom datorbaserade smulerngar används för att 3 Begreppet rskscenarorymd förklaras rapporten Rsk- och sårbarhetsanalys från ett systemperspektv som publcerats av LUCRAM, se [1]. 4

systematskt gå genom och generera ett stort antal möjlga scenarer samt uppskatta deras respektve konsekvenser. 1.2 Syfte Syftet med denna rapport är att vsa hur nätverksmodeller och nätverksanalys kan användas för att analysera sårbarhet. Främst syftar rapporten tll att vsa hur metoderna kan applceras på teknska nfrastruktursystem och samtlga exempel rapporten är kopplade tll dessa. Dock fnns det nget som hndrar att metoderna generalseras tll att gälla även cke-teknska system som är möjlga att modellera som nätverk. Mer specfkt är syftet att vsa hur många av de svårgheter som är förknppade med rskoch sårbarhetsanalyser av dessa typer av system [1] kan hanteras. De metoder för sårbarhetsanalys som presenteras överensstämmer med den syn på sårbarhet som kortfattat beskrevs ovan. 5

2 Nätverksanalys För att kunna utföra en analys av sårbarheten ett system måste först en nätverksmodell av systemet skapas. Denna modell representerar olka systemdelar (noder) och relatoner mellan dessa (länkarna). Nätverkets struktur beskrvs enklast med en så kallad kontaktmatrs som har storleken n n, där n är antalet noder nätverket. Varje kolumn matrsen motsvarar en nod (systemdel) nätverket och om det fnns en relaton mellan nod v och nod v j representeras detta av värdet 1 på poston (,j), och om det nte fnns en relaton är värdet 0. Relatoner mellan olka systemdelar kan vara olka starka och så fall kan andra värden än 0 och 1 användas, men för de tllämpnngar som dskuteras här räcker det vanlgtvs med att ange relatonen med hjälp av 1 och 0. Utöver nätverkets struktur måste även de av systemets tllståndsvarabler som har betydelse för konsekvenserna av en påfrestnng kunna beskrvas med hjälp av kunskap om nätverkets struktur och systemdelarnas funkton. Relatonerna representerar den här typen av analys vanlgtvs beroenderelatoner och de är ofta relatvt enkla att beskrva. Antag att alla noder ett nätverk representerar en del ett system och att varje del är förknppad med en bnär tllståndsvarabel som beskrver funktonen hos just den delen (antngen fungerar delen eller så fungerar den nte). En beroenderelaton mellan en nod och en uppsättnng andra noder kan då nnebära att den aktuella noden befnner sg tllståndet fungerar så länge det fnns en väg genom nätverket från den aktuella noden tll en annan specfk nod. Funktonen hos delarna av systemet som representeras av nätverket Fgur 1 är exempelvs beroende av att det fnns en väg genom nätverket tll nod A. Om en sådan väg exsterar, och del A fungerar, fungerar också den aktuella delen; om en sådan väg nte fnns, eller om del A nte fungerar, fungerar heller nte den aktuella delen. Den här grova beskrvnngen av systemets funkton stämmer n på många olka typer av teknska system där kontakt mellan olka systemdelar är avgörande för systemets förmåga att fungera. Exempel på sådana system är elsystem, vattendstrbutonssystem, järnvägssystem, avloppssystem, etc. Om en vss del av systemet nte har kontakt med en specfk systemdel kommer den delen nte att fungera. Om en nätstaton ett elsystem exempelvs nte har kontakt med en transformatorstaton där elektrcteten matas n kan den nte förse de kunder som är kopplade tll den med el och om en del av ett vattendstrbutonssystem nte har kontakt med en nmatnngskälla kan nte de fastgheter som är kopplade tll den delen få vatten, etc. G C F I J B A D H E Fgur 1 Illustraton av ett ltet nätverk. 6

Funktonen hos de olka verklga systemen som modelleras med nätverk beror ofta nte enbart på om det fnns kontakt med en källa eller ej utan det fnns många fall andra aspekter som kan påverka systemets funkton, exempelvs kapacteten de länkar som kopplar hop olka systemdelar. Att modellera ett fysskt system på det sätt som precs beskrvts utgör dock en bra första utgångspunkt en sårbarhetsanalys, och det fnns möjlgheter att utan alltför avancerade metoder och modeller även ta hänsyn tll aspekter såsom kapactet för noder och länkar. Syftet med att använda nätverk för att analysera sårbarhet olka system är att undersöka hela systemet och systemdelarnas relatoner med förhoppnngen om att kunna uttala sg om globala respektve lokala egenskaper nätverket. Med globala egenskaper avses sådana egenskaper som rör hela systemet, exempelvs kan det vara ntressant att studera hur sårbart avloppssystemet en vss kommun är för en specfk påfrestnng. I detta fall vll man uttala sg om hela avloppssystemet vlket nnebär att det är en global analys. I andra fall kan det vara så att man vll uttala sg om egenskaper hos olka systemdelar förhållande tll varandra och så fall handlar det om en lokal analys. Ett exempel skulle kunna vara att undersöka hur sårbara olka områden ett eldstrbutonssystem är förhållande tll varandra, d.v.s. vlka områden drabbas värst gvet att delar av elnätet slås ut. En annan typ av lokal analys är att dentfera de delar av ett system som är mest krtska för systemets funkton, d.v.s. som om de av någon anlednng nte skulle fungera skulle leda tll en kraftgt försämrad funkton för systemet som helhet. 2.1 Defntoner och begrepp För att analysera av sårbarheten nätverk måste en del begrepp som härstammar från grafteor defneras. Ett nätverk, eller en graf 4, G, defneras som en mängd noder V och en mängd länkar E. En ndvduell nod betecknad v och en ndvduell länk e där är ett ndex. Länkarna kopplar samman noderna parvs och de kan även ha en rktnng, en så kallad rktad graf. Antalet noder en graf betecknas med n och antalet länkar med m. En graf kan användas för att representera ett system, där de olka delarna systemet representeras av noderna och relatoner mellan delarna representeras av länkar mellan noder. Grad Inom analys av nätverk är begreppet grad av stor betydelse. En nods (v ) grad, k, är ett mått på hur många länkar som är kopplade tll noden. Om nätverket som analyseras är rktat skljer man på n-grad, och ut-grad. En grafs genomsnttlga grad beräknas som: n 1 m k = k = (1) n = 1 2n Klustrngskoeffcent Klustrngskoeffcenten hos en nod är ett mått på hur sammanlänkade nodens grannar är. Om noden v har k grannar kan det som mest fnnas k (k 1) / 2 länkar mellan 4 Graf brukar användas för att beteckna den matematska representatonen, medan nätverk kan användas både för att beteckna det verklga systemet och den matematska representatonen. 7

dessa grannar. Klustrngskoeffcenten C är ett mått på hur stor andel av dessa potentella länkar som exsterar och kan beräknas som: Antal länkar mellan grannarna tll nod C = (2) Totalt antal möjlga länkar mellan grannarna tll nod Eftersom C nte är defnerad för de noder som är solerade eller endast har en granne anges klustrngskoeffcenten tll 0 för dessa noder. Nätverkets klustrngskoeffcent, C, kan sedan beräknas som medelvärdet av samtlga noders klustrngskoeffcenter. Kortaste vägen I större nätverk kan det vara av ntresse att beräkna den så kallade kortaste vägen mellan två noder, v och v j. Den kortaste vägen, d(v, v j ), är det mnsta antal länkar som måste passeras för att förflytta sg från den ena noden tll den andra. Den kortaste vägen mellan två noder kan beräknas med algortmen som beskrvs av Newman [2]. När det kortaste avståndet mellan samtlga noder nätverket beräknats kan det genomsnttlga kortaste avståndet mellan noderna nätverket, l, beräknas som: l 1 = d( v, v j 1 2 n ) ( ) n + 1 j (3) Om nätverket nte är helt sammankopplat, d.v.s. om alla noder nte kan nås från samtlga övrga noder, blr l oändlgt stor och då väljer man antngen att bortse från de nodpar som nte kan nå varandra, eller att beräkna den nverterade längden, l -1. Den nverterade längden beräknas som: l 1 = d 1, = ( ) v v 1 2 n( n + 1) j d( v v ) j 1 1, j, (4) och då det nte fnns någon väg mellan noderna v och v j gäller: 1 = 0 d( v, v j ) (5) Intermedtet I ett nätverk kan det fnnas noder som oftare är med de kortaste vägarna genom nätverket. Sådana noder har olka betydelse beroende på vlken typ av nätverk man studerar (teknskt, socalt, etc.). Ett mått som används för att mäta hur många av nätverkets kortaste vägar som passerar en specell nod är ntermedtet (eng. betweenness). Intermedtet socala nätverk kan exempelvs ndkera den vktgaste aktören, eller vem som kontrollerar nformatonsflödet mellan flest andra aktörer. En nods ntermedtet, B(v ), defneras som: σ v j, v ( v k ) B( v ) = [3], (6) v v V j k 8 σ v, v j k

där σ vj,vk (v ) är antalet kortaste vägar mellan noderna v j och v k som passerar genom v. σ vj,vk är det totala antalet kortaste vägar mellan noderna v j och v k. B kan beräknas med hjälp av algortmen som föreslagts av Newman [2]. Lknande resonemang som förts med avseende på noder kan också applceras på länkar och en länks ntermedtet ges då av, B(e ): σ v j, v ( e k ) B( e ) = [3], (7) v j vk V σ v j, vk där σ vj,vk (e ) är antalet kortaste vägar mellan noderna v j och v k som passerar länken e. Största komponenten Begreppet komponent används bland för att beteckna en uppsättnng noder som är sammankopplade, d.v.s. där samtlga noder uppsättnngen kan nå samtlga andra noder. Den största komponenten (eng. gant component) ett nätverk, S, är den största uppsättnngen av sammankopplade noder som tllhör nätverket. Notera att begreppet komponenter denna rapport även används för att beteckna antngen en nod eller en länk. Begreppet komponent med betydelsen en uppsättnng noder som är sammanlänkade används denna rapport endast samband med dskussoner krng den största komponenten ett nätverk. 9

3 Överskt av olka metoder för sårbarhetsanalys av nätverk Det fnns många olka sätt att genomföra sårbarhetsanalyser för nätverk. Det här kaptlet nleds med en överblck av några sådana metoder som tdgare använts och några olka typer av analyser som genomförts presenteras även. I nästföljande kaptel presenteras sedan ett förslag på utvecklng av de befntlga metoderna som passar bättre för att analysera sårbarheten system av nätverkskaraktär. Gemensamt för de metoder som beskrvs nedan är att ett antal scenarer, som är resultatet av en påfrestnng på systemet, genereras med hjälp av en nätverksmodell av det system som studeras. För varje sådant scenaro kan konsekvenserna beräknas med hjälp av ett antal olka mått. Vlken typ av påfrestnng som systemets sårbarhet analyseras för kommer att påverka de scenarer som ngår analysen. 3.1 Olka typer av påfrestnngar När nätverk används för sårbarhetsanalys går det att sklja på åtmnstone två huvudsaklga typer av påfrestnngar: slumpmässga och rktade. Den första typen av påfrestnng bygger alltså på en helt slumpmässg utslagnng av noder eller länkar. I analysen undersöks någon typ av mått som syftar tll att avspegla konsekvenserna av påfrestnngen och sedan utförs mätnngar av hur måttet förändras när noder och/eller länkar slås ut slumpmässgt. Tanken är att ju robustare systemet är desto fler nätverkskomponenter skall kunna slås ut nnan de negatva konsekvenserna blr alltför stora. Exempelvs kan man defnera ett konsekvensmått som det genomsnttlga avståndet mellan alla noder, l, eller det nverterade avståndet l -1. Avstånden ger en ndkaton av hur lätt det är att nå de olka noderna från olka postoner nätverket och kan vara ett bra mått på hur väl vssa nätverk fungerar. Gvetvs är väldgt få verklga påfrestnngar helt slumpmässga, men en slumpmässg utslagnngsstrateg används ofta för att representera fenomen som är förknppade med en stor grad av slumpvaraton, såsom naturfenomen eller utsltnng av teknska komponenter. Den andra typen av påfrestnng bygger på att någon typ av mått beräknas för samtlga noder eller länkar och sedan beräknas en specfk utslagnngssekvens av noderna på bass av detta mått. För att kontrastera med den förstnämnda typen av påfrestnng används ofta begreppet rktad utslagnng som benämnng på denna typ av påfrestnng. Rktad utslagnng kan även användas för att försöka fnna de värsta scenarerna som kan drabba nätverket, d.v.s. för att dentfera de påfrestnngar som systemet är allra mest sårbart för. Ett exempel på rktad utslagnng är att beräkna nodernas grad k och sedan slå ut noderna genom att alltd ta bort den nod som har den högsta graden. Detta motsvarar en stuaton där någon antagonst systematskt attackerar de vktga delarna nätverket, exempelvs de fördelnngsstatoner ett elnät som har flest lednngar kopplade tll sg. Vad gäller rktad utslagnng är det möjlgt att ursklja två huvudsaklga tllvägagångssätt för att räkna fram måtten som lgger tll grund för sekvensen med vlken noderna eller länkarna slås ut. Det första tllvägagångssättet bygger på att måtten beräknas för det ursprunglga nätverket och sedan används dessa mått för att avgöra 10

vlken ordnng som noderna eller länkarna skall slås ut. Det andra tllvägagångssättet bygger på att man efter varje utslagnng av en nod eller länk räknar om måttet som används som utgångspunkt för att bestämma utslagnngsordnngen och sedan används det omräknade måttet för att bestämma vlken nod eller länk som skall slås ut härnäst. Ett exempel på den här typen av analys är om de noder som har högst ntermedtet slås ut först och efter att en nod slagts ut räknas måttet ut gen för samtlga noder nätverket (nätverket har ju ändrat struktur eftersom en nod slagts ut). Sedan fortsätter utslagnngen på samma sätt, d.v.s. den nod med högst ntermedtet slås ut och därefter räknas ntermedteten om för samtlga noder, o.s.v. Denna typ av påfrestnng på ett system representerar förmodlgen ett allvarlgare fall för nätverket än då endast nformaton från det ursprunglga nätverket används De utslagnngsstrateger som har beskrvts ovan har vart determnstska, d.v.s. den komponent som har det högsta värdet på det beräknade måttet slås ut med säkerhet varje utslagnngsomgång. Ett annat tllvägagångssätt är att låta det beräknade måttet lgga tll grund för sannolkheten för att en komponent blr utslagen. Istället för en determnstsk typ av utslagnng är denna typ av påfrestnng probablstsk. Exempelvs korrelerar längden på en ellednng ofta väl med sannolkheten för att den ska drabbas av ett avbrott, men man kan ju nte med säkerhet säga att det är den längsta lednngen som kommer att slås ut först då systemet utsätts för en påfrestnng. Istället kan ellednngarnas längd användas för att göra det trolgare att länkar som representerar långa ellednngar slås ut än att de som representerar korta lednngar gör det. På samma sätt kan man låta andra mått lgga tll grund för sannolkheten för att olka komponenter ska bl utslagna. De olka typerna av påfrestnng sammanfattas Fgur 2. Slumpmässg utslagnng Rktad utslagnng Uppdaterad Ej uppdaterad Determnstsk* Probablstsk Determnstsk* Probablstsk Fgur 2 Illustraton av olka typer av påfrestnngar. * Även om utslagnngsstrategn kallas determnstsk kan ett vsst mått av slumpmässghet förekomma. Om det exempelvs nte går att avgöra vlken av ett antal noder/länkar som skall slås ut härnäst med hjälp av det mått som man utsett som grund för den rktade utslagnngen måste valet mellan dessa noder/länkar ske slumpmässgt. 3.2 Kaskadeffekter De ovanstående typerna av påfrestnngar kan användas kombnaton med en rent statsk ansats eller en ansats som försöker fånga n eventuella kaskadeffekter som kan uppstå. I den rent statska ansatsen sker nga ytterlgare förändrngar nätverkets 11

struktur efter det att en komponent har blvt utslagen. I många verklga system kan det dock hända att utslagnngen av en vss komponent leder tll att belastnngen på andra komponenter nätverket ökar, vlket kan leda tll följdfel på grund av överbelastnngar så kallade kaskadeffekter. Denna ansats bygger alltså på att noderna eller länkarna nätverket har en vss kapactet och att om belastnngen på en nod eller länk överskrder dess kapactet så slås den noden eller länken ut. Ett scenaro där belastnngen på noder successvt räknas om kan alltså smulera de domnoeffekter som potentellt kan uppstå denna typ av system. För att llustrera tllvägagångssättet så anta att varje nod nätverket har en övre gräns för dess kapactet. Om en nod eller länk slås ut nätverket kan man räkna om belastnngen på varje nod och undersöka om någon nod/länk belastas med mer än dess kapactet, så fall slår man ut den/de också och räknar på nytt om belastnngen nätverket. På detta sätt kan man analysera hur bra nätverket är på att omfördela lasten och man kan också få en förståelse för hur kaskadeffekter påverkar sårbarheten nätverket. 3.3 Några olka typer av nätverksanalyser Albert m.fl. [4] presenterar en analys där de utgår från två modellnätverk, ett slumpmässgt nätverk och ett skalfrtt nätverk med samma antal noder och länkar (n = 10 000, m = 20 000). I analysen vsar de att det skalfra nätverket är mycket mer robust mot slumpmässga fel, men att det motsatta gäller för attacker rktade mot den nod som har högst grad, k. Skalfra nätverk är en genersk typ av nätverk som betecknas av att nodernas graddstrbuton följer en power-law -fördelnng, d.v.s. de flesta noder har en låg andel länkar kopplade tll sg medan ett fåtal noder, som dock nte är försumbara, har ett mycket stort antal länkar kopplade tll sg. Vdare presenterar man också en analys av Internets (n = 6 209, m = 12 200) och World Wde Webs (n = 325 729, m = 1 498 353) sårbarhet. I nätverket över Internet representerar noderna olka fysska komponenter såsom routrar och länkarna representerar olka fysska kommunkatonsmöjlgheter mellan dessa komponenter. I nätverket över World Wde Web är noderna hemsdor och länkarna är hypertextlänkar mellan hemsdorna. I uppsatsen presenteras en sårbarhetsanalys av dessa två system där noderna angrps dels slumpmässgt, dels rktat mot den nod som har högst grad. Under tden som noder slås ut beräknas hur medelvärdet av de kortaste vägarna mellan noderna förändras. Resultaten vsar att både Internet och World Wde Web har sårbarhetsegenskaper som överensstämmer med de skalfra nätverkens, d.v.s. de är mycket robusta mot slumpmässga fel, men sårbara mot rktade attacker. Holme m.fl. [3] undersöker sårbarheten fyra modellnätverk: ett slumpmässgt nätverk, ett nätverk genererat med Watts och Strogatz modell för små världar [5], ett skalfrtt nätverk [6] samt ett nätverk som genererats med en modferad modell av den skalfra nätverksmodellen. Vdare analyseras också två verklga nätverk, ett datornätverk (n = 2 210, m = 4 334) och ett socalt nätverk som vsar vlka som samarbetat en grupp av forskare (n = 2 010, m = 6 614). I sårbarhetsanalysen mäts den nverterade längden, l -1, och storleken på den största komponenten nätverket, S, som funkton av hur stor andel av noderna respektve länkarna som tagts bort från nätverket. Fyra olka typer av strateger för att ta bort noder och länkar används. En strateg bygger på att graden för 12

samtlga noder/länkar 5 beräknas och sedan tas den som har högst grad, k, bort. Denna procedur upprepas sedan med de noder och länkar som ännu nte blvt utslagna tlls dess att ngen ytterlgare länk eller nod kan tas bort. En annan strateg bygger på att nodernas/länkarnas ursprunglga ntermedtet, B, beräknas och sedan tas den nod/länk som har högst ntermedtet, B, bort. Processen upprepas sedan på samma sätt som vd den föregående strategn. Dessa två strateger bygger på att måtten, grad och ntermedtet, beräknas för det ursprunglga nätverket. De två ssta strategerna som används uppsatsen bygger på att måtten uppdateras efter varje utslagen nod/länk och att nästa nod/länk slås ut baserat på de uppdaterade måtten. Cructt m.fl. [7] presenterar en analys som lknar den som Holme m.fl. [3] genomförde. Skllnaden är att stället för att använda den nverterade längden och storleken hos den största komponenten som konsekvensmått används ett effektvtetsmått [8]. Effektvteten vd kommunkaton mellan två noder defneras som ε(v, v j ) = 1/ d(v, v j ) och är alltså omvänt proportonell mot den kortaste vägen mellan de två noderna. Det bör observeras att ett vktat nätverk (där avståndet mellan två noder nte nödvändgtvs är 1) beräknas den kortaste vägen mellan två noder nte genom att räkna hur många länkar som måste passeras mellan två noder utan genom att räkna avståndet eller vkten av de olka länkarna som måste passeras på vägen. Medeleffektvteten av nätverket G defneras som: E( G) = ε ( v, v j ) j G 1 1 = ( ) ( ) n n 1 n n 1 j G d( v, v ) j. (8) E(G) kallas också för nätverket G:s globala effektvtet, E Glob. Genom att defnera medeleffektvteten hos en del av nätverket, E(G ), nämlgen de noder som är grannar tll noden v, kan nätverkets lokala effektvtet, E Loc, beräknas som: E 1 = E ( ) Loc n G G. (9) Genom att dvdera E(G) med effektvteten hos ett dealt nätverk, E(G d ), erhålls ett värde mellan 0 och 1. Det deala nätverket har samtlga av de n(n-1) möjlga länkarna mellan noderna. Det globala effektvtetsmåttet kan lknas med den nverterade längden, l -1, och den lokala effektvteten fyller en lknande funkton som klustrngskoeffcenten, C. De strateger som används vd utslagnng av noder är slumpmässg utslagnng och utslagnng baserad på nodernas grad (se ovan). Albert m.fl. [9] presenterar en analys av det Nordamerkanska elnätet (n = 14 099, m = 19 657) där noderna representerar tre typer av elkraftskomponenter: generatorer, transmssonsstatoner och fördelnngsstatoner. Ett mått som kallas Connectvty Loss, 5 En länks grad beräknas genom att multplcera graderna för de noder som länken sammanbnder. 13

C L, används för att uppskatta de konsekvenser som uppstår nätverket gvet att det utsätts för en påfrestnng. Måttet defneras som: C L N g = 1, (10) N g där N g är det totala antalet generatorer nätet och N g är det antalet generatorer som kan nås va nätverket från fördelnngsstaton. Från början har samtlga fördelnngsstatoner (där elektrcteten fördelas vdare ut tll kunderna) kontakt med samtlga generatorer och C L är alltså 0. Genom att slå ut generatorer och transmssonsstatoner smulerar man påfrestnngar på elnätet. Utslagnngen sker antngen slumpmässgt eller rktat genom att alltd slå ut den staton som har högst grad eller högst belastnng, vlken antas vara proportonell mot nodens ntermedtet. Vad gäller utslagnng av den nod som har högst belastnng så används både en ursprungsstrateg och en uppdaterngsstrateg. Den senare kallar författarna för en kaskadbaserad utslagnng. Från undersöknngen av elnätet drar man slutsatserna att nätet är förhållandevs robust mot slumpmässga fel (lten öknng av C L då noder slås ut), men sårbart mot rktad utslagnng av noder. Man bör notera att smulerngen av kaskadeffekter egentlgen nte beaktar det som normalt förknppas med kaskadfel, nämlgen att en omfördelnng av lasten leder tll att kapacteten hos en länk eller nod överskrds, vlket gör att den också slås ut. I smulerngen ovan slås alltd noden som har den högsta belastnngen ut, oavsett om den har kapactet att klara belastnngen. I praktken är det endast benämnngen av denna utslagnngsstrateg som skljer den från en av de utslagnngsstrateger som Holme m.fl. använde sg av. Även Sverge har sårbarhet studerats med hjälp av nätverksmodeller. Holmgren [10] presenterar en analys av det nordska transmssonsnätet och jämför även detta med transmssonsnätet västra USA. Dessutom jämför Holmgren sårbarheten för dessa nätverk med två modellnätverk: ett slumpmässgt nätverk och ett skalfrtt. För att uppskatta de olka nätverkens funkton använder Holmgren storleken på den största komponenten, S, som frakton av storleken på hela nätverket, och den genomsnttlga nverterade längden, l -1, för den största komponenten. Två huvudsaklga typer av utslagnngsstrateger används analysen; en för att representera slumpmässga fel (slumpmässg utslagnng av noder) och en för att representera ett antagonstskt hot (utslagnng av noder med högst grad både utslagnng baserad på ursprunglg grad och omräknad grad används). Vad gäller slumpmässg utslagnng vsade sg de både modellnätverken betydlgt mndre sårbara medan när det gäller utslagnng av noder med högst grad var det endast det slumpmässga nätverket som var betydlgt mndre sårbart. De analyser som har beskrvts ovan har vart rent statska den bemärkelsen att man nte har explct försökt modellera de kaskadeffekter som kan tänkas uppstå nätverket (kaskadeffekter dskuterades kaptel 3.2). Det fnns dock ett antal analyser presenterade forsknngsltteraturen där kapacteten hos olka noder/länkar att hantera den omfördelade belastnngen som en utslagnng av en nod/länk medför har tagts hänsyn 14

tll [11-16]. I stort följer dessa analyser samma struktur som de som beskrvts ovan, med skllnaden att det sker en jämförelse mellan kapactet och belastnng nätverksmodellen. De olka teknkerna som används för att utföra analyserna skljer sg något åt. I Motter och La:s modell [11] slås överbelastade noder ut från nätverket medan Holmes [15] modell slås överbelastade länkar ut. Cructt m.fl. [14] använder ett något annorlunda tllvägagångssätt där de stället för att slå ut en överbelastad nod, reducerar kapacteten för dem. Samma tllvägagångssätt används även av Knney m.fl. [16]. I samtlga fall antas kapacteten de olka komponenterna vara proportonell mot den ursprunglga belastnngen på dem. Något som kallas Overload tolerance, α, antas sedan för de olka komponenterna, vlket kan tolkas som hur mycket extra belastnng jämfört med den ursprunglga belastnngen som komponenter kan hantera. Sammanfattnngsvs kan sägas att ett antal strateger för att slå ut noder eller länkar ett nätverk har föreslagts av ett antal olka författare. Dessa strateger kan delas n två huvudgrupper: slumpmässg utslagnng och rktad utslagnng. Vdare är det möjlgt att sklja mellan ansatser som är rent statska/strukturella och ansatser som gör anspråk på att fånga n de kaskadeffekter som kan uppstå. I båda ansatserna är det möjlgt att utnyttja de olka typerna av utslagnngsstrateger som har beskrvts ovan. 15

4 Nätverksanalys som en del en kommunal eller regonal sårbarhetsanalys Nätverksmodeller kan vara mycket användbara en kommunal, regonal, eller natonell sårbarhetsanalys för många typer av teknska system. Anlednngen tll att användnngsområdet här begränsas tll teknska system är att det är trolgt att denna typ av system lämpar sg bättre för nätverksmodellerng eftersom de kan bestå av ett stort antal delar mellan vlka relatonerna är förhållandevs lätta att kartlägga. Delarnas tllstånd, gvet vssa förändrngar systemtllståndet, är också vanlgtvs relatvt enkla att beskrva ( förhållande tll socala system). Tll exempel är det möjlgt att beskrva ett elsystem som ett antal noder, vlka är sammankopplade med länkar, där noderna representerar exempelvs nätstatoner och länkarna representerar lednngar som kopplar samman statonerna. En nätstaton kan sedan betraktas som fungerande om det fnns en (eller flera) obrutna vägar genom nätverket från den aktuella nätstatonen tll en nmatnngsnod som representerar antngen en generator, eller punkt elnätet där det fnns en kopplng tll högre spännngsnvåer (antngen tll regonnätet eller tll transmssonsnätet). Notera dock att man med en sådan representaton av ett elsystem bortser från en stor del av den dynamk som fnns det verklga systemet. Dock är abstraktoner av detta slag ofrånkomlga om syftet med analyserna är att studera systemen ur ett helhetsperspektv eftersom hänsyn tll dynamken dels kräver mycket stor datorkraft, dels kräver att mycket nformaton om de teknska systemen fnns tllgänglg. En förutsättnng för att nätverksmodellerna skall kunna användas för analys av sårbarhet enlgt den operatonella defntonen som presenterades rapporten Metoder för rsk- och sårbarhetsanalys ur ett systemperspektv [1] är att de negatva konsekvenserna tll följd av påfrestnngen på systemet kan beskrvas. Beroende på vad som en specfk analys defneras som negatva konsekvenser kan detta vara mer eller mndre problematskt. En utgångspunkt för att avgöra vad som är negatva konsekvenser är att studera vlka aktvteter som möjlggörs på grund av det teknska systemets funkton. Enlgt Lttle [17-19] är det nte det teknska systemens funkton sg som är det vktga utan snarare de aktvteter som möjlggörs av systemet: Although t may be the hardware (.e. the hghways, ppes, transmsson lnes, communcaton satelltes, and network servers) that ntally focuses dscussons of nfrastructure, t s actually the servces that these system provde that s of real value to the publc [19] De negatva konsekvenserna av en påfrestnng på ett teknskt nfrastruktursystem borde, enlgt Lttle, alltså värderas termer av hur allvarlgt påfrestnngen drabbar användarna av systemet och nte hur allvarlgt det teknska systemet själv påverkas (trots att det gvetvs ofta fnns en korrelaton mellan de två). Många av de metoder som presenterades föregående avsntt fokuserar på systemets funkton, ur ett rent teknskt perspektv, och nte på konsekvenserna för användarna och därmed är resultaten från analyserna mndre användbara för sårbarhetsanalyser som har ett samhällsperspektv, vlket är det perspektv som är fokus här. Avskten är att det här kaptlet presentera en vdareutvecklng av de metoder som tagts upp tdgare. I den 16

vdareutvecklade metoden läggs större vkt på att konsekvenserna som används analysen skall vara relevanta för samhällets sårbarhet och nte bara det teknska systemets sårbarhet, samt att metoderna skall överensstämma med den kvanttatva defntonen av sårbarhet. Två användbara begrepp arbetet med att försöka anpassa metoderna är hjälpbehov [20] och samhällsvktg verksamhet. En sårbarhetsanalys för ett teknskt system med hjälp av nätverk bör nledas med att undersöka om det fnns rsk att en påfrestnng på det aktuella systemet kan orsaka störnngar samhällsvktg verksamhet (se defnton [21]). Om så är fallet bör ett eller flera konsekvensmått kunna uttryckas med hjälp av kunskap om vad som utgör den samhällsvktga verksamheten. Exempelvs kan en samhällsvktg verksamhet vara att energförsörja en kommun och denna verksamhet kan hotas av en påfrestnng på elsystemet. Vd en sårbarhetsanalys av elsystemet måste lämplga konsekvensmått som på ett bra sätt representerar konsekvenserna av att energförsörjnngen tll kommunen begränsas konstrueras. Detta kan exempelvs nnebära att konsekvenserna mäts genom att beräkna det maxmala antalet abonnenter utan elförsörjnng under rskscenarerna, eller genom att beräkna summan av tderna som de olka abonnenterna är utan elförsörjnng rskscenarerna. Vlket/vlka konsekvensattrbut som används beror dels på vlken samhällsvktg verksamhet som avses analysen, dels på möjlgheten att få fram nformaton om attrbutet. I vssa fall kan det vara svårt eller omöjlgt att få fram tllräcklg nformaton angående olka konsekvensmått som bedömts som relevanta en sårbarhetsanalys. Av pragmatska skäl kan dessa fall en varabel som ersätter eller representerar konsekvensmåttet användas (en s.k. proxyvarabel). Exempelvs kan det vara svårt att uppskatta hur många personer som är utan vattenförsörjnng på grund av ett avbrott och då kan det vara lättare att defnera konsekvensen som antalet abonnenter som är utan vatten vd en vss tdpunkt efter påfrestnngens början. Antal abonnenter blr då en proxyvarabel för antal personer. Även om en påfrestnng på ett teknskt system nte ger upphov tll avbrott samhällsvktga verksamheter kan det fnnas andra konsekvenser som är vktga att beakta en sårbarhetsanalys. Ett sätt att komma fram tll lämplga konsekvensmått för en sådan analys är att fundera över vlka hjälpbehov som en påfrestnng på ett teknskt system kan ge upphov tll. Om exempelvs elsystemet slås ut, men de flesta kommunnvånare har tllgång tll reservkraft, uppstår ett begränsat hjälpbehov och därmed blr påfrestnngen på krshanterngsorgansatonen nte lka stor som den hade blvt om nvånarna nte hade haft tllgång tll reservkraft. Därmed är sårbarheten lägre för påfrestnngar elsystemet en kommun där de flesta nvånarna har tllgång tll reservkraft än en kommun där de nte har det, förutsatt att konsekvenserna av påfrestnngen defneras som antal personer utan elförsörjnng. På samma sätt går det att en analys av något annat teknskt system undersöka vad syftet med systemet är och vlka hjälpbehov som kan uppkomma om systemet nte fungerar som det är tänkt. En sådan analys kan vara anlednngen tll att man en sårbarhetsanalys väljer att fokusera på olka grupper av männskor som är beroende av det aktuella systemet. Exempelvs kan man tänka sg att äldre och handkappade männskors hjälpbehov är större än andra männskors hjälpbehov vd ett elavbrott (detta är dock nte säkert eftersom det vsat sg att många äldre som bor själva utanför städer kan klara ett bortfall av elförsörjnng 17

förvånansvärt bra, t.o.m. bättre än barnfamljer, vlket stormen Gudrun llustrerade på ett tydlgt sätt). I sådana fall kan man defnera ett konsekvensattrbut för var och en av grupperna analysen. Anlednngen tll att just nätverksmodellerna är lämplga det här sammanhanget är att man kan låta ett datorprogram generera rskscenarerna för det system som man är ntresserad av och på så vs reducera arbetet som måste läggas ner på analysen. Om nte datorprogrammet kan generera rskscenarerna samt deras konsekvenser och sannolkheter måste detta göras manuellt vlket kan ta mycket lång td för stora system. Datorprogram kan också konstrueras så att de utgår från den operatonella defntonen av sårbarhet och sedan presenterar sårbarheten för en specfk påfrestnng på ett mer lättförståelgt och överskådlgt sätt än vad annars hade vart möjlgt. Defntonen av sårbarhet nnebär ju en lsta med en uppräknng av de rskscenarer som kan bl resultatet av påfrestnngen, samt deras respektve sannolkhet (gvet påfrestnngen) och konsekvens. Denna lsta kan bl mycket lång för stora system. En sådan lsta kan därför vara svår att tolka och genom att ett datorprogram förenklar presentatonen av resultatet underlättas även tolknngen av resultatet. För att kunna konstruera lämplga mått på konsekvenser, d.v.s. att koppla nätverkets struktur tll dess funkton, är det vktgt att domänkunskap fnns om systemen. Hur systemets tllståndsvarabler beror av varandra har nämlgen att göra med vlken typ av teknskt system som studeras. En vanlg typ av system är sådana där en systemdels funkton bestäms av om den har kontakt med en eller flera specella systemdelar, exempelvs huruvda en fastghet ett vattendstrbutonsnät har fyssk kontakt (d.v.s. det kan flöda vatten mellan delarna) med vattentornet va lednngsnätverket, eller huruvda en nätstaton ett elsystem har kontakt med en nmatnngspunkt. I sådana system kan en nätverkmodell för systemet tas fram och funktonen hos de olka delarna kan bestämmas med hjälp av nätverksmodellen och kunskap om den påfrestnng som sårbarheten systemet skall analyseras för. I föregående avsntt beskrevs två huvudsaklga typer av påfrestnngar som nätverksmodellerna kan användas för att analysera: slumpmässg utslagnng av systemets komponenter och rktad utslagnng av systemets komponenter. Beskrvnngarna av påfrestnngarna defnerar vanlgtvs nte systemets tllstånd entydgt, d.v.s. det fnns flera olka systemtllstånd som stämmer överens på beskrvnngarna. Om man exempelvs är ntresserad av att undersöka ett systems sårbarhet för slumpmässg utslagnng av 10% av systemets delar fnns det många systemtllstånd som stämmer överens med den beskrvnngen. Om systemet har 10 delar fnns det närmare bestämt 10 systemtllstånd som stämmer överens med beskrvnngen. I den operatonella defntonen av sårbarhet [1] som används denna rapport betecknas en påfrestnng som T P. Notera att denna påfrestnng på systemet nte behöver vara ett ensklt systemtllstånd utan kan vara en uppsättnng systemtllstånd, vlket alltså stämmer väl överens med användnngen av begreppet påfrestnng detta kaptel. Systemets sårbarhet för påfrestnngen defneras, enlghet med den operatonella defntonen av sårbarhet, som ett antal rskscenarer och deras respektve sannolkhet (betngat på påfrestnngen) och konsekvens. Eftersom det för stora system kan vara svårt att få en överblck över en sådan uppsättnng scenarer är det ofta svårt att presentera resultatet från en 18

sårbarhetsanalys genom att endast rada upp dessa scenarer. Därför brukar stället de förväntade konsekvenserna gvet den aktuella påfrestnngen användas då resultatet från analysen presenteras. Detta nnebär att om en vss påfrestnng på ett system kan ge upphov tll ett antal olka rskscenarer analyseras den förväntade konsekvensen genom att beräkna produkten av sannolkheten och konsekvensen för varje rskscenaro och sedan summera dessa produkter för samtlga rskscenarer. Det är denna teknk som kommer att användas här och som också används av merparten av de metoder som beskrvts tdgare kaptlet. Andra sätt att presentera sårbarheten är att även vsa på sprdnngen de möjlga utfallen, exempelvs genom att presentera kumulatva sannolkhetsfördelnngar, analoga med FN-kurvorna som används fltgt nom rskanalys, eller att presentera konfdensntervall. Skllnaden är att kurvorna när det gäller sårbarhetsanalys är betngade på att systemet är utsatt för en specfk påfrestnng. Det kanske mest användbara måttet det här sammanhanget som föreslagts är Connectvty loss, C L, [9] som använts vd analys av elnätverk. Måttet mäter hur stor andel av det totala antalet generatorer ett elnätverk som har kontakt med en vss fördelnngsstaton. Även om det är ett förhållandevs bra mått kan det förbättras genom att man utgår från vad som är syftet med systemet, nämlgen att leverera elektrctet tll abonnenter. Det är när det sker elavbrott för abonnenter som ett möjlgt hjälpbehov uppstår och därför vore det bättre att ha ett mått som mäter hur många abonnenter som nte är kontakt med en nmatnngspunkt. Måttet förutsätter att alla abonnenter, ur ett konsekvensperspektv, kan betraktas som lka. Det vktga är huruvda det fnns en väg genom nätet tll åtmnstone en nmatnngspunkt. Genom att göra antagandet att en oavbruten väg genom nätet tll en abonnent medför att elektrctet kan levereras bortser man från de teknska problem, exempelvs överbelastnng av komponenter och stabltet, som kan uppkomma och som kan medföra att elektrctet nte kan levereras tll en abonnent trots att en fyssk förbndelse fnns genom elnätet. Att alla abonnenter ett elnätverk skulle vara lkvärdga ur ett konsekvensperspektv är nte sant vlket utvecklas senare kaptlet då kopplngen mellan socal sårbarhet och nätverksanalys dskuteras. 4.1 En metod för analys av ett teknskt systems sårbarhet För att nte bara vara begränsade tll att analysera elsystem måste analysteknken som presenteras här på något sätt beskrvas med generella termer som passar n på flera teknska system med relevans för krshanterng. Utfrån en sådan generell beskrvnng kan man sedan formulera användbara mått på vad som menas med sårbarhet ett specfkt systemen. Många teknska system (el, vatten, avlopp, etc.) kan ses som nätverk som tllhandahåller någon typ av resurs tll männskor eller organsatoner. I det här sammanhanget använder v begreppet agent för att representera den/de som är behov av den aktuella resursen. En analys av ett teknskt system bör nledas med att bestämma hur konsekvenserna av påfrestnngen skall mätas. Ett sätt att göra detta är att ta reda på vlka agenter som är beroende av det aktuella systemet och om det fnns skäl att dela n dessa olka grupper. Indelnng grupper kan vara aktuellt om agenterna, ur ett konsekvensperspektv, nte kan betraktas som lkvärdga. Om en sårbarhetsanalys genomförs för ett vattendstrbutonssystem en kommun och de agenter som är beroende av systemet är prvata hushåll, olka företag och organsatoner kan det vara 19