FORSA en mikrokurs MSB:s RSA-konferens, WTC, 2015-05-04 Vidar Hedtjärn Swaling, Analytiker Totalförsvarets forskningsinstitut (FOI) Enh. Samhällets säkerhet Avd. för försvarsanalys
Målsättning Lära känna FORSA, FOI:s RSA-modell, inkl. begrepp som beroenden, förmåga, konsekvenser, sårbarhet och åtgärder allt enligt FORSA. (Ett praktiskt tillvägagångssätt att ta med er hem) 2
Uppläggning Intro till RSA Några grundläggande begrepp FORSA från ax till limpa modellens 6 block Diskussion och frågor 3
Risk- och sårbarhetsanalys sid 32-46 4
Risk- och sårbarhetsanalys Systematisk identifiering, analys och dokumentation av hot och risker som kan påverka den egna verksamheten eller ansvarsområdet Fokus på extraordinära händelser Det finns flera olika metoder för att arbeta med RSA (ROSA, MVA, IBERO och FORSA) MSB:s föreskrifter och vägledningar KBM:s modell för beroendeanalys 5
Syftet med RSA, sid 35-26 Beslutsunderlag Informationsspridning Skapa en övergripande nationell riskbild för samhället Stärka samhällets krisberedskap Öka medvetenheten om risker och den egna verksamheten 6
FOI:s RSA-modell (FORSA) Framtagen på uppdrag av Stockholms stad 2007 2011. Bygger på vetenskapligt publicerade resultat Följer lagar, föreskrifter, och vägledningar Erfarenheter internt FOI genom forskning och studier (bl.a. Climatools) Handbok 7
FOI:s RSA-modell (FORSA) 8
Block 1 Verksamhetsbeskrivning sid. 59-64 9
Block 1: Verksamhetsbeskrivning Aktiviteter/uppgifter Roller och ansvarsområden Samhällsviktig/skyddsvärd verksamhet Prioriterade åtaganden Kritiska beroenden Disponibla resurser 10
Identifiering av samhällsviktig verksamhet och prioriterade åtaganden Vilka verksamheter måste upprätthållas för att oacceptabla konsekvenser inte ska inträffa? Kopplat till skyddsvärden som människa, miljö, egendom och samhällets funktionalitet Ex. dricksvattenförsörjning, räddningstjänst, äldreomsorg Vilka är dessa verksamheters prioriterade åtaganden? Ex. äldreomsorg: Tillhandahålla vatten, mat och medicin till de äldre Ex. dricksvattenförsörjning: Distribuera tjänligt dricksvatten till kommunens samtliga innevånare 11
Identifiering av verksamheter Ansvar, uppgifter och mål (regleringsbrev, instruktioner, styrdokument e dyl.) Viktiga processer och resurser (system, personal etc.) Tyst kunskap? Tänk på: Avgränsning allt är inte lika viktigt/relevant Prioritering vissa saker är viktigare än andra Förenkling anpassa scopet till resurser för analys och åtgärder Iteration RSA som lärande process 12
Exempel: Kommunal verksamhet Kommunal verksamhet Förvaltning Förvaltning Förvaltning Bolag Bolag Bolag Geografiskt områdesansvar Tele AB Vårdhemmet AB Livs AB 13
Beroenden Vad behöver verksamheten för att fungera? Beroenden kan vara: Konkreta eller abstrakta (tekniska system vs. processer) Interna eller externa (lokaler vs. infrastruktur) Beroendena kan ha stötdämpare som skyddar de resurser som verksamheten är beroende av Redundans, substitut och adaptivitet Ex. reservkraft, livsmedelslager 14
Kritiska beroenden Kritiska beroenden är beroenden som är avgörande för att de prioriterade åtagandena ska kunna upprätthållas. Stötdämpare saknas! (Faller en faller då alla?, s. 13) Karaktäriseras av att ett bortfall eller en störning [ ] relativt omgående leder till funktionsnedsättningar. Den drabbade verksamheten kännetecknas av att den saknar uthållighet, redundans och möjlighet att ersätta eller fungera utan den resurs som fallit bort. (Vägledning för samhällsviktig verksamhet, s. 11) 15
Ex.: Interna kritiska beroenden Personal Information och interna IT-system Lokaler Rutiner och processer 16
Ex.: Externa kritiska beroenden Infrastruktur Transporter Varor och tjänster Entreprenörer Information och samarbete 17
Ett exempel Verksamhet: Äldreomsorg IT-system Stötdämpare: Backup Dricksvatten Stötdämpare: Vattenflaskor 150 liter Personal Inga stötdämpare Prioriterade åtaganden Ge vatten och mat Ge rätt medicinering Hålla de äldre varma Krisledning 18
Block 2 Oönskade händelser sid 65-72 19
Block 2: Oönskade händelser Vilka oönskade händelser kan påverka (är relevanta för) verksamheten? Sannolikhet att de inträffar? Konsekvens om de inträffar? 20
Oönskade händelser exempel Naturhändelser/-olyckor (storm, kraftigt skyfall) Tekniska fel (pga. design, tillverkning, material, slitage, driftmiljö) Omedvetna mänskliga handlingar (operatörsfel, den mänskliga faktorn ) Antagonistiska händelser (sabotage, terrorism) 21
Konsekvensbedömning Det första steget i riskbedömningen är en värdering av de oönskade händelsernas konsekvenser Hur påverkas våra kritiska beroenden? (verksamheten) Hur påverkas våra prioriterade åtaganden? (samhället) 22
Sannolikhetsbedömning Ett knepigt fält För att få bedömningarna riktigt bra krävs dataunderlag och långtgående verifiering av beräkningar och antaganden Alternativ Arbeta med en relativ skala Försök ordna händelserna med avseende på sannolikhet Enklare med sannolikheter i ord? Mycket låg Mycket hög 23
Riskmatris kvalitativ/relativ 24
Exempel på informationskällor Incidentrapporter Erfarenheter från inträffade händelser Omvärldsbevakning Checklistor eller befintliga kategoriseringar av händelser, se t.ex. Handbok för riskanalys (SRV) i bokpaketet 25
Block 3 Händelseanalys sid 73-86 26
Block 3: Händelseanalys Hur sårbara är de kritiska beroendena? Vilken förmåga har verksamheten att upprätthålla sina prioriterade åtaganden? Vad innebär detta för krisberedskapen? (vad får detta för konsekvenser för samhället/skyddsvärden?) 27
Sårbarhet De egenskaper eller förhållanden som gör ett samhälle, ett system, eller egendom mottagligt för de skadliga effekterna av en händelse. (MSBFS 2015) Speglar/indikerar de konsekvenser som man trots en viss förmåga inte lyckas: Förutse Hantera Motstå Återhämta sig från 28
Konsekvenser (påverkan på skyddsvärden) 29
Sårbarhet, förmåga, konsekvens Sårbarhet Händelse Verksamhet Konsekvens (Grad av) sårbarhet Förmåga att förutse, hantera, motstå och återhämta sig från händelsen 30
Typiska förmågor Leda den egna verksamheten Ta beslut inom sitt eget verksamhetsområde Sprida snabb, korrekt och tillförlitlig information Samverka med andra aktörer Hantera konsekvenserna av inträffade händelser 31
Skyfall Konsekvenser på skyddsvärden Från händelse till konsekvens (beroenden, sårbarhet, förmåga, konsekvenser, åtgärder) Verksamhet: Äldreomsorg IT-system Stötdämpare: Backup Dricksvatten Stötdämpare: Vattenflaskor 150 liter Personal Inga stötdämpare Prioriterade uppgifter Ge vatten och mat Ge rätt medicinering Hålla de äldre varma Sårbarheter Krisledning Sårbarhet för händelsen 32 Förmåga hur väl verksamheten kan förebygga, hantera och återhämta sig från händelsen
Bedömningsskalor Sårbarhet 33
Bedömningsskalor Förmåga 34
Bedömningsskalor Konsekvens 35
Block 4 Åtgärder sid 87-94 36
Block 4: Åtgärder Redovisning till MSB: Planerade åtgärder Genomförda åtgärder Behov av nya åtgärder 37
Åtgärder olika typer Eliminera oönskade händelser eller sårbarheten för dem Minska sannolikheten för den oönskade händelsen eller för sårbarheten Minska konsekvenserna om den oönskade händelsen inträffar Hantera krisen när den inträffar (se föreg.) Återgå till normaltillståndet 38
Exempel på åtgärder förebygga Eliminera flytta bebyggelse Minska sannolikheten bygga vallar Minska konsekvenserna garage på nedre botten 39
Exempel på åtgärder hantera Akut hantering sandsäckar, pumpar Återställa reparationer, ny reservmateriel, personalvård (debriefing, ledighet) 40
Identifiera behov av åtgärder Identifierade sårbarheter 41
Identifiera möjliga åtgärder Ett behov kan tillgodoses på flera sätt, exempelvis genom Fysiska åtgärder Organisatoriska åtgärder Administrativa åtgärder Övningar, utbildning Information Sen återstår en kostnadsnyttoanalys och att bestämma ägarskap av åtgärden 42
Block 5 Arbetsredogörelse sid 95-96 43
Block 5: Arbetsredogörelse Tillvägagångssätt Deltagare Källor Åtgång av tid och resurser 44
Block 5: Arbetsredogörelse Syften: Kunskapsöverföring Bedöma tillförlitligheten Effektivisera RSA-processen 45
Block 6 Att gå vidare i den egna verksamheten sid 97 46
Block 6: Att gå vidare i den egna verksamheten Utanför rapporteringskraven men är ändå en del av RSA Vilka av de egna åtgärdsförslagen ska man genomföra? Hur kommuniceras resultaten av RSA till övriga i organisationen? 47
Diskussion och frågor Vidar Hedtjärn Swaling vidar.hedtjarn.swaling@foi.se