Logiska fallgropar vid riskanalys, vad styr våra bedömningar?

All form av kvalitativt säkerhetsarbete kräver att någon form av analys görs av den omvärld vi verkar i. Detta kan ske på olika sätt och benämnas olika saker. Vad som dock är viktigt att ha i åtanke är att det resultat som genereras inte är något objektivt facit. Det är till största del ett resultat baserat på subjektiva bedömningar.

I grunden består analysen av bedömningar av konsekvenser och sannolikheter för oönskade händelser (risker). Av dessa är konsekvenser de som kan tyckas vara den enklare att bedöma. Som vi ska se bygger även dessa bedömningar på mer irrationella grunder än vad vi tror. Den största osäkerheten ligger dock i bedömning av sannolikheter där logiska fallgropar inte är ovanliga.

Tage Danielssons monolog om sannolikheter får inleda.

Sannolikhet

Du är en av deltagarna i gruppen som ska genomföra verksamhetens riskanalys. Ni är alla kompetenta, ni känner väl till verksamheten och är förtrogna med att genomföra riskanalyser. Ni har redan presenterat ett antal scenarier med olika risker och idag är det tänkt att ni ska analysera dem mer systematiskt.

En aktivistgrupp som gjort sig kända för sin förmåga att genomföra cyberattacker har under de senaste veckorna fått allt mer publicitet i media.

Du ska ta ställning till sannolikheten på två risker som är uppe för diskussion. Vilken av riskerna nedan anser du ha en högre sannolikhet?

1) Er hemsida utsätts för en cyberattack
2) Er hemsida utsätts för en cyberattack genomförd av aktivistgruppen i fråga.

Om du angav en högre sannolikhet på alternativ 2 hamnade du i en logisk fallgrop som kallas för Conjunction fallacy. Det beskrivs som uppfattningen att en kombination av händelser är mer sannolika än en enstaka händelse.

Vi bör nog här reda ut några begrepp, nämligen rimlighet och sannolikhet. I dagligt tal används dessa begrepp ofta som synonymer. Det är i sak inte fel men vad som blir problematiskt är när det sätts ett lika med tecken mellan rimlighet och matematisk sannolikhet. Det kan mycket väl vara så att den mest rimliga oönskade händelsen (risken) är att vår hemsida blir angripen av en specifik aktivistgrupp, det är dock inte den matematiskt mest sannolika risken.

Nära förknippat med detta är ett logisk fallgrop som inte bara gör att kasinoverksamhet fungerar, utan att det dessutom är väldigt lönsamt (för kasinot). Det handlar om vår tro på att det förflutna påverkar den framtida sannolikheten. Om något har inträffat ofta så är sannolikheten större att det inträffar igen. Resonemanget kan dock vara tvärt om också, för varje gång som roulettkulan hamnar på svart så ökar sannolikheten för att den ska hamna på rött. Om vi tänker efter så inser vi felet, det är ju inte så att kulan “kommer ihåg” på vilken färg den hamnade senast.

roulettbord

Åter igen har känslomässigt rimliga antaganden blandats ihop med matematiska sannolikheter.

För att förtydliga skillnaden borde man i samband med riskanalyser ibland kanske uttrycka sig i termer av rimlighet och konsekvens, istället för sannolikhet och konsekvens?

Nästa sannolikhet du ska bedöma är en uppföljning baserat på vidtagna  skyddsåtgärder som har gjorts för att stärka upp verksamhetens cybersäkerhet. Er brandvägg har uppdaterats med en programvara som slumpvis scannar av inkomna mejl. Programvaran kan med 95 % säkerhet upptäcka eventuella phishingmejl. Enligt era bedömningar är ungefär 1 av 1000 mottagna mejl sk phishingmejl.

Hur stor är sannolikheten att ett mejl som programmet flaggar upp som ett  phishingmejl faktiskt är det?

De allra flesta svarar att sannolikheten för det är c:a 95 %. I själva verket är det  korrekta svaret närmare 2%! Detta kallas för Base rate fallacy. Vad som missas här är det underliggande antalet av 1000 mejl.  Med så många mejl kommer en felmarginal på 5 % att generera många “falska varningar” jämfört med enbart ett korrekt identifierat phishingmejl. Viktigt att komma ihåg att detta bygger på ett urvalet verkligen är slumpvist gjort utan någon annan analys, t.ex. avsändarland.

Konsekvens

I vissa typer av analyser har bedömning av sannolikheter medvetet valts bort och de utgår istället från konsekvenser. Skälen till detta är att det antingen är helt omöjligt att på ett användbart sätt uttala sig om sannolikheter (t.ex. om något som aldrig har hänt) eller så är det som ska skyddas så viktigt att sannolikheter inte spelar någon roll. Exempelvis i en säkerhetsskyddsanalys. Skyddsåtgärder måste vidtas oavsett nivå på sannolikhet. Ett i sammanhanget intressant undantag från detta finns på sidan 8 i Säpos vägledning för informationssäkerhet gällande indelning i säkerhetsskyddsklasser.

I stället för att utgå ifrån det värsta tänkbara scenariot bör bedömningen ske utifrån vad som är det värsta rimliga scenariot om uppgifterna röjs.

Konsekvenser kan sägas vara enklare att göra bedömningar av eftersom de upplevs som mer konkreta än sannolikheter. Även här finns det dock logiska fallgropar som kan leda oss fel i bedömningarna.

I följande exempel har vi en grupp bestående av 600 människor som ska genomgå ett vaccinationsprogram med följande konsekvenser.

Program A: ”200 människor kommer att räddas”•
Program B: ”400 människor kommer att dö”•

Spontant skulle de flesta svara att program A är att föredra eftersom program B har sådana negativa konsekvenser. Just detta exempel är väldigt enkelt och det blir snabbt uppenbart att det inte är någon skillnad mellan programmen. Poängen är dock att även om utfallet är detsamma är vår uppfattning om konsekvens beroende av om den presenteras i positiva eller negativa utfall.

I exemplet ovan spelade det egentligen ingen roll vilket program som valdes men även i situationer där konsekvensen är känd och hur vi väljer att agera kan vara fråga om liv eller död är vår syn på konsekvens ibland märklig. Människor tenderar att föredra normaltillstånd vilket resulterar i att även stora konsekvenser ignoreras. Ett sådant exempel som jag har skrivit om här är att trots omfattande kampanjer och utskick har den absoluta majoriteten av människor i Sverige helt struntat i att förbereda sig för en kris.

Ironiskt nog kan även det motsatta vara sant. En del konsekvenser gör oss så illa till mods och bedöms som så stora och obehagliga att de kommer att prioriteras framför andra konsekvenser som i praktiken är mer påtagliga. De flesta människor har inga problem med att vistas i trafiken eller köra elsparkcykel mitt i stan. Samtidigt är de oroliga för att drabbas av ett terrorattentat.

Hyr trygga eller otrygga vi känner oss påverkar således hur vi ser på konsekvenser och vilka risker vi är beredda att ta. Denna känsla är i sin tur beroende av ett flertal faktorer såsom t.ex. erfarenhet, ålder, kunskap, upplevd kontroll m.m.

Ett intressant exempel från just trafiken på människors riskbenägenhet är högertrafikomläggningen 1967. Den nya situationen gjorde att människor kände sig mindre trygga i trafiken och blev därmed mindre riskbenägna. Detta visade sig att antalet trafikolyckor minskade kraftigt direkt efter omläggningen, för att senare återgå till de tidigare nivåerna.

Kungsgatan_1967 eiskanalys och riskbenägenhet
Högertrafikomläggningen, Stockholm, Kungsgatan 1967

Ovan har endast en kort presentation gjorts av “riskerna med en riskanalys”. Förhoppningsvis har det ändå gjorts tydligt hur viktigt det är att vara medveten om de subjektiva och psykologiska faktorer som påverkar våra bedömningar. Vi kommer aldrig att kunna frigöra oss ifrån dem. Vi kan däremot se till att rätt personer gör riskanalyser och att dessa reflekterar över sina bedömningar. Detta  kommer att ge oss mer nyanserade och förhoppningsvis mer verklighetsförankrade analyser.

Slutprov

Avslutningsvis en sista fråga. Kärnkraftsolyckan i Harrisburg har vi idag facit på, men hur är det egentligen med kärnkraftsolyckan i Fukushima? Vilka konsekvenser ledde den till? Om du bara skulle göra en bedömning av dess konsekvenser, vad tror du om antalet döda och antalet döda p.g.a. radioaktivt utsläpp?

Korrekt svar är c:a 18500 döda. De flesta av dessa dog i olika olyckor i samband med jordbävningen och den efterföljande tsunamin.  Antalet döda till följd av radioaktivt utsläpp från kärnkraftverket var endast en enda person.

Jag skulle gissa att ditt svar var väsentligt annorlunda. Än en gång har det påverkats av en mängd faktorer, troligtvis för att du som läste detta var en människa.

 

 

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *