W ostatnim czasie koronawirus stał się powodem do ogromnej paniki na całym świecie. Akcja informacyjna ze strony służb i organizacji w jednych krajach bywa lepsza w innych gorsza. Wzmaga to obawy do poziomu strachu czy nawet paniki, co może doprowadzić do większego kryzysu niż sam wirus.
Dlaczego tak jest?
Człowiek w sytuacji zbyt małej ilości informacji czuje się zagrożony. Są to mechanizmy wypracowane przez ewolucję i można je sprowadzić do stwierdzenia:
„Nie znam zagrożenia – ucieknę. Przynajmniej przeżyję.”
Problemem jest jednak to, że nie bardzo jest, dokąd uciec. Dlatego w dzisiejszym artykule postaramy się podać informacje, które pozwolą rozumieć zagrożenia (nie tylko koronawirusa) oraz ryzyko, a także przedstawić sposób w jaki projektować zabezpieczenia.
Poczucie bezpieczeństwa vs bezpieczeństwo
Wprowadzając w tematykę szacowania i oceny ryzyka, warto jest wskazać jakie są związki realnego poziomu zagrożeń, bezpieczeństwa oraz poczucia bezpieczeństwa. W naszych szkoleniach posługujemy się matrycą opracowaną w Instytucie Bezpieczeństwa i Informacji, obrazującą cztery poziomy poczucia bezpieczeństwa wg. D. Freia.
Są to:
- Stan niezagrożenia – w którym zagrożenia dla podmiotu nie występują i dokładnie tak samo są postrzegane,
- Stan zagrożenia – w którym zagrożenia dla podmiotu występują i tak samo są postrzegane.
Te dwa stany są stanami prawidłowymi, do których dążymy między innymi poprzez analizy zagrożeń jak i szacowanie i ocenę ryzyka (są to dwa różne działania). Pozostałe dwa stany, które są stanami negatywnymi to:
- Fałszywe bezpieczeństwo – czyli postrzegamy zagrożenia jako niskie, ale faktycznie są one wysokie.
- Obsesja – czyli zagrożenia nie są wysokie, ale postrzegamy je jako wysokie.
Celem artykułu jest jednak pokazanie warsztatu specjalistów i managerów bezpieczeństwa oraz zarządzania kryzysowego i ciągłości działania. Dlatego nie będziemy odnosić się do doniesień medialnych czy raportów skupiając się na tzw. “rzemiośle”.
BOW – TIE
Jednym z narzędzi, które stosujemy na większości szkoleń jest BOW-TIE. Z angielskiego muszka. Nazwa pochodzi od kształtu analizy, w której pośrodku kartki czy arkusza znajduje się tzw. zdarzenie szczytowe (top-event), po lewej zdarzenia i ich kombinacje, które doprowadziły do zdarzenia (źródła zagrożeń i zagrożenia), a po prawej skutki, które mogą nastąpić w wyniku zagrożenia.
Przyczyny
Przyczyny często są rozpatrywane w formie tzw. drzewa błędów lub drzewa niezdatności (FTA – fault tree analysis). Dla systemów bezpieczeństwa o wysokim poziomie skomplikowania oraz poważnej sile oddziaływania zagrożenia stosujemy sformalizowaną ocenę opisaną np. w normie PN-EN 60125 (dostępna w sklepie Polskiego Komitetu Normalizacyjnego https://sklep.pkn.pl/pn-en-61025-2007e.html ). W podejściu mniej sformalizowanym jako obrazowanie przyczyn możemy zastosować drzewo błędów w formie uproszczonej, co pokażemy w niniejszym artykule.
Skutki
Analogicznie do przyczyn, skutki również możemy przedstawić w formie drzewa zdarzeń (ETA – event tree analysis). I w tym obszarze również mamy normę (PN-EN 60502).
Szacowanie i ocena ryzyka – kompletny proces
Pełny proces szacowania i oceny ryzyka zawiera etapy. Niezależnie od obszaru bezpieczeństwa, dla którego są wykonywane. Co do zasady są dwa główne i zawierają kroki do wykonania:
- Analiza zagrożeń,
- Szacowanie i ocena ryzyka.
Analiza zagrożeń
Celem analizy zagrożeń jest zidentyfikowanie zagrożeń występujących w otoczeniu i organizacji, ocena siły ich oddziaływania oraz prawdopodobieństwa wystąpienia i naruszenia zasobu lub procesu. Etapy, które można wyróżnić to:
- Identyfikacja i wartościowanie zasobów (co do zasady sub-proces, ponieważ formalnie powinien być wykonany przez właścicieli zasobów i procesów oraz poddany analizie przez zarządzających przed formalną analizą zagrożeń);
- Identyfikacja zagrożeń (i ich źródeł);
- Analiza podatności zasobów na zagrożenia.
Ten ostatni aspekt jest bardzo często pomijany w analizach co widać między innymi przy koronawirusie. Wiele osób od razu przechodzi do skutków próbując je mitygować, zapominając, że zacząć należy od podatności. Podatność to:
Słabość zasobu, którą może wykorzystać zagrożenie.
W dalszej części dokładnie wskażemy elementy podatności i opisu a także ograniczania ich.
Szacowanie i ocena ryzyka
Szacowanie i ocena ryzyka to już poszukiwanie skutków zdarzenia szczytowego. W tym obszarze ocenie poddawane są:
- Możliwość wystąpienia skutku,
- Prawdopodobieństwo wystąpienia skutku.
Przejdźmy do praktyki
Zgodnie ze strukturą BOW-TIE:
Zdarzenie szczytowe: zakażenie wirusem
Dlaczego tak?
W tym miejscu zamiast przekonywać, postaramy się naprowadzić na prawidłowe rozumienie słowa RYZYKO:
- Czy ryzykiem jest to, że jestem zakażony, czy to, że mogę umrzeć? (skutek – zgon);
- Czy ryzykiem jest to, że jestem zakażony, czy to, że mogę mieć powikłania? (skutek – utrata zdrowia);
- Czy ryzykiem jest to, że mój personel jest zakażony, czy to, że przestanę działać biznesowo? (skutek – utrata zdolności operacyjnych):
I na tym poprzestaniemy nie wyprzedając analizy.
Zagrożenia
Lewa strona muszki to zestawienie zagrożeń. Przykładowe zagrożenia, które opisaliśmy w trakcie identyfikacji zagrożeń to:
- Działanie człowieka (błędne) (zagrożenie) z powodu braku właściwej higieny (źródło zagrożenia);
- Działanie człowieka (zagrożenie) z powodu błędu (źródło zagrożenia);
- Działanie człowieka (zagrożenie) z powodu “nieśmiertelności”, a więc przeświadczenia, że “mnie to nie dotknie” albo “jestem super-odporny” (źródło zagrożenia). Cechy dość charakterystycznej u Słowian. (Dziś nie będziemy się zajmować analizą PEST, która określa kontekst. Niemniej czynniki społeczne i właśnie takie nastawienie powinny być zidentyfikowane dużo wcześniej, w trakcie analizy kontekstu zewnętrznego).
- Brak reakcji władz (zagrożenie) z powodu braku wiedzy (procedur) (źródło zagrożenia);
Brak reakcji władz (zagrożenie) z powodu okresu przedwyborczego (źródło zagrożenia, cykliczne, kalendarzowe Jak w przypadku “nieśmiertelności” dziś jednak nie będziemy zajmować się tym zakresem. Dla wprowadzenia czynnik P – polityczne w analizie PEST(LE).
Z racji objętości artykułu nie jesteśmy w stanie opisać dokładnie wszystkich zagrożeń z ich źródłami i kombinacjami (niektóre zagrożenia stanowią źródła dla zagrożeń innych).
Zagrożenie wieloźródłowe
Jak widać na mapce, w przypadku koronawirusa występuje zagrożenie wieloźródłowe. Jest to standard w zagrożeniach, bardzo rzadko mamy do czynienia z wystąpieniem zdarzenia jednoźródłowego. Niestety w Polsce dość powszechną kwestią jest szukanie “jednego winnego”. Jest to ogromny błąd metodyczny, który uniemożliwia budowanie skutecznych systemów zabezpieczeń, w których zachodzi korelacja i wsparcie wzajemne zabezpieczeń w przeciwdziałaniu zagrożeniu.
Działanie człowieka + wystąpienie koronawirusa
Kombinacja tych dwóch czynników wydaje się najbardziej prawdopodobna. W analizach zagrożeń (jeszcze nie ryzyka) oceniamy prawdopodobieństwo podobnie jak w ryzyku. Dlatego wybór kolejności rozpatrywania zagrożeń oraz kombinacji zagrożeń prowadzących do zdarzenia szczytowego opieramy między innymi na prawdopodobieństwie.
Drugim aspektem, który należy wziąć pod uwagę definiując kolejność działania jest siła oddziaływania dla zagrożenia i skala skutku dla ryzyka. Odchodząc nieco od koronawirusa, przypadek najczęściej przytaczany dla siły zagrożenia, to woda w systemach IT.
Inną siłę ma woda w ilości 250 ml (szklana), inną pęknięcie rury, a jeszcze inne woda z powodzi (woda stojąca).
Każde zagrożenie możemy wyskalować co do siły oddziaływania. W naszym przykładzie musimy oszacować siłę zagrożenia dla obu czynników (węzły najbliżej zdarzenia szczytowego):
- Dla działania człowieka – bardzo duża. Brak świadomości i higieny powoduje po prostu “otwarcie drzwi do organizmu” jeśli tylko wirus się pojawi w otoczeniu (formalnie, gdy dojdzie do ekspozycji);
- Dla występowania wirusa – wysoka (na podstawie doniesień prasowych i danych z WHO).
Mamy już więc dwa parametry niezbędne nam do podjęcia decyzji, która kombinacja zagrożeń będzie jako pierwsza (z racji objętości materiału nie jesteśmy w stanie zaprezentować pełnej pracy analitycznej, a jedynie niektóre etapy). Są to:
- Prawdopodobieństwo;
- Siła oddziaływania.
Warstwy zabezpieczeń – czyli jak się chronić
Na mapce między źródłami zagrożeń, zagrożeniami i zdarzeniem szczytowym mamy oznaczenia z literkami “Z”. Występują one zarówno po stronie zagrożeń jaki ryzyka. Oznaczają zabezpieczenia. Struktura jest oparta o oznaczenia konspektowe, a więc zabezpieczenie pomiędzy najbliższym węzłem zagrożenia czy ryzyka ma oznaczenie literowe przed kropką np. “1.”, a zabezpieczenie na źródło (lub kilka źródeł) po kropce. Analogicznie dla ryzyka, ryzyko kolejnego stopnia ma oznaczenie po kropce.
Mała dygresja
Przy projektowaniu zabezpieczeń częstą sytuacją jest ich ograniczony katalog. Mimo wielu kombinacji źródeł zagrożeń, ich siły – zabezpieczenia, które ograniczają prawdopodobieństwo lub zmniejszają siłę oddziaływania są takie same lub bardzo podobne.
Przykład:
Dla zagrożenia z działania człowieka, źródło “brak edukacji” zabezpieczenie będą programy security awareness i szkolenia podobnie jak dla zagrożenia “brak wiedzy”, które jest bezpośrednią przyczyną wystąpienia zakażenia.
Siła oddziaływania zabezpieczenia
Jednym z istotniejszych elementów pracy analityka bezpieczeństwa, którego zadaniem jest zgromadzenie informacji od źródeł, jest też określenie siły oddziaływania zabezpieczenia na konkretne zagrożenie. Siła ta może być opisana w jednolitej skali, ale być przypisana do parametru zagrożenia.
Przykład
Po tym dość długim metodycznym wstępie, czas na powrót do naszego przykładu:
Zagrożenie: Działanie człowieka
Źródło 1: Brak edukacji
Zabezpieczenie: Z.Z.1.01:
- szkolenie z zakresu higieny,
- edukacja z zakresu możliwych punktów, przez które może dojść do zakażenia: śluzówki, w tym w ustach (pod językiem) czy oczy. Informacje o zasadach zachowania, w tym unikania skupisk ludzi, miejsc w których może dojść do zakażenia (kampania security awareness, w formatach infografik, maili, komiksów).
Siła oddziaływania: średnia do wysokiej (ograniczenie ekspozycji na zagrożenie, ograniczenie źródła wnikania wirusa).
Uwagi: Do ujęcia w travel policy (polityce podróżnej), szczególnie dla osób udających się w dalsze podróże.
Źródło 2: Brak środków dezynfekujących (niewłaściwe działanie człowieka, bo po prostu nie ma, jak działać właściwie)
Zabezpieczenie: Z.Z.1.02
- Zamówienia korporacyjne,
- Własne środki (wykonane domowym sposobem).
Siła oddziaływania: średnia
Uwagi: Niemożliwe do zastosowania w rozwiązaniach organizacyjnych, ograniczone do indywidualnego stosowania. Podstawa: pracodawca czy firma godząca się na takie rozwiązanie musi przejść pełną ścieżkę dopuszczenia substancji.
Uwaga na zagrożenia z zabezpieczeń
Podobnie jak w przykładzie na brak środków dezynfekujących oddziaływać możemy na brak maseczek. Warto jednak pamiętać, że niektóre zabezpieczenia mogą wprowadzać nam dodatkowe zagrożenia. Zamknięcie górnych dróg oddechowych (usta, nos pod maseczką) po pewnym czasie działania może powodować świetne warunki do inkubacji dla bakterii i wirusów. W przestrzeni tej podnosi się zarówno temperatura jak i wilgotność. Dlatego przy stosowaniu zawsze trzeba stosować się do informacji producenta. Producenta nie dystrybutora.
Co jest ważne. Niektóre zabezpieczenia dla źródeł zagrożeń jednostkowo mogą być dość silne, jednak w zestawieniu z pozostałymi będą osłabione. Np. brak wiedzy o zasadach stosowania maseczek powoduje, że będzie ona używana niezgodnie i po prostu nie zadziała w sposób opisany.
Podatność
Na naszej mapce pojawiło się zabezpieczenie o oznaczeniu “Z.P.01”. Jest to zabezpieczenie, którego celem jest ograniczenie podatności. Definicję podaliśmy na wstępie. Warto nadmienić, że odziaływania na podatności jest jednym z najbardziej efektywnych zabezpieczeń. Ogranicza wpływ zagrożenia, niezależnie od prawdopodobieństwa czy siły oddziaływania. Opisywane maseczki, pod warunkiem właściwego doboru, stosowane wraz z okularami ochronnymi (śluzówki) oraz rękawicami to zestaw, który co do zasady ogranicza możliwość zakażenia, nawet jeśli wirus występuje i ma dużą siłę oddziaływania.
Przykłady widzimy na co dzień w doniesieniach medialnych. Pracownicy służby zdrowia mimo ciągłej niemalże ekspozycji na zagrożenie, nadal cieszą się dobrym zdrowiem.
Zagrożenia – podsumowanie
Mając już opisane zagrożenia, wdrożone środki ochronne (zabezpieczenia) należy ponownie przejść do oceny możliwości wystąpienia zdarzenia szczytowego, czyli zakażenia. Niestety, z racji wielu czynników zewnętrznych, od których jest to zależne, prawdopodobieństwo zarażenia nadal będzie występować.
Ryzyko
- Ryzyko ma wiele definicji. Jest to i wpływ niepewności na cele, jak i kombinacja prawdopodobieństwa i skutku. Dla naszych rozważań, przyjmiemy ostatnią definicję i pracować będziemy na tych dwóch skalach.
Prawdopodobieństwo – rozumiane jako możliwość wystąpienia. - Skutek – jako rodzaj efektu, jaki wywołuje zdarzenie szczytowe.
Stopniowanie
Wiele systemów czy modeli szacowania i oceny ryzyka, próbuje zamknąć skutek w jednym stopniu po zdarzeniu szczytowym. W naszych działaniach uważamy to za błąd, bo bywają takie zdarzenia, których skutki są wielopłaszczyznowe.
Utrata zdrowia (s-1)
Skutek został opisany w taki sposób, ponieważ nie każdy wirus powoduje utratę zdrowia nosiciela. Wystarczy przywołać HIV czy HPV. Pierwszy nie zawsze powoduje AIDS, a drugi u mężczyzn bywa nawet niezauważony. Przy koronawirusie nie posiadamy zbyt wielu informacji o rzeczywistej zjadliwości wirusa (wirulencji), z powodu dość dużej paniki, jaką wywołuje. Z doświadczeń w pracy z wcześniejszymi wirusami i wynikającymi z nich chorobami o podobnym zasięgu (SARS, AH1N) zbliżonymi do pandemii wynika, że musimy jeszcze poczekać na pełne dane. Przy braku danych zakładamy w analizach skutki złe lub najgorsze.
Skutki s2
Zgon
- O sile oddziaływania na podmiot analizy (człowieka) nawet nie bardzo jest co napisać. Po prostu koniec funkcjonowania. Przy analizie z punktu żyjących członków rodziny, czy z punktu widzenia organizacji, skutki można rozwijać dalej, w kierunku trwałej utraty zasobu.
- Prawdopodobieństwo mamy podane przez media. To około 2,3% na dziś.
Przewlekła utrata zdrowia
- Siła oddziaływania – jest również w obszarze badań, w związku z czym należy poczekać do dalszego rozwoju sytuacji. Założenie jest dość podobne jak przy zgonie, przy czym dla podmiotu oceny (człowieka) możemy już estymować skutki w postaci np. utraty źródła zarobkowania, utraty (dalszej) zdrowia w tym zdrowia psychicznego i dalszych efektów. W odniesieniu do organizacji czy rodziny, klasyfikowalibyśmy utratę dość podobnie. Utrata funkcjonalności personelu w okresie powyżej 6 miesięcy jest traktowana jako trwała utrata, ze względu na zmieniającą się organizację. Przy umiejętnościach i cechach nabytych i trudnych do utracenia, czasem, który decyduje o klasyfikacji do trwałej utraty jest 12 miesięcy.
- Prawdopodobieństwo jest również trudne do oszacowania.
Zabezpieczenia
Jeśli chodzi o zabezpieczenia (warstwa oznaczona Z.R.1) to zabezpieczeniem jest obu skutkach dokładnie to samo.
Zabezpieczenie: działania profesjonalnych służb medycznych (prywatnych i państwowych);
Siła oddziaływania: trudna do oszacowania.
Uwagi: Należy wprowadzić bieżący monitoring z ujęciem również informacji ze środowiska medycznego spoza kraju.
Podsumowanie
Zanim przejdziemy do porad kilka zdań podsumowania co do analizy i celów stosowania zabezpieczeń. Bardzo często w naszej pracy audytorskiej czy wdrożeniowej, a także edukacyjnej spotykamy się z brakiem określenia celu dla zabezpieczenia. To powoduje, że tak naprawdę nie mamy możliwości rzeczywistej oceny skuteczności zabezpieczenia. Poniżej zestawienie, ze wskazaniem ramowych celów zabezpieczeń i wpływu na koronawirusa.
Załóżmy skale
- Podatności: 0-100% podatności wyrażone do 1. Czyli 25% podatności to 0,25.
- Prawdopodobieństwo: 0-3 – gdzie 0 niemożliwe, a 3 prawie pewne.
- Siła (zagrożenia), skutek (ryzyko): 0-3, gdzie 0 – brak wpływu, 3 wpływ krytyczny.
Oddziaływanie na podatność
- Mimo największej skuteczności, wprowadzenie rozwiązań nie jest możliwe w pełni (kombinezon, okulary, maski, rękawice, obuwie) ponieważ będzie to powodować brak możliwości funkcjonowania biznesowego.
- Skuteczność częściowych środków ochronnych szacujemy na 25%-50% obniżenia podatności.
Oddziaływanie na zagrożenie
- Dla prawdopodobieństwa wystąpienia – bardzo niska skuteczność, wynikająca z wpływu czynników zewnętrznych. Możliwe jest jednak obniżenie czasu ekspozycji poprzez ograniczenie przebywania w obszarze o wysokiej możliwości wystąpienia osoby zagrożonej. Środki ochrony – organizacyjne, procedury, instrukcje, polityka podróżna (travel policy).
- Skuteczność: niska do średniej (łącznie, mimo dużej siły oddziaływania poszczególnych elementów).
- Dla siły oddziaływania – brak możliwości wpływu.
Podsumowanie zagrożeń
Dane wyjściowe (bez stosowania zabezpieczeń)
- Podatność – 1
- Siła – 3
- Prawdopodobieństwo – 2 (nadal nie mamy potwierdzonego przypadku, niemniej analiza zagrożeń składa się dwóch obszarów- danych historycznych i predykcji, czyli przewidywania. Ten drugi czynnik podnosi skalę)
1 x 3 x 2 = 6
Zagrożenie mimo ogólnej paniki plasuje się na dziś na poziomie 6 – średnie. Oczywiście zgadzamy się z ekspertami, którzy wskazują na to, że nawet zagrożenie to kombinacja nie iloczyn, ale dla zrozumienia artykułu jest nam to najprościej wyrazić.
Dane po zastosowaniu zabezpieczeń:
Podatność: 0,75 (75%)
Siła – 3
Prawdopodobieństwo – 1 (głównie środki organizacyjne, czyli unikanie miejsc i osób).
0,75 x 3 x 1 = 2,25
Przy wprowadzaniu tylko rozwiązań organizacyjnych (bez pracy na podatności):
1 x 3 x 1 = 3
Jak widać wprowadzenie środków ochrony indywidualnej nie wpływa znacząco na poziom zagrożenia. Niemniej może się zdarzyć, że pracownicy/współpracownicy muszą podróżować, bywać w różnych miejscach o dużym natężeniu. Wtedy rozwiązanie organizacyjne nie działa, możemy pracować na podatności.
0,75 x 3 x 2 = 4,5
Zagrożenie nadal jest na poziomie średnim (przedział 4-6, szczegółowe skale opiszemy w kolejnym artykule o ryzyku i zagrożeniach.
A co z ryzykiem?
Tutaj niestety mamy bardzo mało danych. W związku z tym trudno jest przeszacować wpływ wdrożonych zabezpieczeń skierowanych na obniżenie zagrożenia. Konkluzja ta jest wręcz podstawową wytyczną z przeprowadzonej w skrócie analizy. Wskazuje, że większość naszych działań powinna zostać skierowana na ograniczenie zagrożenia, przy czym na siłę oddziaływania wirusa nie mamy narzędzi. Dlatego warto się skupić na:
- Właściwym stosowaniu odpowiednio dobranych środków ochrony indywidualnej;
- Stosowaniu środków higieny;
- Wdrożeniu zasad związanych z ograniczeniem czasu ekspozycji (przebywaniem) w środowiskach potencjalnie zagrożonych.
Porady na koniec
Poza podsumowaniem samej analizy, chcielibyśmy przekazać garść porad związanych z samą analizą:
- Identyfikując zagrożenia i ich źródła rób to z ekspertami;
- Identyfikując skutki, również poszukaj ekspertów lub źródeł eksperckich;
- W obu powyższych przypadkach szukaj właściwych źródeł. Pamiętaj, że politycy czy media nie są służbą fachową. Nie denerwuj się na służbę zdrowia, że nic nie wie. To również ważna informacja do analizy!
- Wprowadzając zabezpieczenia mierz ich skuteczność. Wstępnie szacuj i oceń, czy jest taka, jak być powinna np. oceniając poprzez podręczne środki analizy tzw. kontrolę wymazu z dłoni na skuteczność dezynfekcji (szpatułki do szybkiego zastosowania, stosowane w bezpieczeństwie żywności);
- Pamiętaj o wykazie zabezpieczeń i aktualizacji do nowych zagrożeń, na jakie oddziałują.
- Przypisanie odpowiedzialności za utrzymanie zabezpieczeń i monitoruj ich stosowanie.
Mamy nadzieję, że ten artykuł przybliżył zasady prowadzenia analiz. Najbliższe szkolenie z tego tematu odbędzie się w dniach 17-18 marca w Warszawie. Nasz Trener przygotowuje materiał między innymi z przykładem koronawirusa, tak aby każdy uczestnik wyszedł z przygotowaną analizą zagrożeń i ryzyka i wstępnie określonymi celami zabezpieczeń.
Zgłoszenia: szkolenia@essa.pro. Mogą Państwo również skorzystać z naszego kalendarza szkoleń: https://szkoleniazbezpieczenstwa.pl/kalendarz/