Security og safety tenkning ifm medisinsk strålebruk

Security og safety tenkning ifm medisinsk strålebruk Årlig møte for strålevernkoordinatorer i helseforetakene, 02112011 Morten.Bremer.Maerli@dnv.com

Outline Oss (DNV) Dere ( Strålevernskoordinatorer, utfordringer ) Krav, rammevilkår, forventinger Security vs safety Sikring av radioaktive kilder 2

DNV an independent foundation Objective: To Safeguard life, property, and the environment Established in 1864 in Norway 3

Kvalifiserte medarbeidere globalt med lokalt nærvær 300 offices 100 countries 8,500 employees, of which 83% have a university degree 4

DNVs kjernekompetanse Maritime Renewable energy Food and beverage Aviation Oil and gas Managing risk ICT Process Automotive Rail General 09 Slide 5

Å ELIMINERE RISIKO ER SJELDENT EN MULIGHET Det handler mer om hvordan en håndterer risiko 6

DNVs sikringstjenester (security) Risk Based Security Management Assessment Vurdering av ledelsesystem for sikring og faktisk implementering av sikkerhet gjennom hele organisasjonen Risk Based Security Assessment Vurdering av verdier, trusler mot disse verdiene, samt sårbarheter Risk Based Security Supply-Chain Assessment Vurdering av sårbarheter i forskyningskjeder Kurs Verdi/objektsikring, Sikringsledelse, Innsidetrussel EasyRisk Tilpasset risikooppfølgingssystem 7

Dere 8

Concerns and Competence Core Concern: safety Core Competencies: - Hazard identification - Work processes and procedures - Rules and regulations - Environment and surroundings safety Core Concern: security Core Competencies: - Asset integrity - Work processes and procedures - Rules and regulations threat security - Threats (potential perpetrators (intent, capability)) - Asset attractiveness (motivation) - Vulnerabilities (opportunities) - and their interplay.. asset vulnerability 09 Det Norske Veritas AS. All Slide 9

Myndighetskrav Statens strålevern er landets fagmyndighet på området strålevern og atomsikkerhet. Strålevernet sorterer under Helse- og omsorgsdepartementet, og skal betjene alle departementer i spørsmål som angår stråling. Strålevernet godkjenner og fører tilsyn med relevante applikasjoner og bruk av stråling i medisin, industri og forskning. Virksomheter som er underlagt tilsyn, skal blant annet utføre risikoanalyse. 10

Forskrift om fysisk sikring + Ny forskrift om objektsikring (ikrafttreden 1.1.2011) 11

Forskrift om fysisk beskyttelse av nukleære materialer. (av 2. november 1984) Hjemmel i lov av 12. mai 1972 nr. 28 om atomenergivirksomhet.. Etter 1 har forskriften til formål å legge forholdene til rette for å minimalisere mulighetene for tyveri og sabotasje mot nukleære anlegg. Forskriften gir i 11 bestemmelser om klasseinndeling (I III) av nukleære materialer basert på den potensielle risiko tyveri, sabotasje eller liknende kan medføre Forskriften stiller krav til adgangskontroll, og beskyttelses- og alarmsystemer for de ulike områdene, gradert slik at det strengeste regimet etableres i vitalt område. Plikten til å etablere og opprettholde et system for fysisk beskyttelse påhviler etter 12 anleggsinnehaveren 12

Klasse I representerer den høyeste risiko, klasse III den laveste. I kapittel 5 stilles beskyttelseskrav tilpasset de ulike klasser. Materiale i klasse I må kun lagres og anvendes i vitalt område, materiale i klasse II i vitalt eller beskyttet område og materiale i klasse III i vitalt, beskyttet eller kontrollert område. 13

Lov, forskrift, veileder 14

Om plikter og krav til objekteier. Objekteier plikter å beskytte objektet med sikkerhetstiltak i forhold til klassifiseringsgrad på objektet. Ved fastsetting av sikkerhetstiltak vises det til krav om internrevisjon, i henhold til forskrift om sikkerhetsadministrasjon. Dette vil være grunnlag for fastsettelse av sikkerhetstiltak, hvor det også foreligger en plan for gjennomføring og vedlikehold av permanent grunnsikring for det skjermingsverdige objektet. Tiltak objekteier gjennomfører for å beskytte objektet må være beskrevet i virksomhetens styringssystem for sikkerhet. 15

Vurderingskriterier I skadevurderingen skal det tas hensyn til akseptabel tidsperiode for funksjonssvikt, mulighet til å gjenopprette funksjonalitet, og hensynet til objektets betydning for andre objekter Det skal være en høy terskel for utvelgelse av skjermingsverdige objekter. Det må dreie seg om objekter som etter en skadevurdering må anses helt essensielle for samfunnsviktige interesser. Sikkerhetsloven 17 Utvelgelse av skjermingsverdige objekter Sikkerhetsloven 17 b 3. ledd Plikt til å beskytte skjermingsverdige objekt Forskrift om objektsikkerhet 2-1 Utpeking av skjermingsverdige objekter Forskrift om objektsikkerhet 3-1 Generelle krav til beskyttelsen Identifisering av skjermingsverdig objekt skal skje på grunnlag av en skadevurdering, der det særlig skal tas hensyn til objektets: - a) betydning for sikkerhetspolitisk krisehåndtering og forsvar av riket, - b) betydning for kritiske funksjoner for det sivile samfunn, - c) symbolverdi, og - d) mulighet for å utgjøre en fare for miljøet eller befolkningens liv og helse. 16

Terminologi «Risikobasert» «Security» 17

Hva er Risiko? En kombinasjon av sannsynlighet for at en hendelse skal inntreffe og virkningen av hendelsen Årsak Risiko Threat / Level of security t Virkning Basic, mandatory security Time 18

Å gå fra Obligatorisk basis-sikring.. Trussel / Sikringsnivå Tidsbegrensede sikringstiltak basert på endringer I overordnede trussler rettet mot installasjonen / virksomheten Obligatorisk basis-sikring (Lovpålagte og bransjekrav) Tid 09 Det Norske Veritas AS. All Slide 19

Til mer balansert sikring basert på risikoanalyse Trussel / Sikringsnivå Tidsbegrensede sikringstiltak basert på endringer I overordnede trussler rettet mot installasjonen / virksomheten Tilleggssikring basert på trussel og sårbarhetsanalyse Obligatorisk basis-sikring (Lovpålagte og bransjekrav) Årlige justeringer Tid 09 Det Norske Veritas AS. All Slide 20

Saety/Security Trygghet/Safety: utilsiktede uønskede hendelser Sikring/Security: tilsiktede, ondsinnede, uønskede handlinger I overensstemmelse med NOU 2006:6 Når sikkerheten er viktigst, samt en forestående Norsk Standard vedrørende Beskyttelse mot tilsiktede uønskede handlinger. Security Risk oversettes med Sikringsrisiko, og Security Risk Management oversettes med Ledelsessystemer for sikring, eller kortere Sikringsledelse. Med informasjonssikkerhet menes beskyttelse mot brudd på konfidensialitet, integritet eller tilgjengelighet av den informasjonen som blir behandlet i et system, eller beskyttelse av informasjonssystemer og nett i seg selv.

Intentional Unintentional Biorisk Det Norske Veritas AS. All Slide 22

Safety Risk Årsaks- og frekvensanalyse Sannsynlighet Konsekvens Risiko 23

Security Risk Intensjon Kapasitet Mulighet Sannsynlighet Konsekvens Risiko 24

Security Risk Safety Risk Trigger Vinning eller skade Brudd eller feil Karakteristikk Gjort med vilje Skjer ved uhell Initiator Menneske Menneske eller naturen Opprinnelse Ekstern Intern Skreddersydd Som oftest Nei Skademaksimering Muligens Nei Diskriminerende Muligens Nei 25

Risk Combination of the probability of an event and its consequences (ISO 73) Risk = Probability x Consequences Risk (safety) = P ( frequency ) x C ( arbitrary ) Risk (security) = P (Intentions, capabilities) x C ( optimized ) Optimized does not necessary mean maximized Det Norske Veritas AS. All Slide 26

Safety vs Security, simplified Safety - Om tingenes iboende faenskap Security - Om menneskenes iboende faenskap Det Norske Veritas AS. All Slide 27

Risikobasert sikring 28

Risikoanalyse, metodikk Initial: Preparation Step 1: Asset analysis Step 2: Threat analysis Step 3: Vulnerability analysis Step 4: Risks analysis and evaluation Step 5: Security measures and cost effectiveness analysis Asset TYVERI SPIONASJE VERDISAKER INFORMASJON VINNING VINNING VERDI SKADE Threat FYSISK, ØKONOMISK SKADE SABOTASJE PSYKOLOGISK TERRORISME At end: Reporting Vulnerability 29

Understand your assets Asset analysis Threat Analysis Vulnerability Analysis Risk analysis Cost effectiveness analysis Identify assets to protect Assessment of: - How critical the assets are to the operator - How attractive the assets may be to a perpetrator (in terms of gain and harm) Loss of an asset can have multiple consequences, affecting the owner/operator, as well as society at large Estimate the loss and prioritize the assets: L Total = L Direct + L Indirect 30

Prioritering av kilder Faktorer av viktighet for Security: - energy and type of radiation; - half-life of the - radioisotope; - amount of material; - shape, - size, - shielding, - portability of the source; - prevalence of use; - Dispersiability - Handler om eksponeringsmuligheter 31

Define your threats Asset analysis Threat Analysis Vulnerability Analysis Risk analysis Cost effectiveness analysis Identify potential threats associated with the critical assets Level of Threat, LOT: Assumed intentions and capabilities of perpetrators Intention: - Espionage: To gather sensitive/ valuable information - Sabotage: To harm by inflicting financial loss or structural destruction - Terrorism: To generate fear and instability beyond those targeted - Theft: To gain financially Capability - Tools (e.g. money, weapon, equipment) - Competence (e.g. skills, knowledge) 32

Identify vulnerabilities Asset analysis Threat Analysis Vulnerability Analysis Risk analysis Cost effectiveness analysis Identify weaknesses that can be exploited by a perpetrator The vulnerability analysis is conditional on the act taking place The security system is tested against the level of threat (LOT): - Zones - Security controls - Penetration points V(X) = P[barrier] L(X) V = vulnerability X = asset L = loss P[barrier] = the probability of failure of a set of implemented security measures Threat / Level of security t Basic, mandatory security Time 33

Estimate the risk Asset analysis Threat Analysis Vulnerability Analysis Risk analysis Cost effectiveness analysis Enhanced basis for making rational decisions The risk assessment combines the threat analysis and vulnerability analysis - Estimate the probability of an attack (frequency intervals of a perpetrator attack) Risk = Threat V(X) = P (I,K) P[barrier] L(X) V X L P[barrier] P(I,K) = vulnerability = asset = loss = the probability of failure of a set of implemented security measures = probability of attack 34

Cost-effective measures Asset analysis Threat Analysis Vulnerability Analysis Risk analysis Cost effectiveness analysis Reduce ad-hoc implementations of security measures Cost-effectiveness of each measure is estimated and compared - Preventive controls - Mitigating controls NC = ( C - B) / R R = Risk reducing C = Cost of implementing the risk control option B = Expected benefit from the security control measure 35

Risikobasert Sikringsledelse 36

The Platform: ISO 31000 - Risk Management Risk Management Communication & consultation Establishing context Risk Assessment Risk identification Risk analysis Risk evaluation Risk treatment Monitoring & review ISO 31000: Risk management Guidelines on principles and implementation of risk management (draft June 15, 2007) 09 Det Norske Veritas AS. All Slide 37

Vurdering av ledelsessystem for sikring Føringer og rammebetingelser - Lovgrunnlag og myndighetskrav (forskrifter) - Bransjekrav - Egendefinerte sikringsmål Vurdering av hvordan organisasjonen - Identifiserer sikringsrisikoer - Implementerer og følger opp tiltak - Dokumenterer sikringsarbeidet Tilpasset organisasjonens - Karakter, - Behov, - Modenhetsgrad, - Størrelse

Dokumenthierarki for risikobasert sikring, eksempel Policy Strategidokument Prosedyrer Arbeidsinstrukser 39

Prosess Intervjuer med nøkkelpersonell Hypoteser, observasjoner Dokumentanalyse Befaring Verifikasjonsintervjuer Resultater 40

Temaeksempler Roller og ansvar, Prosesser og prosedyrer, Sikkerhetsfilosofi, Mål for sikringen, Operasjonalisering av sikringsmål, Etterlevelse av sikringsmål, Målkonflikter, Kommunikasjon (Formell/Uformell), Risikovurderinger, Dimensjonering og iverksetting av sikkerhetstiltak, Rapportering av hendelser og eskalering, Sikringskompetanse og kultur, Organisatorisk læring, 41

Ti protokollelementer Rapportering av hendelser og oppfølging Sikkerhetskultur Faste gjenstander og transport av gjenstander Ledelse og Organisasjon Beredskapsplanlegging og krisehåndtering Styringssystem for sikring Evalueringsprotokoll Risikoanalyse Personellsikkerhet IT Sikkerhet Informasjonssikkerhet Fysisk Sikkerhet

Fordeler ved vurderingen Uavhengig og objektiv vurdering av styringssystem og etablert praksis - Identifiserer styrker og svakheter - Identifiserer forbedringsområder Forbedret forståelse av eksisterende system, for eksempel om - Utfører organisasjonens avdelinger oppgavene på samme måte? - Er eksisterende praksis i tråd med skrevene prosedyrer? Skaper bevissthet og forståelse for sikkerhetsarbeidet Viser at organisasjonen har en bevisst holdning til sikkerhetsadministrasjon

Oppsummering 44

DNVs vurdering av ledelsessystem for risikobasert sikring Om metoden Ledelsessystemet for sikring skal være et rammeverk for å sikre at risiko blir identifisert, tiltak definert, implementert og fulgt opp. Roller må være klart definert med ansvar, myndighet og oppgaver og at dette er kommunisert og forstått av den enkelte og organisasjonen. Ledelsessystemet for sikring må være en integrert del av virksomhetens totale styringssystem. DNVs metodikk gir en uavhengig og objektiv vurdering av ledelsessystemet målt opp mot relevante standarder, og i forhold til den etablerte praksis i virksomheten. Vår analyse er strukturert rundt ti elementer relatert til sikring. Rammeverket er basert på anerkjente internasjonale standarder, som ISO 31 000, ISO 27 000 og ISO 28000, samt anerkjent praksis. 45

DNVs vurdering av ledelsessystem for risikobasert sikring Om prosessen Den uavhengige vurderingen omfatter intervju av virksomhetens nøkkelpersonell, en gjennomgang av styringsdokumentasjon, og eventuell befaring. Intervjuer og dokumentgjennomgangen gir grunnlag for en vurdering av kvaliteten av policy, prosedyrer og instrukser for sikring og om roller, ansvar og myndighet er definert, oppfattet og utøves riktig. Metoden er fleksibel og evalueringsprotokollen kan tilpasses den enkelte virksomhet. Resultatene fremstilles enkelt og oversiktlig, som et godt grunnlag for forbedringer av virksomhetens ledelsessystem for sikring. Tjenesten vil hjelpe din virksomhet med å: - vurdere styrker og svakheter ved virksomhetens ledelsessystem for sikring - vurdere sikkerhet i henhold til relevante sikringsstandarder og anerkjent praksis - identifisere konkrete forbedringstiltak - øke oppmerksomheten omkring sikringsutfordringer og bidra til bedret sikringskultur - bidra til uavhengig vurdering av sikringstiltak 46

DNVs analyse av sikringsrisiko Formålet med sikringsvurderinger er å identifisere sikringsrisiko, som grunnlag for kostnadseffektive tiltak og reetablering av akseptable risikonivåer. Trusselspesifikke scenarioer gjør det mulig å analysere eksisterende sikkerhetskontroller (organisatoriske og fysiske), samt kartlegge sårbarheter ved fasilitetene. TYVERI VERDISAKER VINNING VERDI FYSISK, ØKONOMISK SKADE SABOTASJE DNVs analyse av sikringsrisiko benytter velprøvde og anerkjente prinsipper innen sikkerhetstenkningen på en strukturert og kvalifisert måte for å optimalisere sikrings- og kontrolltiltak. Risikobaserte analyser bistår således virksomheten med kritisk beslutningsstøtte. SPIONASJE INFORMASJON VINNING SKADE PSYKOLOGISK TERRORISME Ekspertvurderinger DNVs analyse av sikringsrisiko vil : Øke verdiforståelse og behov for og prioriteringer av sikring. Danne grunnlaget for kostnadseffektive sikringstiltak. Redusere ad hoc-tiltak og sikre helhetlige planer for sikring. Demonstrere og dokumentere vilje og satsning på sikring. Danne en strukturer plattform for sikringsarbeid og tilsyn. Trusselbildet mot en organisasjon kan være sammensatt og uklart. Felles ekspertvurderinger kan gi et bedre forståelse av trusler mot virksomheten. DNV tilrettelegger derfor for workshops med ansatte, samt eventuelle eksterne. Sammen identifiseres sannsynlige trusler, som et utgangspunkt for sårbarhetsanalyser. Et nært samarbeid med kunden er med andre ord viktig for fellesforståelse og eierskap til resultatene 47

DNVs analyse av sikringsrisiko Verdi Trussel 1. Verdianalyse Identifiserer hvilke objekter og verdier som bør sikres, hvor og hvorfor. 2. Trusselanalyse Vurderer trusler (spionasje, tyveri, terrorisme, sabotasje) som kan relateres til sikringsverdige objekter. 3. Sårbarhetsanalyse Identifiserer svakheter i eksisterende sikringssystemer som kan utnyttes av ulike gjerningsmenn/trusler. 4. Risikoanalyse Kombinerer trussel- og sårbarhetsanalysene og estimerer risiko knyttet til ulike trusselscenarier. 5. Kost/nytteanalyse Vurderer ulike risikovurderende tiltak, mens effektene optimaliseres og kostnader begrenses. Sikringstrianglet Sårbarhet Sikringstrianglet reflekterer gjensidige avhengigheter mellom trusler, verdier og sårbarheter. Kritiske verdier og objekter identifiseres og behovet for beskyttelse vurderes opp mot ulike gjerningsmenn, med ulike intensjoner og kapasiteter. Metoden kan tilpasses spesifikke trusler eller sikringsutfordringer ved anlegg og IT-systemer. 48

Safeguarding life, property and the environment www.dnv.com Morten.bremer.maerli@dnv.com Tlf. 95000079 49