Din risikomatrix er bygget til ulykker – ikke til hybridkrig

De fleste organisationer, der arbejder med kritisk infrastruktur, bruger en klassisk risikomatrix: Sandsynlighed på den ene akse. Konsekvens på den anden. Metoden er gennemprøvet, nyttig og effektiv, når det handler om tekniske fejl, ulykker og naturhændelser. 

Men den er skabt til en verden, hvor ting går galt af sig selv. Ikke til en verden, hvor nogen prøver at få dem til at gå galt. 

Hybridkrig ændrer præmissen for risikostyring. Når truslerne er bevidste, strategiske og målrettede, mister den klassiske sandsynlighedstænkning en stor del af sin forklaringskraft. 

Når sandsynlighed ikke længere er styrende

I traditionel risikostyring bygger vurderingerne på erfaring og historik: Hvor ofte sker det? Hvor tit har vi haft denne type hændelse før? 

Men hybride angreb opstår ikke, fordi noget er “tilbøjeligt til at ske”. De opstår, fordi nogen beslutter, at netop dette system, denne leverance eller denne infrastruktur er værd at ramme. 

Et anlæg kan have fungeret problemfrit i 30 år og alligevel blive et mål i morgen, hvis det pludselig indgår i en politisk eller militær sammenhæng. Det gør sandsynlighed til et dårligt pejlemærke, fordi det ikke længere handler om statistik, men om vilje og strategi hos en modstander. 

Når små hændelser får store effekter

Risikomatricer er gode til at håndtere det spektakulære: store ulykker, omfattende nedbrud, fysiske skader. Men hybridkrig søger sjældent den store eksplosion. Den søger den mest effektive forstyrrelse. 

Små, målrettede hændelser kan skabe usikkerhed, forsinkelser og politisk pres uden at udløse nogen formel krise.  

• Et kabel, der bliver skåret over.  
• Et system, der fejler på et kritisk tidspunkt.  
• En adgang, der bliver misbrugt.  

Hver for sig kan det ligne almindelige problemer. Samlet set kan det ramme forsyningskæder, produktion og tillid. 

I en klassisk risikomatrix vil sådanne hændelser ofte fremstå som “lav konsekvens”. I en hybridkonflikt kan de have høj strategisk værdi. 

Sårbarhed slår sandsynlighed

Når modstanderen aktivt leder efter svagheder, er det ikke de mest sandsynlige hændelser, der er vigtigst. Det er de mest udnyttelige. 

Det er steder, hvor: 

• der kun er én leverandør
• få personer har kritisk viden
• digitale systemer ikke har manuelle alternativer
• adgang gives bredere, end det er nødvendigt
• eller overvågning ikke har den rette kontekst

Det er her, hybride aktører typisk vil forsøge at sætte ind, fordi effekten kan være stor, selv med begrænsede midler. 

Derfor bliver reduktion af sårbarheder vigtigere end klassisk trusselsvurdering. Truslerne kan man ofte ikke kontrollere. Sårbarhederne kan man. 

Et skift i risikostyring

Det betyder ikke, at risikomatricer skal opgives. Men de skal suppleres med et andet spørgsmål end det, de oprindeligt er designet til: 

Hvis nogen aktivt vil os det værste – hvor vil de så slå til?

Det kræver, at risikostyring ikke kun handler om hændelser, men om systemer. Om afhængigheder. Om hvordan teknologi, mennesker, processer og forsyningskæder hænger sammen – og hvor de kan bringes ud af balance med relativt små midler. 

I en verden præget af hybridkrig er det ikke nok at være robust over for fejl. Man skal også være modstandsdygtig over for modstandere. Og det kræver en anden måde at tænke risiko på end den, der kan rummes i en klassisk matrix. 

Spørgsmålet er derfor ikke, hvor sandsynlig den næste hændelse er – men om vi har forstået, hvor vi er mest sårbare.