Håndbok i klassifisering
Finnes det alternativer til objektet eller infrastrukturen?
Som del av vurderingen av avhengigheten GNF har til et objekt eller infrastruktur, må det også inngå en vurdering av om det finnes gode alternativer til objektet eller infrastrukturen, for å løse de oppgavene som infrastrukturen understøtter (f.eks. transport på jernbane versus transport på vei). Det kan ha betydning for objektets eller infrastrukturens klassifisering hvis det eksisterer andre objekter eller infrastrukturer, eller en manuell løsning, som kan løse samme oppgave helt eller delvis. Det er viktig å vurdere hvorvidt slike alternativer kan anses som gode eller ikke. Et enkelt eksempel kan illustrere ulike typer alternativer:
Funksjon: Forflytte personer fra A til B. Objektet (eksempelvis et kjøretøy) eller infrastrukturen (eks. en veiakse) som bidrar til funksjonen må klassifiseres ut i fra i hvilken grad det vil skade funksjonen om objektet/infrastrukturen får redusert funksjonalitet eller blir utsatt for skadeverk. ødeleggelse eller rettstridig overtagelse.
- Ingen alternativer: Forflyttingen kan kun gjøres langs vei. Som regel vil ingen alternativer medføre at objekt bør klassifiseres høyere.
- Delvise alternativer: Forflytting kan også kan gjøres langs jernbane, men jernbanen følger samme trasé som vei.
- Gode alternativer: Forflytting kan også gjøres gjennom luften.
En funksjon har gode alternativer når det er flere virksomheter med uavhengige objekter eller infrastrukturer som kan utføre samme oppgave eller funksjon og som ikke deler samme sårbarhet. Delvise alternativer deler gjerne samme sårbarheter, som i at det er samme trasé for vei og jernbane, eller at alternativene ikke i tilstrekkelig grad kan erstatte oppgaveløsningen.
Spesielt innen digitale verdikjeder kan gode alternativer være utfordrende å verifisere. Dersom en virksomhet i en skadevurdering henviser til redundans i objekt/infrastruktur som et tiltak/sikkerhetsmekanisme, kan det være grunn til å undersøke i hvilken grad redundansen er svekket nedover i verdikjeden. Det samme gjelder dersom flere virksomheter leverer innenfor samme funksjon. For mer informasjon om digitale verdikjeder, se DSB, 2020[1].
[1] DSB, 2020 – Risikostyring i digitale verdikjeder https://www.dsb.no/globalassets/dokumenter/rapporter/risikostyring-i-digitale-verdikjeder.pdf