Month: juni 2018

Risk Analysis and Governance in EU Policy Making and Regulation – An introductory guide

admin

Auteur: Bernardo Delogu

In dit boek geeft de auteur een aantal concepten en methoden aan van risicoanalyse die het meest relevant zijn voor de ontwikkeling en toepassing van EU risicobeleid en wettelijke maatregelen. Het focust zich daarbij op drie soorten risico’s: gezondheidsrisico’s, veiligheidsrisico’s en milieu risico’s.

Doorheen het boek vertrekt de auteur bij het concept van risico’s en risicoanalyse, en gaat verder met de behandeling van risicomanagement, risicocommunicatie en uiteindelijk risicogovernance. Het boek sluit af met een samenvattend hoofdstuk van de belangrijkste kwesties die behandeld werden doorheen het werk.

Maar wat zijn de zaken die, naast een hoop zaken die moesten behandeld worden als goed principe toegepast op beleid, het meeste bijbleven uit dit werk?

Ten eerste zijn er de risicomanagement principes en criteria die de EU hanteert als regelgevend orgaan. Een eerste is het voorzichtigheidsprincipe (PP: precautionary principle). Een tweede is het subsidiariteitsprincipe. Het derde is het proportionaliteitsprincipe. Hierbij moet telkens elk van deze principes verrechtvaardigd zijn. Zo is bijvoorbeeld overdreven onverantwoordbare voorzichtigheid niet goed te keuren.

Andere punten zijn de risk-risk evaluatie, de kosten-baten evaluatie en het verschil tussen gevaren (Hazard) en risico’s. Dit laatste werd het best uitgelegd tot nogtoe in dit boek. Een Hazard is een eigenschap van bijv. een materiaal of een wezen “an sich” terwijl een risico een bedreiging is waarbij de omgevingssituatie mee in rekening wordt gebracht. Bijvoorbeeld een kaas Camembert en de listeriabacterie. De listeriabacterie op zich is een levensgevaarlijke bacterie. In een ‘omgeving’ van camembert is ze echter niet riskant voor mensen. (https://www.nieuwsblad.be/cnt/goledsud)

Verder is de relatie met belanghebbenden zeer belangrijk voor de EU. Daarbij hanteren ze de principes van deelname (participation), openheid en aansprakelijkheid, effectiviteit en het verzekeren van stelselmatige consultatieprocessen over de diensten van de EU heen, met inbegrip van evaluaties en kwaliteitscontrole.

De belangrijkste boodschap die andere overheden en managers van bedrijven evenwel kunnen trekken uit het boek is dat wetenschappelijk onderzoek van de risico’s wel en niet onafhankelijk van de beleidsmakers moet kunnen gebeuren. Hoewel de wetenschappers hun werk onafhankelijk van moeten kunnen doen van politieke voorkeuren en bijhorende randvoorwaarden, is het belangrijk dat ze de resultaten delen met de politiek zodat deze er andere waarden dan de wetenschappelijke juistheid aan kan toevoegen, zonder echter in te gaan tegen het voorzichtigheidsprincipe. Ook moet de beleidsmaker kunnen aanvaarden dat de wetenschap niet altijd het gewenste antwoord geeft, of zelfs maar een juist eenduidig antwoord heeft. Iedereen, de wetenschappers, de risicomanagers en de beslissing nemers, moeten hun eigen rol kennen en die van de anderen.

Understanding Hybrid Warfare

admin

Auteur: Multinational Capability Development Campaign (MCDC)

Hybride wat?

Er is nog geen goede eenduidige definitie. Er bestaan eerder omschrijvingen, zoals:

Een hybride crisis is een samenspel van twee of meer crisissen waartussen een link kan bestaan (niet noodzakelijk) en die elkaar kunnen versterken.

Hybrid warfare is een militaire strategie die politieke oorlog gebruikt en conventionele oorlog, irreguliere oorlog en cyberoorlog mengt met andere methoden met een sterke invloed, zoals fake news, diplomatie en interventie in buitenlandse verkiezingen.

Het is echter geweten dat de agressor probeert vergelding te vermijden. Hybride warfare is typisch op maat gesneden om onder de duidelijke detectie en respons thresholds te blijven.

De gevallen waarop deze studie gebaseerd is zijn:

  • Iran’s activiteiten in Syrië
  • Gebruik van Gas en leningen door Rusland als drukkingsmiddel in Oekraïne
  • IS in Syrië en Irak
  • Hybrid warfare in een stedelijke context
  • Cyber gebruikt door Rusland

Twee dingen zijn duidelijk over dit onderwerp: niemand begrijpt het ten volle, maar iedereen vindt het een probleem

Daarom is er nood aan het ondernemen van 2 stappen

Stap 1: Een gemeenschappelijke taal (begrijpen van het onderwerp en de communicatie erover vlot kunnen voeren)

Stap 2: Een analytisch framework

Stap 1: begrijpen

Er bestaat nog geen goede eenduidige definitie, zoals we al eerder schreven, maar er zijn wel omschrijvingen, bijv.:

“Het gesynchroniseerd gebruik van meerdere machtsinstrumenten op maat gemaakt van specifieke kwetsbaarheden over het volledige spectrum van maatschappelijke functies heen, om synergieën te bekomen.”

Vaak vallen ze terug op de snelheid, het volume en de alomtegenwoordigheid van de digitale technologie.

Het is belangrijk om in te zien dat meerdere machtsinstrumenten gebruikt worden in meerdere dimensies en op verschillende niveaus tegelijk op een synchrone manier. Dit staan de actor toe om verschillende MPECI (Militair, Politiek, Economisch, Civiel, Informatie) middelen te gebruiken die ze te beschikking hebben om synchrone aanvalspakketten te creëren die op maat zijn van opgemerkte of vermoedde kwetsbaarheden. De machtsinstrumenten die gebruikt worden zullen afhangen van de mogelijkheden van de actor en van deze kwetsbaarheden, alsook van de politieke doelstellingen van de actor en zijn geplande weg om zijn doelen te bereiken. Zoals in alle conflicten met oorlogen, zal het karakteristieke van de hybride oorlogsvoering afhankelijk zijn van de context.

Een actor kan zowel verticaal escaleren (in intensiteit) als horizontaal (door te syncen: 1+1+1+1+1>5).

Hybride dreiging leent zich niet tot klassieke dreigingsanalyse om o.a. volgende redenen:

  • Een brede set van MPECI tools
  • Kwetsbaarheden over maatschappijen heen worden uitgebuit, op een manier waar we normaal niet aan denken
  • Het synchroniseren en de manier waarop is onvoorspelbaar.
  • Gebruikt het uitbuiten van ambiguïteiten, creativiteit en ons begrip van oorlogvoering om zijn aanvallen onzichtbaar te houden
  • Een hybride aanval kan ongemerkt blijven tot het te laat is.

We zullen dus in de toekomst anders moeten leren kijken naar conflicten.

escaleren

Stap 2: het Analytisch Framework:

Het analytisch framework is opgebouwd met drie onderdelen:

  1. Kritische functies en kwetsbaarheden
  2. Synchronisatie van de middelen
  3. Effecten en niet-lineariteiten (complexiteiten)

Hierbij geldt dat “1+1+1 > 3” of ook: het geheel is meer dan de som der delen.

We geven een korte uitleg van deze drie onderdelen:

  1. Kritische functies en kwetsbaarheden

Kritische functies hier zijn activiteiten over het PMESII (Politiek, Militair, Economisch, Sociaal, Infrastructuur, Informatie) spectrum heen die, wanneer ze niet meer uitgevoerd worden, kunnen leiden tot een onderbreking van diensten waar de maatschappij van afhangt.

Ze kunnen allemaal opgedeeld worden in een combinatie van actoren, infrastructuren en processen. Ze hebben allemaal kwetsbaarheden.

  1. Synchronisatie van de middelen

Synchronisatie (syncen) is de mogelijkheid van de aanvaller om effectieve machtsinstrumenten (MPECI) te coördineren in de tijd, ruimte en met bepaalde doelen om een gewenst effect te bekomen. Hiermee kan hij grotere effecten halen dan met openlijke dwang. Voordelen voor de aanvaller zijn:

Middelen en kwetsbaarheden op maat benutten

Dwang uitoefenen maar zelf onder de radar blijven van de detectie thresholds en respons thresholds

Gemakkelijker om tegelijk te escaleren en de-escaleren van verschillende MPECI

  1. Effecten en niet-lineariteiten (complexiteiten)

Effecten zijn veranderingen in de toestand van het doelwit. Ze kunnen niet goed onder controle gehouden worden door de aanvaller omdat men kan geen lineaire opeenvolging van effecten meer voorspellen. Causaliteit wordt steeds moeilijker naarmate er meer elementen van de MPECI gebruikt worden en variëren.

Framework

Men moet “BTIM’s” opzetten om de zaken te leren (her)kennen:

Baselines, Thresholds, Indicators, Monitoring in real time, vanuit de filosofie : “Je weet niet wat abnormaal is als je niet weet wat normaal is en als je niet meet wat de evolutie is”

Voor de baselines moet men een oplijsting en assessment van maatschappelijke kritische functies maken. Indicatoren moeten helpen bepalen of er een aanval bezig is of begint. Thresholds helpen bepalen wat de normale / abnormale werking is.

Zonder te weten wat er normale werking is, kan men niets beginnen.

Helaas geen echte voorbeelden van bestaande “BTIM’s” gegeven in het document.

Wat zijn nu de adviezen van dit document?

  1. Maak regelmatig een nationale self-assessment van kritieke functies en de kwetsbaarheden van alle sectoren en van de maatschappij.
  2. Verbeter de klassieke dreigingsanalyse zodat het de volgende tools en mogelijkheden bevat: Politieke, Economische, Civiele, Internationale en onderzoek hoe deze middelen kunnen gesynchroniseerd worden in een aanval op kwetsbaarheden
  3. Creëer een nationale methodiek voor het coördineren van self-assessment en dreigingsanalyse specifiek voor: het begrijpen van, het detecteren van, het reageren op hybride dreigingen
  4. Internationaliseer, werk coherent samen over grenzen heen.

Conclusie: Hier ga ik even tegendraads zijn.

De studie vindt dat het framework een visuele tool is om respons te leveren tijdens een hybride aanval.

Dat lijkt me onzinnig. Behalve de BTIM’s die opgezet moeten worden, en die los van het framework moeten kunnen functioneren, zal de visuele tool m.i. eerder een tool blijven voor analyse achteraf.

Wel geeft de tool duiding van wat er tijdens de crisis aan informatie moet bewaard blijven.