Første gang publisert på G+ i august 2012:
I det siste har avisene gjentatt spørsmålet "Hvordan kunne de ha vurdert risikoen så feil?". Beredskapen, altså evnen til å forutse hva som kunne gå galt, hadde feilet. Det er mulig at ledere og andre har forsømt sine plikter, men jeg vil også hevde at det er noe grunnleggende galt med hvordan vi vurderer risiko. Innenfor mitt fagfelt, cybersikkerhet, ser vi akkurat de samme effektene. På tross av omfattende risikoanalyser, klarer man likevel ikke å beskytte seg mot cyberangrep. På tross av de enorme ressursene vi legger i å konstruere og operere sikre nettverk, blir vi likevel angrepet. Hvorfor er det slik? Spesialistene har jo kunnskap nok, så forklaringen kan ikke ligge der. Min påstand er at det er i selve metoden for risikoanalyse at vi feiler.
En risikoanalyse skal avdekke risikoen knyttet til et tiltak, aktivitet, system eller situasjon. Hensikten er å skaffe seg et beslutningsgrunnlag, slik at vi kan unngå eller redusere risikoen nok til at vi kan akseptere den. I følge NS 5815 Krav til risikovurderinger, er risiko definert som "et uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket hendelse." Og her er vi allerede i kjernen av problemet med risikostyringen.
For å forstå bakgrunnen for denne tenkningen rundt risikostyring, må vi tilbake til USA og Japan på 1950-tallet der Quality Management virkelig fikk fotfeste. William Edwards Deming, en amerikansk statistiker og professor ved The New York University, forbedret produksjonsprosesser og produksjonskvalitet gjennom blant annet statistiske metoder. Sentralt lå avvikshåndtering, nettop fordi en ikke ønsker avvik i produksjonen, enten det er snakk om biler, lyspærer eller harddisker. Ut fra Quality Management kom det en hel rekke metoder og verktøy som var sterkt medvirkende til å forbedre produksjon over hele verden. Så langt, alt bra.
Da jeg startet min yrkeskarriere som EDB-tekniker i Forsvaret tidlig på 90-tallet, snakket man allerede om risikoanalyser og sikkerhetshendelser i informasjonssystemene. Men den gang var sikkerhetshendelsene i stor grad knyttet til feil på utstyret. En harddisk kunne ryke, en telefonlinje kunne gå ned. Så langt, alt bra.
Både avvikshåndtering i Quality Management og avvikshåndtering av harddisker som ryker, kan forutsies ved hjelp av statistiske metoder. Risiko = Sannsynlighet X Konsekvens. Hele poenget med å bruke denne "formelen" er at det vi skal angi risiko for har stokastiske egenskaper. Det vil si at det er et element av tilfeldighet som avgjør om harddisken skal ryke eller ikke. Noen husker sikkert at det ble oppgitt MTBF-verdier (Mean Time Between Failure) for enkelte datakomponenter. Så risikostyring i et slikt system er ganske enkelt, takket være Deming og hans kolleger. Om jeg har 1000 harddisker i serverparken min, så kan jeg takket være de statistiske metodene regne ut hvor mange av dem som vil ryke i løpet av et år. Det risikoreduserende tiltaket blir å kjøpe inn nok harddisker slik at de kan byttes ut fortløpende. Alle er fornøyd.
Problemet er at dette ikke virker i dagens trusselbilde. Det som kanskje i hovedsak karakteriserer dagens cybertrusler er at aktørene blir mer avanserte, mer målrettet, mer dynamiske og mer uforutsigbare. En nasjonalstat som har en etterretningskampanje (duqu, flamer, gauss) angriper ikke tilfeldig. Disse har en omfattende og nøyaktig plan for sine angrep. Hacktivister har neppe like gode planer for sine angrep, men de kompenserer med en tydelig intensjon og identifisering av målet. Det er ikke tilfeldig at an gruppe som er mot hvalfangst angriper Norge fremfor Sveits. Poenget er at målrettede og villede angrep IKKE kan forutsies ved hjelp av statistisk prediksjon. Metodene som vi har benyttet for risikoanalyser så langt, virker ikke i denne nye situasjonen. De er tvert imot skadelige fordi vi blir presentert med et feil beslutningsgrunnlag, og dermed bruker opp ressursene på sikkerhetstiltak som har liten effekt. Vi kan ikke forutse cyberangrep ved hjelp av statistiske metoder, fordi cyberangrepene er ikke stokastiske!!
Risiko = Sannsynlighet X Konsekvens må ut av all undervisning som omhandler cybersikkerhet.
Mine tanker om hva som bør inn kommer i neste innlegg
Ingen kommentarer:
Legg inn en kommentar