Tidligere publisert på G+ i september 2012:
I forrige post argumenterte jeg for at metodene som ofte brukes i riskovurderinger er sterkt mangelfulle, og at de heller bidrar til å forhindre at vi får en oppfatning av den faktiske risikoen. Problemet er i hovedsak knyttet til at man blir tvunget til å angi en sannsynlighetsverdi for noe som enten ikke er stokastisk, eller hvor man rett og slett ikke har data som kan brukes til å angi sannsynlighet. Når det er sagt, det er heller ikke en enkel øvelse å angi konsekvensene av et angrep fordi kompleksiteten i dagens systemer gjør at årsakssammenhenger er vanskelige å se.
Så hva kan vi gjøre? Her er mine tanker:
1. Det absolutt aller verste er typiske ROS-analyser som tar utgangspunkt i Risiko = Sannsynlighet x Konsekvens. De er ressurskrevende, sier svært sjelden noe som helst nyttig om faktisk risiko, og kan i ytterste konsekvens utarme egne ressurser på sikkerhetstiltak som ikke har noen effekt.
2. Litt bedre er å erstatte sannsynlighetsvurderingen med en slags mulighetsanalyse. Jeg har sett eksempler på at sårbarhetsvurderingene beholdes as-is, og at man forsøker å modellere trusselen på en strukturert måte. Det betyr at man forsøker å si noe om trusselaktørens evne og vilje til å gjennomføre et angrep. (Jones, Qinetiq). Dette er bedre enn å gjette på et tall mellom 0 og 1, men uten etterretninger om faktiske trusselaktører blir det på en måte redusert til beskrivelser av "erketyper". "Lokale vinningskriminelle: Økonomisk motivert, evne til å forsere enkle fysiske sperretiltak. Ikke kapasitet til avanserte dataangrep. Mer interessert i selve datamaskinen enn informasjonen på den." Dette sier selvfølgelig lite om akkurat DIN virksomhet er spesielt utsatt for slike trusler. Likevel kan en slik fremgangsmåte peke ut noen fokusområder på et overordnet nivå. Hvilke type trusler er mest aktuelle for oss, hvordan bør vi innrette sikkerhetsorganiseringen, beredskapstiltakene osv.
3. Enda bedre er det om en har tilgang til etterretningsopplysninger om trusselaktører som opererer på de arenaene en selv opererer på. Dette skjer i noen grad, for noen typer trusselaktører. Politiet går noen ganger ut med informasjon om personer eller grupper som utgjør en spesiell trussel. Dette er informasjon som en kan bruke til å vurdere risiko. For cyberområdet har en aktører som Norsis, NorCERT, Telenor SOC og andre som bidrar til å produsere et trusselbilde som kan brukes til å vurdere cybertrusselen. I USA har man sett behovet for at etterretningsorganisasjonene må gi informasjon til sivil sektor, nettopp for at de skal bli i stand til å beskytte seg selv. Dette er en type informasjonsutveksling som har mange utfordringer knyttet til seg, men som trolig også har et stort potensiale.
4. Om en ikke har tilgang til gode etterretninger fra andre, så bør en fremskaffe disse selv. Gjennom å overvåke egen infrastruktur kan en både avdekke trender som kan være viktig for den mer overordnede sikkerhetsstyringen, og en kan avdekke og motvirke faktiske angrep. Dagens trusler karakteriseres av at de er fleksible (omgår sikkerhetsmekanismene dine), dynamiske (utvikler sitt repertoir) og uforutsigbare (Les gjerne Talebs "Black Swan").
Risikovurderingen bør derfor vurdere om du har kapabiliteter og kapasitet til å motstå den type trusselaktører som er mest relevant for deg. Er du riktig organisert. Har du riktig teknologi og tilgang til riktig informasjon? Har du tilstrekkelig myndighet? Er du tilstrekkelig trent på et bredt spekter av hendelser? Har du riktig kompetanse i teamet? I så fall er du trolig i stand til å oppdage og motvirke et bredt spekter av angrep.
I kjernen ligger det en endring i fokus. Fra forebyggende sikkerhetstiltak basert på statistisk prediksjon, til etterretningsdrevet risikohåndtering i en infrastruktur som er konstruert etter forsvarbare arkitekturprinsipper.
Ingen kommentarer:
Legg inn en kommentar