forelesning 13

31.03.2003 HiØ forelesning 13 1

Forelesning 13

Risikoanalyser


Hvorfor risikoanalyser• Må kunne ha tillit til at

– HMS ivaretas på en tilfredsstillende måte (som medarbeider og omgivelse)

– materielle verdier beskyttes (som eier og medarbeider – og kunde

– virksomhetens økonomi og omdømme ivaretas (eier og medarbeider – og kunde)

• Hvordan skal ledelse fortjene tillit?– Ved å ha en formening om hva slags ulykker, uhell, feil, svikt eller kriminelle

handlinger som kan medføre skade på mennesker, miljø, materielle verdier, økonomiske tap eller tap av omdømme.

– Gjøre bevisste valg av tiltak for å unngå, hindre eller redusere omfanget av slike hendelser.

• Risikoanalyser er grunnlaget for å kunne gjøre bevisste valg

• I tillegg stilles det krav fra myndighetene om gjennomføring av risikoanalyser eller risikovurderinger;


Lover og forskrifter• Personopplysningsloven

– Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.

• Personopplysningsforskriften – Forskriften pålegger at det skal gjennomføres risikovurdering(er), og at sikkerhetstiltak skal innføres for å

håndtere risiko.

• Beskyttelsesinstruksen – Tempestrisikovurdering (når påkrevd)

• Helseregisterloven – krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det

må etableres et styringssystem for informasjonssikkerhetsarbeidet

• Beredskapsforskriften for kraftforsyningen – Det gis rom for å oppfylle funksjonskravene på måter enhetene selv mener er mest effektivt, basert

på gjennomførte sårbarhets- og risikoanalyser. – plikter eieren av anlegget å utføre nødvendige risiko- og sårbarhetsanalyser og gjennomføre aktuelle

mottiltak og klargjøre beredskap for å håndtere ekstraordinære situasjoner.

• Lov om Schengen informasjonssystem (SIS-loven) – krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det

må etableres et styringssystem for informasjonssikkerhetsarbeidet.

• SIS-forskriften – Forskriften pålegger at det skal gjennomføres risikovurdering(er) og at sikkerhetstiltak skal innføres

for å håndtere risiko.


Risiko og sikkerhet• Risiko kan uttrykke

– Mulighet for gevinst – på Lotto, børs osv., også kalt spekulativ risiko;

– Mulighet for tap (av verdier, helse, liv, ..);– Vi skal kun befatte oss med muligheten for tap.

• En uønsket hendelse er en hendelse eller tilstand som kan medføre skade på mennesker, miljø og materielle verdier.

• Risikobegrepet uttrykker en antagelse om hvor stor sannsynlighet det er for at en uønsket hendelse skal inntreffe og skadens størrelse eller omfang.


Risiko = Sannsynlighet * Konsekvens

SannsynlighetellerMulighet

Konsekvens

Akseptabelrisiko

Uakseptabelrisiko

Akseptkriterium


Risikoanalyse

• Systematisk fremgangsmåte for å beskrive og beregne risiko.

• Hensikt– Gi en oversikt over de farer som eksisterer

(trusselidentifikasjon);

– Gi retningslinjer for prioritering av risikoreduserende tiltak som å

• unngå skade (redusere sannsynligheten eller muligheten for);

• redusere omfanget av en allerede påført skade (konsekvensreduksjon);

– Være et verktøy som hjelper en å avgjøre når sikkerheten er ”god nok”;


Modell

OK ”Skadet”

Under”angrep”1

p

1-p

1

Hvordan forlenge tiden i tilstand OK

Hvordan øke sannsynlighetenfor å avvise angrep, eller redusere sannsynligheten for at angrep skal lykkes.

Hvordan redusere skadet-tiden ogskadeomfanget


Risikoanalyseprosessen

Hva er akseptabel

risiko?

Foreslå tiltak

Andre tiltakønskelig?

Risiko-vurdering

Frekvens-analyse

Konsekvens-analyse

Trussel-identifikasjon

Definere målog omfang

Akseptabelt?Nei

Ja


Risikomatrise

T1 T2 T6, T7

T3

T5 T4

Vanlig;Hvert år

Kan skje;1 gangper 10 år

Lite trolig;Mer enn10 år mellom hver gang

KritiskAlvorligMiddelsUbetydelig

1 MNOK 100 MNOK10 MNOK

Sannsynlighet;Mulighet

Konsekvens

Lav

Middels

Høy


Hvordan ?

• Ad hoc, ryggmargsfølelsen

• Sjekklister (finnes div. verktøy)

• Kvalitative analyser

• Kvantitative analyser


ObjektbeskrivelseHva skal analyseres (avgrensning)

• Div. verktøy (ISAP oa.) – Innbyr til stor detaljgrad

– Liten hjelp til analytisk nedbryting

• ”Analytisk”– Starte analysen på et

overordnet og grovt nivå

– Benytte standard tegneverktøy

– Metode som ved utvikling

Inn Ut

Av interesse: Informasjonstyper, lokasjoner, systemer, kommunikasjonskanaler


Trusselidentifikasjon

• Sjekklistebasert (når listene blir lange....)

• Hazid (Hazard Identification), Strukturert idedugnad

Del analyseobjektet i delobjekter

JaDokumenter trusler, konsekvenser og årsaker.

Velg et delobjekt

Bruk alle ledeord i tur og orden. Er det mulig at det kan oppstå avvik/trusler?

Nei

Trenger mer informasjonSkriv ned

Del analyseobjektet i delobjekter



Velg et delobjekt

Bruk alle ledeord i tur og orden. Er det mulig at det kan oppstå avvik/trusler?

Nei

Trenger mer informasjonSkriv ned

Våre ledeord:• Avsløring• Manipulasjon• Stanse/Forhindre


Hazop-skjema

Tilstede: Dato:

Objekt:

Id Ledeord: Trussel Årsak Konsekvens

1 Avsløring Avsløre rot-passord til server

Lyttet på LAN-segment fra åpen ftp-server i ”lytte”-modus

Tilgang til alle data på server.

Kan misbruke alle ressurser.


Fordeler ved å starte ”overordnet”

• Lavere kompleksitet i første analyse, uten at viktige aspekter blir utelatt;

• Analyse på detaljnivå blir målrettet og mer effektiv;

• Rask etablering av et ”trusselbilde”;• Godt tilpasset utviklingsprosjekter;• Hendelseskjedene gir grunnlag for å velge de mest

effektive tiltakene.


Eksternt

Internt

KontekstHva omfattes av analysen

Hva er grensesnittene mot omgivelsene

Det som analyseres

Leveranser Status/Alarmer

Autentiserings-informasjon

Faktura-grunnlag

Statistikk Status/Alarmer


CIA Hazop

Bevisst avsløring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk

Bevisst manipulasjon av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk

Bevisst forhindring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk

Ved å starte med fokus på sluttkonsekvenser, kan man begrense detaljanalyser til essensielle områder og sikre best det man er mest

avhengig av (risikostyring)

Det som analyseres

Leveranser

Faktura-grunnlag


Status/Alarmer

Statistikk

Status/Alarmer

Internt


Sluttkonsekvenser

Manipulert statusinformasjon (somkunde skal motta)

Misfornøyde kunder fordi oppgittstatus ikke overensstemmer medopplevd kvalitet

Refusjonskrav (ikke berettigede) Unødvendig feilretting Forsinket feilretting

Avsløring av autentiseringsinfo Innbrudd

Avsløring av kundens informasjon Kan være lovbrudd Kan medføre tap for kunde og

krav mot leverandør Omdømmesvikt

Det som analyseres

Leveranser

Faktura-grunnlag


Status/Alarmer

Statistikk

Status/Alarmer

Internt


Arkitekturbeskrivelse som grunnlag for årsaksanalyse

Domene A

Domene B

Domene C


ÅrsaksanalyseT1

Avsløring av autentiseringsinfo

Og

Eller

I hjem På internett I lokalnett På server

Sniffer på PC Kikke overskuldra

Elektromagnetiskstråling

Lagret i PC

2 3

4 56 7

1


Årsaksanalyse forts.1

I aksessnettetpå hjem-siden

I aksessnettpå jobb-siden

Hos ISP .....

89 10

Tilgang tiltransm.medium

Besittelytteutstyr

Ha nødv.kompetanse


Hendelseskjeder

Faktura

Oppsett av samtale

Prosesskontroll

Takstinfo

Målinger

1. Hvilken skade kan analyseobjektet påføre sine omgivelser?

Mulige konsekvenser

2. Hva er de mulige årsakene?

Årsaker og ”hendelseskjeder”


Risiko

• Hvor sannsynlig er det at trusselen manifesteres?– Forsikringsselskapene samler statistikk innenfor sine

områder. Brukes for å beregne premier. – Dårlig med tilgjengelig og egnet statistikk for

datasikkerhetsbrudd

• Hvor store vil i så fall konsekvensene være?– Tall for gjenanskaffelse av utstyr finnes;– Tap som følge av stans i tjeneste kan anslås;– Tap som følge av omdømmetap vanskelig å beregne;– Tapt tilgjengelighet lettere å beregne enn avsløring og

manipulasjon.


Risikomatrise – resultat av kvalitativ analyse

T1 T2 T6, T7

T3

T5 T4

Vanlig;Hvert år

Kan skje;1 gangper 10 år

Lite trolig;Mer enn10 år mellom hver gang

KritiskAlvorligMiddelsUbetydelig

1 MNOK 100 MNOK10 MNOK

Sannsynlighet;Mulighet

Konsekvens

Lav

Middels

Høy


Kvalitative analyse

• Fordeler– Enkle beregninger (om beregninger i det hele tatt)– Ikke påkrevet å fastsette kroneverdier– Ikke påkrevet å kvantifisere trusselfrekvenser– Enkelt å involvere ”ikke-kvalifisert” personale– Gjennomføring og rapportering kan gjøres fleksibelt

• Ulemper– Den subjektive natur iom. mangel på objektive

målinger og redskaper for å utføre slike målinger– Resultatene hviler fullsetndig på kvaliteten i gruppen

som gjennomfører analysen– Dårlig grunnlag for kost-/nytteanalyser av tiltak


Sjekklister (1)• Kan kontrollere tilstedeværelsen av ”noe”.

– fysiske enheter, mekanismer, organisasjonselementer, rutiner osv.

– Viktighet av det enkelte element kan vektes/gis poeng og sårbarhet kan tolkes ut av høye/lave poengsummer.

• Manglende hindringer eller barrierer gir høy sårbarhet. Man kan velge å avlede høy sannsynlighet fra høy sårbarhet;

• Manglende beredskapsplaner/øvelser/avtaler medfører større konsekvenser dersom noe skjer.

• Sjekklister er best når de er tilpasset den enkelte virksomhet. Til en viss grad må det kunne lages bransjeløsninger og løsninger for områder (enkelte aktiviteter/systemer innenfor bedriften) som er felles for flere.


Sjekkliste – et eksempel

Autentisering Verdi Vekt-tall

Total-sum

Krav A

Krav B

Kommentarer

Er alle brukere entydig identifiserbare

2 1 2

Fellesbruker 2 1 2

Passordvalg 2 2 2

Skifte av passord 1 2 2

Kompromitering av passord

2 1 2

Innlogging arbeidsstasjoner

2 1 2

Totalsum autentisering


Sjekkliste - verdiskala

Autentisering VERDI 1 VERDI 2 VERDI 3 VERDI 4 VERDI 5

Er alle brukere entydig identifisert

Ja Alle med klart behov

Noen er identifisert

Noen få er identifisert

Ingen

Fellesbruker Finnes ikke eller finnes og er godkjent av sikkerhetssjef og revurderes årlig

Begrenset antall fellesbrukere godkjent av sikkerhetssjef

Stort antall fellesbrukere godkjent

Noen fellesbrukere, ikke godkjent

Mange fellesbrukere, ikke godkjent

Passordvalg Passord sterkere enn kravene

Passord i henhold til krav

Noen svake passord

Mange svake passord

Ingen passord

Skifte av passord Passord skiftes oftere enn kravene

Passord skiftes i henhold til kravene

Ikke alle passord skiftes i henhold til krav

Bare noen få passord skiftes i henhold til kravene

Ingen skifte av passord

Kompromitering av passord Alle kompromiterte passord skiftes umiddelbart

De fleste passord skiftes ved kompromitering

Noen passord skiftes ved kompromitering

Noen få skifter passord ved kompromitering.

Passorskifte uavhengig av kompromitering

Innlogging arbeidsstasjoner Individuelle brukere. Beskyttet overføring av passord

Gruppebrukere med tilsvarende passord beskyttelse

Individuelle brukere, ingen passord beskyttelse

Samme passord for alle brukere, ingen kontroll med passordskifte

Innlogging uten passord


Sjekklister (2) • Fordeler

– Tar relativt kort tid å gjennomføre (er billig); – Kan involvere mange ved f.eks. Spørreskjemaer (papir eller på nett); – Man slipper kompliserte og ”dyre” analyser; – Minimumskrav / sikkerhetsprofil – det er mulig å måle/kontrollere

virksomhetens sikringsnivå opp mot egne minimumskrav, bransjekrav, myndighetskrav el. Forskjellige deler av en virksomhet kan sammenliknes;

– Kan raskt finne svakheter – og gjøre noe med dem; – Summerer opp erfaringene til flere. Data fra forskjellige deler av egen

virksomhet og på tvers av flere virksomheter kan gjøres sammenliknbare;

• Ulemper– Forutsetter at ”One size fits all” mellom enheter innenfor en virksomhet og

mellom virksomheter; – Kan risikere å sette inn beskyttelse på ”feil sted”; – Kan risikere å sette inn for mye eller for lite sikring i forhold til virksomhetens

”egentlige” behov.

• Sjekklister er i større grad et verktøy for revisjon og oppfølging enn for risikoanalyser

• Lokale tilpasninger i en sjekkliste/revisjonsverktøy kan med fordel gjøres etter en forutgående risikoanalyse.


Kvantitative analyser

• Fordeler– Baseres på objektive målinger

– Kost-/nyttebetraktninger er essensielle

– Resultatene kan uttrykkes i et ledelsesspesifikt språk (kroner, prosenter, sannsynligheter)

• Ulemper– Beregningene kan være komplekse

– Betydelig forarbeide med innsamling og validering av ”måledata”


Kvantitative analyser - variant

• Baseres på Bayesisk eller Subjektivistisk statistikk

• Man blander ny subjektiv informasjon med kjent objektiv informasjon

• Baserer vurderinger – Mindre på historiske data

– Og mer på subjektive vurderinger om fremtidige aktiviteter og hendelser basert på erfaring, innsikt og magefølelse

– Benyttet bl.a. ved at man i en analyse av GSM-nettet blandet• Objektive data om trafikkmengde gjennom et punkt

• Med subjektive data om forventet tid til hendelse og antatt reetableringstid.

forelesning 13

Documents