Jeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.
Når man begynner å grave i forskningslitteraturen er det påfallende hvor få studier man finner som dokumenterer erfaringer eller evaluerer tilgjengelige metoder for risikovurdering knyttet til informasjonssikkerhet. Det kan virke som at innen informasjonssikkerhet så er risikovurderinger noe man anbefaler, men i liten grad vurderer effekt og nytte av. Det finnes som sagt mange gode råd og forslag til hvordan man bør gå fram, men lite informasjon om hva ulike typer virksomheter gjør i praksis. Og det finnes lite støtte for å vurdere hvilken metode som er mest egnet i ulike situasjoner.
I en Australsk studie [1] av tre ulike virksomheter fant forskere at virksomhetene ønsket å bruke standarder for risikovurderinger, i dette tilfellet AS/NZS 4360. En viktig årsak til dette var at de oppfattet denne standarden som enkel å bruke. Ved nærmere undersøkelser viste det seg imidlertid at virksomhetene ikke fulgte standarden i praksis. De laget seg forenklede versjoner som de fulgte, og som til tider avvek ganske mye fra det som var anbefalt.
AS/NZS 4360 ligner ganske mye på det man finner i andre standarder og retningslinjer for risikovurdering knyttet til informasjonssikkerhet, slik som i ISO/IEC 27005. Risikostyringsprosessen deles opp i ulike deler slik som etablering av kontekst, identifisering av risiko, analyse av risiko, evaluering av risiko og behandling av risiko. Gjennom å gjennomføre disse ulike stegene vil virksomheter identifisere og analysere ulik type risiko som er relevant for de målene, informasjonsverdiene og IT-systemene virksomheten har. En nøkkel til å oppnå dette er å ta utgangspunkt i hva som er målet til virksomheten og hva det dermed er viktig å beskytte. Det som ble gjort i praksis var imidlertid noe ganske annet. Risikoanalysearbeidet var i realiteten en gap-analyse der man så hva man hadde av tiltak opp mot tiltak anbefalt i standarden AS/NZS 17799 (tilsvarende ISO/IEC 27002). Slik mistet man koblingen til virksomhetens behov, og de trusler, kritiske informasjonsverdier og sårbarhet som var spesielt relevante for dem.
Selv om virksomhetene i denne studien så på AS/NZS 3460 som enkel, er konklusjonen til de australske forskerne det motsatte. Virksomhetenes behov for å forenkle og forandre det som var anbefalt i standarden tyder på at standarder som dette ikke er enkle å bruke. Effektiv bruk av disse krever spesialistkunnskap og god forståelse, også for nyansene i standardene. Studien gir imidlertid ingen svar på hva som kan gjøres for å lage enklere standarder og retningslinjer som er praktiske i bruk og gir gode risikoanalyser som resultat.
Risikoanalyser er noe som gjøres i alle typer av sikkerhetsarbeid. Et annet problem identifisert i den australske studien er knyttet til nettopp dette. Virksomhetene ønsket å kunne samkjøre ulike typer risikovurderinger. Risiko knyttet til informasjon og IT ble dermed målt på konsekvenser for HMS. Slike konsekvenser er imidlertid ikke typiske for informasjonssikkerhetshendelser, og dermed var skalaene de brukte for rangering av hendelser lite egnet. Andre forskere har hevdet at det er vanskelig å tallfeste verdien av informasjon, siden det er en abstrakt verdi [2]. Dermed kan det være vanskeligere å bedømme konsekvensen av et informasjonssikkerhetsbrudd enn av andre typer sikkerhetsbrudd. Andre igjen viser til mangel på underlagsdata for sannsynligheter, effekt av tiltak, og potensielt tap [3].
I regi av DeVID-prosjektet jobber vi nå med å utvikle støtte til gjennomføring av risikovurdering knyttet til informasjonssikkerhet og personvern når det gjelder innføringen av smarte strømmålere (AMS). I den forbindelse jobber vi med nettselskaper for å finne ut mer om hva som kan gjøre dette arbeidet enklere: Hva gjøres i dag? Hva er enkelt? Hva er vanskelig? Hvorfor er det vanskelig? Hva kan vi gjøre for at det skal bli enklere å gjennomføre risikovurderinger effektivt og med god kvalitet? Dette er spørsmål som bør være av interesse for flere enn de nettselskapene som er med i dette arbeidet. Vårt samfunn vil være avhengig av god og kostnadseffektiv sikkerhet også i årene som kommer.
Dersom du som leser dette har tanker eller egne erfaringer knyttet til dette temaet vil vi gjerne høre fra deg!
(Dette blogginnlegget er en utdypning av en kronikk som ble trykket i Teknisk Ukeblad Nr. 28/5. sep 2013)
[1] Piya Shedden, Tobias Ruighaver, Atif Ahmad, “Risk management standards – the perception of ease of use,” Journal of Information Systems Security, 2010, Vol, 6, Nr. 3, p. 23-41.
[2] Mariana Gerber, Rossouw von Solms, “Management of risk in the information age,” Computers & Security, 2005, Issue 24, p. 16-30.
[3] George Cybenko, “Why Johnny Can’t Evaluate Security Risk,” IEEE Security & Privacy, 2006, Vol. 4, Issue 1, p. 5.