Noen kjappe anbefalinger om risikoanalyse

I dag holdt jeg et kort innleggNEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.

Vi laget for et års tid siden en  veiledning  for risikoanalyse av AMS som inneholder følgende ting:
  • Aktivitetsliste for gjennomføring av analysen
  • Konsekvensdimensjoner og konsekvensklasser
  • Sannsynlighetsdimensjoner
  • Kort beskrivelse av relevante standarder
  • Støtte til kartlegging av informasjonsverdier
  • Liste over hendelsestyper
  • Hendelsestyper/uønskede hendelser i AMS
  • Liste over interessenter
  • Typiske sårbarheter og svakheter i IKT-systemer
  • Kort beskrivelse av relevante tiltak

I DeVID-prosjektet har vi studert 3 risikoanalyser av AMS som ble utført av norske  nettselskaper uten bruk av vår veiledning. Deretter har vi vært prosessleder for to nye risikoanalyser av AMS, og så har vi sammenlignet resultatene.

Vi fant at nettselskapenes risikoanalyser riktignok hadde med informasjonssikkerhetsdimensjonen, men bare i noen grad. Disse analysene var uklare på hvilke informasjonsverdier (assets) som faktisk var vurdert, og formidlet at det var en utfordring å sikre at de riktige menneskene med riktig kompetanse var tilgjengelige for analysearbeidet.

I de risikoanalysene vi ledet, tok vi utgangspunkt i å definere informasjonsverdier først, dvs. identifisere hvilken informasjon som hadde verdi for nettselskapene (og i hvilke systemer informasjonen finnes). Det var overraskende stor enighet på dette i begge nettselskapene, da det som ble fremhevet var målerverdiene (dvs. forbruket til hver abonnent), bryterfunksjonen (mulighet for fjernavstenging eller struping), samt krypteringsnøklene som beskytter informasjonen som overføres. Konsekvensdimensjonene som ble vektlagt var forsyningssikkerhet (dvs. at alle som skal ha strøm får det), økonomi/omdømme (at nettselskapene får betalt for strømmen de leverer, og ikke blir hengt ut i pressen), og personvern for den enkelte forbruker – det er mye informasjon som potensielt kan samles inn av en smart strømmåler, og det er avgjørende å trø varsomt.

Videre fant vi at bruk av sjekklister ga merverdi; det ga noen knagger å henge prosessen på, og stimulerte til diskusjoner som avdekket nye momenter. Til slutt kan vi anføre at det er vanskelig å analysere noe som (enda) ikke finnes!

Basert på denne øvelsen kan vi komme med noen kjappe anbefalinger:

  • Alt avhenger av å ha med de riktige folkene med riktig kompetanse
  • Det er bedre å gjøre analysen over to halve dager enn en hel dag – det gir mulighet for refleksjon mellom de to øktene, og de riktige folkene kan vanligvis lettere skvise inn to halve dager enn en full dag.
  • Sjekklister og evt. tidligere analyser av sammenlignbare virksomheter hjelper kreativiteten.
  • Fokuser på sannsynlighet og konsekvens av hendelser. En eventuell uenighet i gruppen er faktisk bare bra; det kan føre til at nye momenter kommer opp på bordet.
  • Man kan gjerne benytte en ekstern konsulent som prosessleder, men det er viktig at nøkkelpersoner i virksomheten deltar i analysearbeidet, både for å sikre at den nødvendige lokale kunnskapen er til stede, og for å sikre eierskap til resultatet. Dertil har vi også erfaringer for at det å delta i sikkerhetsarbeid øker sikkerhetsnivået til en virksomhet.
  • Tekniske feil og angrep er viktige, men informasjonssikkerhet dreier seg også om mennesker. Derfor må man ikke glemmer å se på de organisatoriske prosessene!
  • Vær klar på hva analysen dekker: Fokuser gjerne på deler av systemet/virksomheten om gangen for ikke å gape over for mye, men ikke glem at det også kan være nyttig med et overblikk. Hvordan påvirker sikkerhet et sted sikkerheten i andre deler av systemet?