Appendix 3 - Riskanalys

Transkript

1 Appendix3 Riskanalys Inledning Riskanalysen ska identifiera allt som kan gå snett i ett företag och hur stor sannolikheten är att det ska inträffa, vilka konsekvenser och om möjligt en kostnadskalkyl. För att genomföra en riskanalys krävs att kärnverksamheten d.v.s. den verksamhetsprocess och de resurser företaget lever på har identifierats. Till detta finns stödjande verksamheter som i sig är viktiga, men ändå har något lägre prioritet. I kärnverksamheten ingår resurser som personal, utrustningar och maskiner, program, service och underhåll, externa beroenden som leverantörer, råvaror, tjänster, transporter etc. Varje komponent (del) i kärnverksamheten måste identifieras och därefter analyseras ur risksynpunkt. Noggrannheten avgör kvaliteten på resultatet. Det finns många olika metoder och underlag att arbeta efter, det viktigaste är ändå att kunna värdera konsekvenserna och förlängningen av det som kan inträffa. Det är därför inte metoderna eller underlagen som är det viktigaste, utan kunskapen hos den eller de som leder riskanalysprocessen. Riskanalys handlar om att definiera de hot som en verksamhet möter. Eftersom hoten inte av sig själva påverkar verksamheten utan behöver ett hål i verksamheten, brukar detta hål kallas sårbarhet. Det är först när vi har kombinationen hot tillsammans med sårbarhet som vi får en större eller mindre påverkan på de tillgångar som vi försöker skydda. Aktivt riskanalysarbete är grunden för att införa och vidmakthålla ett ledningssystem för ssäkerhet i verksamheten. Det rekommenderade tillvägagångssättet är att först genomföra en övergripande riskanalys. Utifrån resultatet från denna genomförs sedan en mer detaljerad riskanalys för de områden som i den första riskanalysen har ansetts utgöra en risk för verksamheten. Appendix 3.1 Referenser i berörda standarder Riskanalys är en process som identifierar säkerhetsrisker och bestämmer deras betydelse (ISO Guide 73). Riskanalysen är grunden för att införa ett ledningssystem för ssäkerhet i verksamheten. Några områden lyfter kravet på riskanalys extra tydligt i de råd som finns i SS ISO/IEC 17799: Samordning av ssäkerhet. Avsikten är att samordna alla de aktiviteter som ska genomföras för att bland annat utjämna skillnader mellan olika funktioner, avdelningar och geografiskt spridda delar av verksamheten Riskanalys vid utomståendes åtkomst. Avsikten är att bedöma risken med att låta en tredje part ansluta sig till verksamhetens ssystem Säkerhet för utrustning utanför egna lokaler. Avsikten är att bedöma risken med att ha utrustning utanför egna skyddade lokaler Analys och specifikation av säkerhetskrav. Grunden för att göra en analys av säkerhetskraven och för att identifiera de adekvata åtgärderna är riskanalysen Säkerhet i tillämpningssystem. Eventuella ytterligare åtgärder som kan krävas för system som bearbetar eller kan påverka känsliga, värdefulla eller kritiska tillgångar för verksamheten ska avgöras på grundval av en riskanalys och eventuella säkerhetskrav Policy för användning av krypteringsmetoder. En riskanalys bör ligga till grund för att bestämma ens skydd och därmed också valet av en eventuell krypteringsmetod Avbrotts- och konsekvensanalys. Riskanalysens syfte är att bedöma följderna av ett avbrott och utgör tillsammans med andra analyser grunden för kontinuitetsplanen. Appendix 3.2 Definitioner av begrepp Hot: ett möjligt utfall av en oönskad incident som kan leda till skada i ett system eller för en verksamhet. Konsekvens: den effekt som blir resultatet när en risk förverkligats. Kvarvarande risk: skyddsåtgärder tar inte bort risken till fullo. Det finns alltid en viss sannolikhet att den kvarvarande risken realiseras och medför skada i någon form (konsekvens). Påverkan: resultatet av en oönskad incident. Riskacceptans: den medvetna handlingen att leva med riskens konsekvens/-er. Riskanalys: processen att identifiera risker och försöka förutsäga hur de påverkar verksamheten. Riskreduktion: att minska risken genom att mildra, förebygga eller föregripa den. Det kan ske genom att undvika risken, överföra den genom exempelvis försäkringar, eller genom att reducera hotet, sårbarheten eller den möjliga påverkan (skadan). Det kan också ske genom att upptäcka oönskade händelser, reagera på dem och sedan återställa förhållandena till sitt ursprungsläge. Riskskydd: reduktionen av sannolikheten och/eller konsekvensen. Sannolikhet: frekvensen med vilket ett hot realiseras. Appendix 3 Sida 1

2 Skyddsåtgärd: rutin, procedur eller mekanism som reducerar risken. Sårbarhet: en svaghet, felkonstruktion, ett säkerhetshål eller liknande som kan användas och därmed blir ett hot som leder till en skada. Tillgång: allt som har ett värde för verksamheten. Det kan bland annat röra sig om det verksamheten äger, driver, hyr, kontrollerar, har vårdanden om, ansvarar för, köper, säljer, designar, producerar, testar, analyserar och underhåller. Utsatthet: vad verksamheten är utsatt för och hur kan det bidra till skada, stöld, förlust av egendom eller andra verksamhetstillgångar. Utsattheten kan också bidra till personskada på anställda eller andra personer. Appendix 3.3 Riskstyrningsprocessen Riskstyrning (risk management) hade sin födelse i 1700-talets upplysningstid, då man utforskade det okända i jakten på kunskap. I dag använder vi riskstyrning som en generell process för att komma till rätta med lösa risker. Om konsekvensen av en risk är acceptabel anses risken vara löst. I riskstyrningsprocessen ingår två huvuddelar. Den första är riskanalysen, som vi använder för att definiera riskerna. Riskanalysen är en sökande och upptäckande process för att finna hoten och dess källor. Det är sedan möjligt att bedöma den effekt hoten kan ha på verksamheten. Den andra delen kallas riskkontroll och är ett sätt att kontrollera riskerna och reducera dem. Processen leder fram till att det blir möjligt att ta fram en åtgärdsplan, kontrollera riskstatus, införa åtgärder och korrigera eventuella avsteg från planen. Förändringar av hotbilden resulterar i en förnyad riskanalys. Det är normalt att verksamheten i ett tidigt skede av riskstyrningsprocessen bara har vaga aningar om vad som kan drabba den. Ofta finns många funderingar, viss misstro och okända faktorer att begrunda. Meningen med riskstyrningsprocessen är att omvandla osäkerheterna till ett mer acceptabelt och beräkningsbart risktagande, men också att förstå vilka komponenter som måste beaktas i de beslut som fattas. När risker ska identifieras och analyseras inleds också arbetet med att undersöka sannolikheten för att risken ska realiseras och vad som kan bli konsekvensen. Appendix Riskanalys Hoten mot verksamheten tillsammans med säkerhetshål ökar verksamhetens sårbarhet. En risk existerar även om ingen har lyckats identifiera den, och konsekvensen av risken beror inte på om den har bedömts viktig eller inte. Det är bara de åtgärder som vidtagits för att komma till rätta med risken förebyggande eller skadereducerande som motverkar att den blir ett problem. Oavsett hur risken en gång bedömts kan den ändra sin betydelse allt eftersom tiden går. Det medför också att riskanalysen som arbetssätt inte är en engångsföreteelse utan en cyklisk process som helst bör återkomma minst en gång per år eller när förändringar sker i processer eller på andra sätt. Åtgärderna reducerar riskerna och motverkar hoten. En mycket viktig del inom riskanalysområdet är att balansera kostnaden för åtgärderna mot de risker som finns. Ett skydd eller en åtgärd mot en viss risk ska alltså inte vara starkare än nödvändigt, men inte heller kosta för mycket i förhållande till vad skadan hade kostat om den faktiskt inträffat. Om verksamheten vill förenkla och standardisera besluten som måste fattas i samband med riskanalysen kan olika typer av beslutsmatriser byggas upp. Nedan följer ett exempel på hur en sådan matris skulle kunna vara uppbyggd. Appendix 3 Sida 2

3 Skadefrekvens Grad av förlust Hög Medium Låg Hög Skadeförebygg Skadeförebygg och reducera Medium Skadeförebygg och reducera Skadereducera och överför till försäkring Låg Skadereducera Skadereducera med eftertanke Överför till försäkring Avvakta förändring, överför till försäkring Avvakta förändring, ingen åtgärd För att placera riskhantering och -styrning i ett affärsmässigt sammanhang bör man se till vad skadan kostar och hur mycket verksamheten måste tjäna in för att täcka förlusten. Tabellen nedan försöker översiktligt beskriva detta. Nettovinst (försäljningsvärde för att tjäna in förlusten, avr. värde i kr) Skadekostnad/förlust (kr) 4% 5% 6% Förlustkostnaderna är hämtad från Brottsförebyggande rådets analys 2000 (BRÅ:2000:2) över skadekostnader i samband med dataintrång. Enligt rapporten är medelkostnaden för ett dataintrång kronor. Om verksamheten utsätts för ett intrång måste en verksamhet med 4 procents vinstmarginal sälja för nästan 9 miljoner kronor innan förlusten är täckt. Appendix Riskkontroll Riskkontrollen är en ständigt pågående verksamhet som syftar till att se om hotbilden förändras. Gör den det signalerar riskkontrollen om att en ny isolerad riskanalys ska genomföras för det område vars verklighet förändrats i någon form. Det innebär samtidigt att en ny åtgärdsplan ska tas fram för att reducera de nya hoten så långt som möjligt men också att korrigera verksamheten om och när den gör avsteg från de fastlagda planerna. Riskkontrollen blir därmed en mycket viktig del av riskstyrningsprocessen. Appendix 3.4 Riskanalys i praktiken exempel I det här kapitlet beskrivs en översiktlig modell som tar relativt kort tid i anspråk Det är nödvändigt att de personer som besitter kunskap om verksamheten och hur den bedrivs också finns med under de praktiska delarna i hela analysarbetet. Någon hänsyn till befintliga skyddsåtgärder ska inte tas, eftersom det är mycket svårt att bedöma effektiviteten hos varje åtgärd. I det följande praktiska exemplet på riskanalys används modellen på det typföretag som är gemensamt för hela den här handboken Medytekk. En utförligare beskrivning av Medytekk finns i kapitel 15. Exemplet är en riskanalys genomförd på den administrativa enheten. Detta är en delmängd av den totala riskanalysen. Enheten omfattar, förutom den administrative chefen, också en ekonomiavdelning med sex personer, en personalavdelning med fyra, en it-avdelning med fyra samt inköps- och försäljningsavdelningen med tio personer. I arbetsgruppen ingår den administrative chefen, en person från ekonomi-, personal-, IT- respektive inköpsoch försäljningsavdelningen. För att underlätta analysarbetet att har en konsult anlitats som motor och pådrivare. Appendix Översiktlig modell Denna analysmodell är indelad i tre faser. Gemensamt för alla faser är att de befintliga skyddsåtgärderna inte får beaktas under analysen. Orsaken är att det är mycket svårt att bedöma hur effektiva olika skyddsåtgärder är. Den första fasen genomförs oftast som en så kallad brainstorming session och omfattar följande delar: Appendix 3 Sida 3

4 identifiering av resurser (vad behövs för att kunna genomföra verksamheten), identifiering av hot mot respektive resurs, bedömning av sannolikheten för att hotet mot den specifika resursen ska uppträda, bedömning av konsekvensen av hotet mot den specifika resursen när det har uppträtt, visualisering av resultatet genom projektion i ett koordinatsystem, samstämmighet över vilka hot (per resurs) som ska hanteras vidare eller överföras till den fördjupade/ detaljerade modellen. I den andra fasen ingår följande del: utifrån varje enskilt hot (per resurs) analyseras källan till hotet. Är hotet exempelvis brand kan källan vara levande ljus, elfel, anlagd brand (sabotage) etcetera. I den tredje och avslutande fasen ingår följande delmoment: analysera källorna till respektive hot (per resurs) och ta fram lämpliga förebyggande skyddsåtgärder för att möta hotens ursprung. Det förebyggande skyddet vänder sig alltid mot hotets källa. Är källan exempelvis levande ljus kan ett förbud mot att ha levande ljus införas. analysera hoten (per resurs) och ta fram lämpliga skadebegränsande lösningar. Lösningen vänder sig alltid mot det realiserade hotet, exempelvis brand där den skadebegränsande lösningen kan vara sprinkler. åtgärdslistan (form av förebyggande och skadebegränsande lösningar) jämförs med vilka skydd som redan finns i verksamheten. Resultatet är skydd som bör införas för att möta hoten eller deras källor. förebyggande skydd och/eller skadebegränsande lösningar som återfinns på flera ställen i den reducerade åtgärdslistan är bra att införa eftersom de möter flera hot eller källor till hoten på samma gång. Normalt tar en analys som den ovan beskrivits mellan 40 och 80 mantimmar att genomföra. Fas 1 Identifiera resurser Identifiera hot mot varje resurs Bedöm hot till Sannolikhet Bedöm hot till Konsekvens Urval av hot Fas 3 Väg in befintligt skydd. Åtgärdsplan Identifera alla katastrofskydd till hoten Fas 2 Identifiera alla förebyggande skydd till orsakerna Identifiera alla orsaker till varje valt hot Appendix 3.5Förslag till lösningar översiktlig modell Nedan presenteras ett förslag till lösning som är baserat på företaget Medytekk. Syftet är att visa en arbetsmodell och ett strukturerat angreppsätt. Analyserna är inte kompletta utan visar en del av vad man bör ta hänsyn till för den administrativa avdelningen.. Appendix 3 Sida 4

5 Appendix Fas 1 I den indelade delen av analysen kunde analysgruppen bland annat finna resurserna i tabellen nedan (R1 R7). Man fann också att vissa specifika hot (H1 H15) kunde kopplas till respektive resurs. R-nr Resurs H-nr Hot R1 Personal H1 Våld eller hot om våld H2 Olycka R2 Datorer H3 Obehörig tillskansar sig konfidentiell H4 Stöld R3 Ekonomisystem H5 Inte tillgängligt H6 Falska utbetalningar H7 Manipulation av en R4 Nätverk H8 Inte tillgängligt H9 Avlyssning R5 Personaladministrativt system H10 Inte tillgängligt H11 Obehörig får del av konfidentiell R6 Betalningsrutiner H12 Inte tillgängligt H13 Manipulation av R7 Order, lager och faktureringssystem H14 Inte tillgängligt H15 Manipulation av En tabell som visar sannolikheten för att hoten ska realiseras togs också fram. Nivåerna 1 och 2 kan ses som mellanting mellan 0 och 3. Detsamma gäller för 4, 6, 7, 9 och 10. Sannolikhet (S) Nivå 0 = Osannolik, inträffar om 30 år. Nivå 3 = Mindre sannolik, inträffar om 5 år. Nivå 5 = Möjlig, kan inträffa under året. Nivå 8 = Sannolik, inträffar flera gånger per år. Konsekvens (K) Nivå 0 = Betydelselös. Nivå 3 = Låg, kan påverka trovärdighet, viss ekonomisk påverkan, gränslandet för vad som är lagligt (ej gråzon), lite påverkan på människor (liv och hälsa). Nivå 5 = Hög, är avgörande för trovärdighet, har stor ekonomisk påverkan, gråzonen för vad som är lagligt, stor påverkan på människor (liv och hälsa, flertal skadade). Nivå 8 = Mycket hög, kan hota företagets trovärdighet, mycket stor ekonomisk påverkan, är olagligt, mycket stor påverkan på människor (liv och hälsa, flertal döda eller svårt skadade). Appendix 3 Sida 5

6 Efter analysgruppens sannolikhets- och konsekvensbedömning framkom följade bild. R-nr Resurs H-nr Hot S K R1 Personal H1 Våld eller hot om våld 7 8 H2 Olycka 4 8 R2 Datorer H3 Obehörig tillskansar sig konfidentiell 3 9 H4 Stöld 6 3 R3 Ekonomisystem H5 Inte tillgängligt 6 7 H6 Falska utbetalningar 4 7 H7 Manipulation av en 3 8 R4 Nätverk H8 Inte tillgängligt 1 4 R5 Personaladministrativt system H9 Avlyssning 2 4 H10 Inte tillgängligt 1 4 H11 Obehörig får del av konfidentiell 3 3 R6 Betalningsrutiner H12 Inte tillgängligt 1 4 R7 Order, lager och faktureringssystem H13 Manipulation av 1 4 H14 Inte tillgängligt 1 4 H15 Manipulation av 2 4 Samtidigt förde man in värdena för hot och konsekvenser i ett koordinatsystem (origo = 5). Gruppen gick sedan vidare med att behandla de hot som ligger ovanför x-axeln, det vill säga de hot som har ett konsekvensvärde på 5 eller mer. Även om hoten under x-axeln inte behandlas vidare i analysen måste företaget regelbundet kontrollera att de inte kommit att spela en roll för verksamheten. Det troliga är att när åtgärder sätts in mot de utvalda hoten (över x-axeln) kommer de som lämnats kvar att få en ökad betydelse. Appendix 3 Sida 6

7 Appendix Fas 2 I den andra fasen ska arbetet leda fram till att orsakerna till varför hoten uppstår ska klarläggas. Gruppen fyller på med ytterligare en kolumn i den tabell de tidigare arbetat med. R-nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Dator lämnad oövervakad och inloggad Fientligt program installerat som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Strömlöst H6 H7 Falska utbetalningar Manipulation av en Systemet fungerar inte 4 7 Felskrivning Anställd missnöjd Anställd i ekonomisk kris 3 8 Databrott Appendix Fas 3 I den avslutande tredje fasen ska förebyggandeskydd och skadebegränsande lösningar tas fram. Dessa skydd och lösningar ska vara dimensionerade för att klara av att stå emot de hot man vet finns mot verksamheten. Skydden ska därmed minimera sannolikheten för, och konsekvensen av att hoten förverkligas. Gruppen överlämnar tabellen nedan till analysledaren som dels kontrollerar relevansen hos punkterna, dels planerar hur skydden ska finansieras och införas. Appendix 3 Sida 7

8 Nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Lämnad oövervakad och inloggad Fientlig programvara installerad som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Förebyggande skydd (mot orsak) Regelbunden översyn av utrustning Invallning av området Information och utbildning Bra personalpolitik högt i tak Personal endast tillgång till den info som behövs för arbetet Bra tjänstebilar (hög klass) Regelbunden översyn av utrustningen Information och utbildning Tillse att obehöriga inte kan komma åt datorerna (fysiskt) Förvara inte konfidentiell på lätt-tillgängliga datorer Inför automatisk utloggning/låsning av dator inom viss tidsrymd Information och utbildning Installera antivirusprogram Tillåt inte användare att installera program Tillåt inte bifogade filer i e-post Information och utbildning Förvara inte bärbara datorer i Katastrofskydd (mot hot) Krisgrupp Inte genomföra tester på försöksdjur Företagshälsovård Krisgrupp Företagshälsovård Kryptera konfidentiell Appendix 3 Sida 8

9 Nr Resurs H-nr Hot S K Orsak Förebyggande skydd (mot orsak) bilen Katastrofskydd (mot hot) Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Appendix 3.6 H6 H7 Falska utbetalningar Manipulation av en Förslag till åtgärder Flytta datorn till en plats som inte är lättillgänglig Lås fast datorn Kryptera en Spara ingen på pc Reservutrustning för nätverkskomponent som kan gå sönder Manuella rutiner Strömlöst Reservkraft Kontinuitetsplan Systemet fungerar inte Regelbundet underhåll 4 7 Felskrivning Inför rimlighetskontroller Lägg upp betalningsmottagare så att de endast kan väljas från fast meny Inför dualitet vid utbetalningar Anställd missnöjd Anställd i ekonomisk kris Bra personalpolitik högt i tak Information och utbildning för att känna igen missnöje Bra personalpolitik högt i tak Bra lön Goda möjligheter till personallån 3 8 Databrott Kontroll av loggar Prioriteringen av åtgärder görs med hänsyn till antalet hot, risknivåer och om det redan finns några skyddsåtgärder införda. Därefter är rapporten med föreslagna åtgärder och deras inbördes bedömning klar. Appendix 3 Sida 9

10 Appendix 3.7 Datorstödd riskanalys Det finns i dag en mängd hjälpmedel för att genomföra riskanalyser. Exempel på verktyg är SBA Scenario är ett verktyg vilket utvecklats med stöd från Dataföreningen i Sverige och ger en hot-, risk- och konsekvensanalys via scenarioteknik. RA2 (engelsk version) tar användaren steg för steg genom riskanalysen och föreslår åtgärder. RA2 är baserat på BS och ISO/IEC och är även användbart för att utforma dokumentet uttalande om tillämplighet vilket är ett måste vid en eventuell certifiering. CRAMM (engelsk version) - användbart vid fördjupad riskanalys. Appendix 3.8 Checklista Riskanalys Uppgift Planerad Utförd Möte med ledningen för att få dennas uttalade stöd för att genomföra en riskanalys. Utse en projektledare (internt eller externt) som får avsätta erforderlig tid för projektet. Kallelse till analysgruppsarbete skickas till de personer i verksamheten som aktivt kan bidra till arbetet och som får avsätta den tid som krävs tid för projektet. Informera och utbilda analysgruppen i valda riskanalysmetoder. Planera in projektet med tillhörande milstolpar (fasindelningen i den här skriften). Planera också in leveranstidpunkter till ledningen. Håll ledningen och andra berörda informerade om projektet. Finns processer och rutiner definierade och implementerade? Appendix 3 Sida 10