Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? henrik.christiansson@sakerhetspolisen.se Enheten för InformationsSäkerhet och Bevissäkring i IT-miljö (ISBIT) EBITS, 2013 11 13
Risk- och sårbarhetsanalys (RoS) Verksamhet Konsekvens Sårbarheter Åtgärder Risk = Sannolikhet för hot x Kostnad för Konsekvensens
Säkerhetsanalys (SA) Åtgärderna relaterar till hotets förmåga RoS SA HEMLIG Verksamhet Sårbarheter Skyddsvärt Skadekonsekvens Sannolikheten går inte att uppskatta! Åtgärder Konsekvensen avgör skyddsvärdet
Väl anpassade skyddsåtgärder men hur? Förmåga Intention Hot Sårbarhet System Skyddsvärde Tillfälle Trolighet Antagonist Risk Skadekonsekvens Skyddsåtgärder
Säkerhetsanalys en process Systematisk identifiering av skyddsvärd verksamhet Verksamhet Identifiering av hot Dimensionerande hotbeskrivningar Värdering av skadekonsekvenser Förtida menbedömning Identifiera sårbarheter Åtgärder Anpassning av skyddsnivå Konsekvens Sårbarheter Åtgärder
Skyddsvärt hur identifierar man det? SvK Andra elbolag ELBOLAG (egna skadekonsekvenser) Andra myndigheter Kunder
Skyddsvärden, exempel Personer och roller systemadministratörer personal med kunskap om säkerhetsrelaterade rutiner Anläggningar, byggnader och system speciellt skyddsvärda byggnader speciellt skyddsvärda infrastruktursystem kommunikationsinfrastruktur säkerhetssystem stödsystem Information systemkritisk information information om säkerhetsrutiner och säkerhetssystem Anseende
Konsekvenser - Rikets säkerhet Vilka konsekvenser får ett angrepp? 1. Påverkas ett större antal människors liv och hälsa? 2. Påverkas ett större geografiskt område? Är denna påverkan långvarig och/eller inträffar den vid en olämplig tidpunkt? 3. Får angreppet allvarliga sociala, ekonomiska och/eller politiska konsekvenser för samhället? 4. Påverkas andra samhällsviktiga verksamheter allvarligt? 5. Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden? Varje verksamhet gör egna bedömningar. Viktigt med argumentation! Allt i organisationen är inte lika skyddsvärt. Säkerhetsskyddsåtgärder kostar pengar! Översyn av SäkL pågår! Konsekvens
Förtida menbedömning, exempel Bortfall av produktion Bortfall av leverans till kund Skadekonsekvens hos kund Skadat förtroende hos kund Skadat förtroende hos reglerande myndighet Viktigt att dokumentera förtida menbedömningar så gott det går innan incidenten inträffar! Motiverar åtgärder innan något inträffar men även under incidenten Beslutsfattare kan ändra uppfattning när något inträffar
Verksamheten anrikningsanläggning i Natanz Mahmoud Ahmadinejad Samtliga bilder från www.wired.com How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History, July 11, 2011
Skyddsvärdesvärdering med metoden CARVER exemplet centrifuger vid anrikningsanläggning i Natanz Höga poäng ger mervärde för angripare F C Criticality (fysiskt eller cyber) Accessability (fysiskt eller cyber) Recognizability (fysiskt eller cyber) Vulnerability (fysiskt eller cyber) Effect (fysiskt eller cyber) Recuperability (fysiskt eller cyber) Omedelbart stopp i verksamheten 10 Ingen märkbar effekt för verksamheten 1 Lättåtkomlig, angrepp från utsidan är möjlig 10 Oåtkomlig eller extremt svåråtkomlig 1 Alltid identifierbar 10 Mycket svåridentifierad 1 Sårbar även för angrepp med enkla medel 10 Osårbar eller kräver extrema åtgärder 1 Betydande negativa konsekvenser 10 Obetydliga konsekvenser 1 Lång återställningstid, en månad eller mer 10 Verksamhet återställd samma dag. 1 7 5 1 7 8 8 3 2 7 7 5 6 Detection (fysiskt eller cyber) Svårt att upptäcka angrepp och koppla till någon Lätt att upptäcka angrepp och koppla till någon 10 1 1 10 32 45
Glömma värdera skyddsvärde 9 april, 2009
Antagonistiska hot och hotbild Aktör Förmåga Avsikt Tillfälle Hotbild Potentiella eller konkreta hot vid en viss tidpunkt Dimensionerande hot hotbeskrivning som hjälp för att dimensionera säkerhetsskyddsåtgärder
Dimensionerande hotbeskrivning Avskalad beskrivning av Aktörens operativa intention (politisk intention är oviktig) Aktörens förmåga Aktörens kännedom om målet Någorlunda oföränderlig över tid Syftar till att dimensionera skyddet (kravspecifikation) Ger spårbarhet Ger långsiktig planeringshorisont
Del av dimensionerande hotbeskrivning Natanz En antagonist har bestämt sig för att elektroniskt sabotera centrifugerna Statlig aktör (planmässig, resursstark och långsiktig) De har ingående kunskaper om säkerhetsbrister i Operativsystem Fysiska säkerhetssystem Har nationellt SCADAsäkerhetslabb till förfogande De har förmåga att värva någon typ av insider vid något tillfälle De vill verka dolt och inte kunna identifieras
Exempel på synpunkter på en säkerhetsanalys O Struktur: Gör om säkerhetsanalysen från grunden. Använd begrepp som skadekonsekvens, skyddsvärd verksamhet, hot och sårbarheter på ett konsekvent sätt. Renodla de olika avsnitten i säkerhetsanalysen. Gör tydliga ställningstagande i säkerhetsanalysen (RS och ST) O Innehåll: Tydliggör vilka uppgifter, system, verksamheter och befattningar som är skyddsvärda och som behöver omfattas av säkerhetsskyddsåtgärder. Detta bör föregås av en skadekonsekvensanalys.
Exempel på synpunkter på en säkerhetsanalys (forts) O Involvera verksamheten (och de som är beroende av systemet) i arbetet med att genomföra säkerhetsanalysen O Utveckla hotbeskrivningen till en dimensionerande hotbeskrivning som kan användas för att kravställa säkerhetsskyddet. O Bryt ut sårbarhetsbedömningar och åtgärdsredogörelser och lägg detta i en separat åtgärdsplan.
Väl anpassade skyddsåtgärder - dimensionering Förmåga Intention Hot Sårbarhet System Skyddsvärde Tillfälle Trolighet Antagonist Skadekonsekvens Dimensionerande Risk risker Skyddsåtgärder
Sammanställ resultatet Det viktigaste innehållet i säkerhetsanalysen Utpekande av det mest skyddsvärda i verksamheten Man måste inte ha något som är skyddsvärt med avseende på rikets säkerhet Argumentation som beskriver varför Beslutsunderlag avseende säkerhetsskyddsåtgärder
GÅ FRÅN ETT ÅTGÄRDSDRIVET (IBLAND RITUELL SÄKERHET) TILL ETT ANALYSDRIVET SÄKERHETSARBETE!