Modulet helt kort

Efter at man har kortlagt værdierne (aktiverne) i ens system, kan man begynde at undersøge dem nærmere og overveje, hvad der ville ske, hvis en hændelse påvirkede dem. Resultatet af dette er en form for konsekvensanalyse. 

Formålet med konsekvensanalyse af aktiver

Hvis man er så uheldig at blive udsat for et cyberangreb, kan det have en række forskellige konsekvenser afhængigt af det konkrete angreb. Der kan ligeledes være andre hændelser, som ikke nødvendigvis kategoriseres som et cyberangreb, men som påvirker ens aktiver på forskellig vis. Konsekvensanalysen har til formål at sikre, at man får lavet en systematisk gennemgang af, hvad konsekvensen er ved de forskellige typer af cyber-hændelser.

Praktiske oplysninger om processen

Man kan analysere konsekvensen på en workshop, på samme måde som da man kortlagde aktiver i systemet. Som navnet antyder, er der modsat tidligere en del analysearbejde i dette trin, og der kan derfor godt opstå spørgsmål, der skal afklares udenfor/efter workshoppen, f.eks. ved interessenter, der ikke deltager i workshoppen.
Ideelt set vil analysen derfor starte med en workshop, hvor man får afklaret, hvad der kan analyseres med det samme, og hvad der skal undersøges nærmere efter workshoppen. Derefter kan de enkelte deltagere foretage de nærmere undersøgelser efter behov, hvorefter man samles igen og foretager den endelige analyse.

Det er primært personer med forretningsmæssig forståelse, der skal involveres i konsekvensanalysen, idet de vil være bedst rustet til at vurdere den forretningsmæssige konsekvens. Personer med teknisk indsigt vil dog også kunne bidrage, specielt med viden om, hvordan aktiverne spiller sammen, f.eks. hvordan kompromittering af et aktiv evt. kan give adgang til andre aktiver et andet sted i systemet. Det er derfor også her en fordel, hvis man kan inddrage både personer med forretningsmæssig og teknisk forståelse.

CIA til vurdering af konsekvenser

Mange tror (fejlagtigt), at cybersikkerhed kun handler om at sikre, at data bliver holdt hemmelige for uvedkommende. Cyberangreb kan have andre konsekvenser, og i forbindelse med IoT kan disse ofte være værre end læk af data. Man arbejder indenfor IT med en model for sikkerhed, der hedder CIA: Confidentiality, Integrity and Availability, eller Fortrolighed, Integritet og Tilgængelighed på dansk. 

"Fortrolighed, integritet og tilgængelighed" af CyPro under licens CC BY-SA 4.0

Ved at kigge på alle 3 dele i modellen kommer man omkring de mulige konsekvenser, der kan være ved et cyberangreb. Som nævnt under kortlægning af aktiver giver det i forbindelse med cybersikkerhed mening at tænke på aktiverne som data. Hvis man har anvendt en bredere definition af aktiver og f.eks. har inkluderet fysiske objekter som aktiver, kan man overveje, hvad der vil ske, hvis aktivet bliver stjålet eller ødelagt.
 
For hvert af de 3 dele i modellen vurderer man, hvor kritisk en kompromittering af aktivet vil være. Skalaen man vurderer ud fra blev defineret tidligere og er beskrevet i kontekstmodulet. Når man vurderer, bør man tage udgangspunkt i værste tilfælde og derefter justere vurderingen, så den også er realistisk. F.eks. kunne en kompromittering af fortroligheden af en kundes data i et system i værste tilfælde betyde, at samtlige kunder mistede tilliden og derved forsvandt, hvilket ville have en meget høj konsekvens. Et mindre datalæk ville sandsynligvis ikke have den store betydning for størstedelen af kunderne, og den reelle konsekvens ville være noget lavere. 

Skalerbarheden af et evt. angreb bør også være en del af vurderingen. Hvor mange IoT-enheder vil blive påvirket / skal påvirkes, før det er et problem? I forbindelse med sensorer kan man nogle gange se bort fra enkelte målepunkter, idet der kan være naturligt forekommende fejl og afvigelser, der skal sorteres fra under alle omstændigheder.

"CIA-vurdering af aktiver" af CyPro under licens CC BY-SA 4.0

CIA-vurdering af aktiver
Print-venlig version i stort format

Når man bliver ferm til at foretage vurderinger, kan der hurtigt skabes et overblik i et skema som værktøjet CIA-vurdering af aktiver. Til en start kan det være en fordel at se nærmere på de enkelte aktiver separat, og her kan  værktøjet Konsekvensanalyse for et aktiv give yderligere støtte til at vurdere aktiverne et ad gangen med hjælpespørgsmål for både C, I og A.

"Konsekvensanalyse for et aktiv" af CyPro under licens CC BY-SA 4.0

Konsekvensanalyse for et aktiv
Print-venlig version i stort format

Trin-for-trin guide

Aktiverne i virksomheden kan analyseres ved hjælp at CIA-modellen. Start med at lave en liste over aktiver i virksomheden. Under kortlægning af aktiver er det beskrevet, hvordan der kan skabes overblik over aktiver og laves en liste.

1. Gennemgå de kortlagte aktiver

Brug listen med aktiver fra tidligere og analyser hvert aktiv, et ad gangen. 

2. Identificer værst tænkelige konsekvens

Start med at overveje, hvad der ville være det værst tænkelige, hvis aktivets fortrolighed, integritet og tilgængelighed blev kompromitteret. 

Print gerne værktøjet CIA vurdering af aktiver til brug under workshoppen – eventuelt med støtte fra værktøjet Konsekvensanalyse for et aktiv.

3. Juster konsekvensen

Tag resultaterne fra tidligere og juster dem, så de bliver mere realistiske. Når man har været igennem nogle af aktiverne, kan man begynde at sammenholde vurderingen for forskellige aktiver, så man sikrer et konsistent resultat.

I det efterfølgende er CIA-metodens tre dele Fortrolighed, Intregritet og Tilgængelighed yderligere beskrevet med udgangspunkt i eksemplet med et IoT dørlåsesystem.

CIA-modellen anvendt på IoT dørlåsesystem

Fortrolighed

De fleste forstår, at det kan være vigtigt at beskytte fortroligheden af et aktiv, og mange sikkerhedsmekanismer handler også primært om dette. For nogle aktiver er det åbenlyst vigtigt at beskytte fortroligheden, f.eks. personfølsomme data, der er omfattet af GDPR, eller forretningshemmeligheder. Der findes dog mange aktiver, hvor fortrolighed ikke er åbenlyst vigtigt, men hvor disse data kombineret med andre data kan blive problematiske. I IoT-sammenhæng vil det ofte dreje sig om sensor-data, som kombineret med andre data kan blive persondata. Det kan også dreje sig om, at oplysninger kan afsløre noget omen virksomheds aktiviteter; f.eks. kan data om vand- eller strømforbrug afsløre virksomhedens aktivitetsniveau, , hvilket kan være relevant i forhold til aktiekurser. Det kan også være vigtigt at beskytte visse aktivers fortrolighed, hvis de anvendes til at tilgå andre systemer/aktiver, f.eks. adgangskoder og kryptografiske nøgler.

Det er dog langt fra alle data i et IoT-system, der skal beskyttes mht. fortrolighed. Meget (ubehandlet) sensor-data er ikke videre interessant, og der er derfor måske kun behov for at beskytte de aggregerede rapporter/data. Kommandoer og lignende til at styre en fysisk maskine er ofte heller ikke nødvendige at holde hemmelige, idet resultatet (og dermed også indholdet) af kommandoen ofte vil kunne observeres på selve maskinens opførsel. 

"Eksempel med IoT dørlås: Vurdering af aktiv ift. fortrolighed" af CyPro under licens CC BY-SA 4.0

Integritet

I forbindelse med IoT-systemer vil det ofte være vigtigt at sikre integriteten af de data, man arbejder med. Selvom dataene måske ikke er vigtige mht. fortrolighed, vil en uautoriseret ændring enten betyde, at den fysiske komponent, man forsøger at styre, får en anden opførsel end forventet, eller at det data, man bruger som beslutningsgrundlag, vil være forkert, hvilket kan resultere i forkerte beslutninger. 

Hvis dataene bliver brugt til at styre en maskine, er det vigtigt at sikre, at maskinen fungerer korrekt og ikke f.eks. pludselig starter, mens man er i gang med en reparation. Det er mange producenter dog allerede opmærksomme på, ligesom der findes en del regulering herfor. Det er derfor ikke unormalt, at der er fysiske foranstaltninger til stede, der skal forhindre personskade og lignende. Ofte vil en kompromittering af integriteten derfor “kun” resultere i f.eks. et system, der ikke producerer optimalt, eller andre økonomiske tab. 

Hvis man indsamler data fra en række sensorer, bør man være opmærksom på, at data i princippet kan manipuleres, før det kommer ind i systemet og bliver digitalt. F.eks. kan man, forudsat der er fysisk adgang, blæse varm eller kold luft på et termometer og derved ændre den målte værdi, uden at der er behov for at ændre i data. Generelt er det svært at sikre enheder fuldstændigt, når angriberen har fysisk adgang, og man kan overveje evt. mitigerende tiltag på backenden.

"Eksempel med IoT dørlås: Vurdering af aktiv ift. integritet" af CyPro under licens  CC BY-SA 4.0

Tilgængelighed

Det kan være vanskeligt at vurdere konsekvenser i forbindelse med manglende tilgængelighed. I nogle systemer er data tidskritisk, og hvis den kontinuerte strøm af data afbrydes, standser maskinen. I de tilfælde er det forholdsvis let at vurdere konsekvensen af manglende tilgængelighed. I de fleste andre systemer anvendes data dog mere periodisk, ligesom der er forskellige buffer-mekanismer, så systemet ikke holder op med at virke, blot fordi internetforbindelsen er væk kortvarigt. 
 
Tidspunktet for den manglende tilgængelighed kan også have betydning for konsekvensen. Hvis data fra en række sensorer f.eks. opsamles løbende men sendes i en ugentlig rapport, kan enhederne uproblematisk være utilgængelige det meste af tiden, blot de bliver tilgængelige, når deres data rent faktisk skal anvendes.
 
Grundet ovenstående kan det derfor være vanskeligt blot at tildele konsekvensen en vurdering fra f.eks. 1-4. Man vil ofte have behov for at tilknytte nogle noter om, hvor længe og hvornår det er antaget, at dataene er utilgængelige.

"Eksempel med IoT dørlås: Vurdering af aktiv ift. tilgængelighed" af CyPro under licens CC BY-SA 4.0

De enkelte vurderinger af systemets aktiver kan samles i værktøjet CIA-vurdering af aktiver med kommentarer som vist herunder.

"Eksempel med IoT dørlåsesystem: CIA-vurdering af aktiver" af CyPro under licens CC BY-SA 4.0

Udbytte

Udbyttet af processen er, at listen med de aktiver, som er vigtige for systemet, bliver beriget med en vurdering af, hvor vigtige de faktisk er. Selve processen vil ofte give anledning til en række spørgsmål i stil med: “Hvad gør vi egentligt for at beskytte xx?”
I forbindelse med trusselsmodellering kan man trække på analysen, så når man ved, hvilke aktiver der kan blive ramt af en trussel, kan man hurtigt afgøre, hvor kritisk det er.

Ekspertens råd

For at sikre konsistente vurderinger er det vigtigt, at de enkelte aktiver ikke kun analyseres af en enkelt person. I stedet bør man involvere flere personer og foretage afstemninger, diskussioner eller på anden vis etablere en konsensus. Her bør man tage højde for virksomhedens kultur og tillidsniveauer, idet åbne diskussioner forudsætter en høj grad af tillid deltagerne imellem, mens hemmelige afstemninger ikke stiller samme krav til kulturen.
 
Det er ligeledes en god ide at sammenholde vurderingerne og sætte dem i forhold til hinanden: ”Vi mener, X har konsekvens 4 og derved er værre end Y (med konsekvens 3), giver det mening?”. Man kan begynde at sammenligne vurderingerne, når man har de første par vurderinger på plads. Det kan dog kræve, at man går tilbage og ændrer tidligere vurderinger, hvis det senere viser sig, at man har været for optimistisk eller pessimistisk i starten. 

Næste skridt 

Når man har kigget på, hvad konsekvenserne af en hændelse er, er næste trin at undersøge, hvilke hændelser og trusler, man kan blive ramt af. Det er beskrevet nærmere i trusselsmodellering.

Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0

CyPro