Trusselsmodellering
2023
Trusselsmodellering er en systematisk metode til at afdække sikkerhedstrusler og fastlægge sikkerhedskrav. I dette modul gennemgår vi trinene i modelleringsprocessen.
16. februar 2024
Det første trin i risikostyringsprocessen er at etablere konteksten. Formålet er at få indsamlet de nødvendige interne og eksterne oplysninger til risikostyringsprocessen og sikre, at omfanget af risikovurderingen er tilpasset virksomhedens situation.
Etablering af kontekst er det første trin i risikostyringsprocessen. Her handler det om at fastlægge omfanget og rammerne for processen og definere målene for risikovurderingen.
Der er flere ting, der skal overvejes, når man etablerer konteksten for risikovurderingen, såsom scopet for vurderingen, relevante aktører, metode m.m. De viste værktøjer opsummerer det vigtigste, mens afsnittene nedenfor indeholder en mere detaljeret beskrivelse og et eksempel.
Den overordnede proces for etablering af kontekst indeholder:
Kontekstetableringen gennemføres normalt som en workshop. Det kan enten være som en selvstændig workshop eller som en del af risikostyringsworkshoppen. Det anbefales at inddrage forskellige fagligheder i processen, herunder ledelse og teknikere. Afsæt en time til at gennemføre kontekstetableringen.
Til workshoppen skal der bruges et whiteboard/flipover, tusser, post-its og penne. Medbring evt. en udskrift af kontekstetableringsværktøjet, og brug det som et arbejdsdokument til at visualisere jeres fælles forståelse af konteksten.
Det anbefales at gennemføre workshoppen med papir/whiteboard fremfor på en computer, så alle deltagere har mulighed for at bidrage.
Inden risikovurderingen påbegyndes, er det vigtigt at definere scopet for arbejdet. Begynd med at præcisere formålet med vurderingen, og hvad I ønsker at opnå. Det kan f.eks. være, at I vil identificere mulige sårbarheder og trusler mod et produkt, vurdere driftssikkerheden af en service eller have en plan for at håndtere og afhjælpe risici.
I kan bruge værktøjerne Grundlæggende krav til dette formål.
Overvej disse hovedpunkter, når scopet for vurderingen skal fastlægges:
Det kan dels være interne aktører, herunder medarbejdere og ledelse, dels eksterne som f.eks. kunder eller investorer. Vi anbefaler at inddrage forskellige fagligheder, herunder både ledelse og teknikere, da det vil gøre det nemmere at kortlægge både de forretningsmæssige og tekniske aktiver senere.
Det er ikke sikkert, alle aktører behøver at blive inddraget i hele processen. Det anbefales at få afklaret fra starten, hvilke dele af processen hver aktør skal bidrage til. Desuden skal den enkelte aktørs ansvarsområder præciseres, afhængig af vedkommendes rolle og viden.
Find yderligere inspiration i eksemplet med IoT-dørlåsen nedenfor.
Nu har I et overblik over det system, der skal risikovurderes, hvorfor det skal vurderes, og hvem der skal inddrages i de forskellige trin af processen.
Endnu et vigtigt skridt i den indledende fase af risikovurderingen er at få fastlagt risikovurderingsmetoden, dvs. at finde ud af fremgangsmåden, risikoacceptniveauet samt risikoens konsekvens og sandsynlighed osv.
Der er flere tilgange til at vurdere risikoen, såsom en aktivbaseret tilgang, hvor man evaluerer organisationens aktiver, eller en trusselsbaseret tilgang, der evaluerer de forhold, der skaber risiko. Hver af tilgangene har styrker og svagheder, og valg af tilgang vil afhænge af, hvad I vil opnå, og af jeres organisations situation. Sørg for, at den valgte tilgang stemmer overens med de øvrige tilgange til risikostyring i organisationen.
Bemærk at der ofte allerede er implementeret visse risikokontroller, som kan påvirke konsekvensen og sandsynligheden. Beslut hvordan de eksisterende risikokontroller skal medregnes, f.eks. ved at indtænke dem under risikovurdering eller risikobehandling.
Find yderligere inspiration i eksemplet med IoT-dørlåsen nedenfor.
I har nu et overblik over risikovurderingsmetoden, som er central for kontekstetableringen, før I går videre.
At kende sine trusselsaktører kan være en hjælp til at få identificeret trusler, der er rettet mod organisationen.
En trusselsaktør kan være en person, en gruppe eller en enhed, der udfører ondsindede aktiviteter for at gøre skade på en organisations IT-sikkerhed og data. En af de mest almindelige typer af trusselsaktører er cyberkriminelle. De går efter økonomisk gevinst ved at stjæle data og/eller følsomme oplysninger (f.eks. kreditkortoplysninger eller personoplysninger) ved hjælp af phishing-angreb, ransomware eller malware. Et andet eksempel er statsstøttede aktører, der understøttes af regeringer og udfører cyberspionage, sabotage eller andre offensive aktiviteter for at fremme en fremmed nations interesser.
Se illustration i værktøjet Trusselsaktører nedenfor.
Lav en liste over de vigtigste trusselsaktører, I mener udgør en risiko for en given applikation/system, og beskriv de problemstillinger, der er forbundet hermed.
Find yderligere inspiration i eksemplet med IoT-dørlåsen nedenfor.
Vi vil bruge et IoT-dørlåsesystem som gennemgående eksempel under risikostyring.
Eksemplet består af et sammenkoblet netværk af hardware, software og kommunikationssystemer, herunder IoT-dørlåshardwaren med et kommunikationsmodul, en hub, en mobilapplikation til fjernadgang og en cloud-infrastruktur til lagring og behandling af data.
Et af de vigtigste trin i risikostyringsprocessen er at få etableret konteksten. Den skal skabe en fælles forståelse og intern forventningsafstemning omkring scopet, de omgivende faktorer samt formålet med processen, så I kan gennemføre de efterfølgende trin på en effektiv måde. I har nu en fælles referenceramme for de næste trin i risikostyringsprocessen.
Risikovurdering er en tilbagevendende proces og skal ikke kun gennemføres én gang. Det anbefales at gennemføre den mindst én gang om året eller hvert andet år. Overvej også at gennemføre en risikovurdering ved større ændringer, eller før der indføres nye processer, funktioner eller aktiviteter. Derudover bør der defineres en livscyklus for håndtering af risici, især ift. risici, der ikke håndteres med det samme.
Etablering af kontekst er det første skridt i risikostyringsprocessen. Næste skridt er at undersøge det system, der skal gennemgås, og kortlægge de aktiver, der er vigtige for systemet/forretningen. Dette er beskrevet mere udførligt i Kortlægning af aktiver.
Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0