Modulet helt kort

I dette modul får I en indføring i risikostyring, som er et effektivt værktøj til at få afdækket og hånd-teret de sikkerhedstrusler og sårbarheder, som virksomhedens systemer, netværk og data er udsat for, samt de konsekvenser, et eventuelt cyberangreb kan have.

Modulet henvender sig til læsere uden forudgående kendskab til risikostyring inden for datasikker-hed.

Risikostyring ved cyberangreb

Et cyberangreb er et bevidst og ondsindet forsøg på at skaffe sig adgang til en virksomheds eller persons systemer. Angriberen kan have forskellige motiver som f.eks. at stjæle oplysninger, opnå økonomisk gevinst, spionere eller sabotere. Truslerne mod cybersikkerheden ændres konstant – både i hyppighed, kompleksitet og i måden, de udføres på. Men ved at få viden om mulige risici, kan virksomheder få identificeret de vigtigste trusler og dermed mindske sandsynligheden for, at truslerne bliver til virkelighed. Selvom fokus i modulet er risikohåndtering i forbindelse med cybe-rangreb, kan metoderne i dette modul også bruges til at udvikle generel robusthed af systemerne.

Formålet med en risikostyring

Risikoanalyse inden for datasikkerhed er en proces, der går ud på at afdække, analysere og vur-dere de risici, som virksomhedens informationssystemer og data står overfor. Målet med risikoana-lysen er at få afdækket mulige sårbarheder og trusler, således at man kan lægge en plan for håndtering og afhjælpning af disse risici med henblik på at beskytte virksomhedens aktiver og data. Hele denne proces kaldes risikostyring.

Dette modul præsenterer en meget komprimeret udgave at risikostyring og har som primært formål at give et overblik over den samlede proces. Der præsenteres et par værktøjer, men modulet vil i lige så høj grad henvise til andre moduler og yderligere værktøjer.

Så benyt dette til at skabe overblik over risikostyringsprocessen igennem disse trin:

1. Afgræns jeres scope
   Start med at afgrænse, hvilket system I vil gennemgå, dets formål/mål, samt hvem der skal væ-re med til risikoanalysen.
2. Kortlæg jeres aktiver
   Afdæk alle de aktiver, der er relevante for det system, I vil gennemgå.
3. Afdæk sårbarheder og trusler 
   Identificer mulige trusler ved at overveje, hvad der kan gå galt. 
4. Prioriter risici
   Afdæk hvilken konsekvens truslen vil have for jeres system, og vurder hvor sandsynligt det er, at det sker. Det giver en samlet risiko for truslen. 
5. Læg en plan for risikohåndtering
   Læg en plan for, hvordan I vil håndtere risikoen. 
6. Implementer tiltag
   Igangsæt jeres risikohåndtering.

Før I går i gang med en risikostyring, er det vigtigt at få styr på nogle vigtige begreber, der går igen igennem hele processen.

Vigtige begreber

• Aktiv: Et aktiv er data, enheder eller komponenter i en organisations systemer, som har værdi – ofte fordi aktivet indeholder følsomme oplysninger eller kan bruges til at tilgå sådanne oplys-ninger.  
• Trussel: En trussel er en potentiel hændelse, der har en negativ indvirkning på et aktiv – f.eks. så aktivet går tabt, bliver smidt af nettet, eller uautoriserede får adgang til det.  
• Sårbarhed: En sårbarhed er en svaghed i systemet, der kan udnyttes til at ødelægge, beska-dige eller kompromittere et aktiv.
• Risikostyringsplan: En liste over risici, og hvordan de skal afhjælpes – eller hvordan man evt. lever med dem.

Praktiske informationer

Afsæt mindst fem timer til at identificere, prioritere og afhjælpe truslerne mod informationssikkerhe-den. Det anbefales at inddrage et bredt udsnit af nøglemedarbejdere i analysen. Typisk vil forret-ningsforståelse være en forudsætning for bedst at kunne vurdere konsekvensen og identificere aktiver, mens teknisk indsigt bedre ville kunne vurdere sandsynligheden for, at en hændelse ind-træffer.

Risikoanalysen gennemføres normalt som en workshop. Hertil skal I bruge et whiteboard/flipboard, tusser, post-its og penne.

Det anbefales at gennemføre analysen på papir/whiteboard i stedet for på en computer, så alle deltagere får mulighed for at blive inddraget. 

Trin-for-trin guide

Før I går i gang, skal I definere omfanget af risikoanalysen.

1. Afgræns jeres scope

1. Start med at klarlægge formålet med risikoanalysen, og hvad I ønsker at opnå. Det kan f.eks. være, at I vil have afdækket mulige sårbarheder og trusler mod et produkt, vurdere driftssikkerheden for en service, eller lave en plan for at styre og afhjælpe risici.
2. Definer hvilke komponenter, produkter og services, der skal være omfattet af risikoanaly-sen.
3. Find ud af, hvilke interessenter der skal inddrages i risikoanalysen, f.eks. medarbejdere, ledelse og eksterne partnere.

Lav ikke analysen alene – heller ikke, selvom der er begrænsede ressourcer. Få andres feedback på det scope, der er defineret, før der inviteres til workshop. Er det første gang man arbejder med risikostyring, kan det være en fordel at starte med et relativt smalt scope, således at man kan ar-bejde med et lille og veldefineret system, indtil man har nogle erfaringer.

2. Kortlæg jeres aktiver

Efter omfanget af analysen er blevet defineret, er næste trin at kortlægge og strukturere de akti-ver, der er omfattet af jeres scope. Aktiverne er i grove træk det, som skaber værdi i systemet, og som er vigtigt, for at systemet fungerer. Selve kortlægningen kan foregå på forskellige måder men vil som regel primært bestå i en form for brainstorming-workshop. Modulet trusselsmodellering [link] uddyber, hvordan sådan en workshop foregår. 

3. Afdæk sårbarheder og trusler

Efter man har fundet ud af, hvad der skaber værdi i systemet (aktiverne), ser man på, hvilke trusler og sårbarheder der truer aktiverne. Trusler kan afdækkes på mange måder – fra brainstorm til trusselskataloger. Som udgangspunkt er trusselskataloger et enkelt sted at starte, det kan dog være en udfordring at finde et egnet trusselskatalog, der passer med den kontekst, man arbejder i: Typisk vil truslerne enten være for generelle, for detaljerede eller ikke ramme scope på en til-fredsstillende måde.

Da der ikke findes én perfekt løsning til alle, der beskæftiger sig med at lave risikoanalyser, vil man ofte være nødsaget til at tilpasse trusselskataloget. 

Alternativt kan man lave en struktureret brainstorm-workshop. Ligesom ved kortlægningen af akti-ver, indeholder modulet Trusselsmodellering [link] et forslag til, hvordan sårbarheder og trusler kan afdækkes i forbindelse med en workshop.  

4. Prioriter risici

Den forudgående aktivitet munder ofte ud i en ret lang liste over mulige trusler, der skal håndte-res. Pga. begrænsede ressourcer og budget, er det næppe muligt at afhjælpe samtlige sårbarhe-der. Derfor må man ofte prioritere ved at fokusere på nogle få udvalgte trusler først.

Generelt er der to måder at prioritere trusler på: 1) prioritering baseret på en risikomatrix eller 2) prioritering baseret på pointgivning. I begge tilfælde skal vi vurdere risikoen for hver trussel, hvor man kigger på den skade, som et angreb på systemet kan forvolde (konsekvensen) kombineret med sandsynligheden for, at hændelsen rent faktisk sker (sandsynligheden).  

4.1 Prioritering baseret på risikomatrix

Når man prioriterer trusler ved hjælp af en risikomatrix, er det en struktureret og kvalitativ tilgang, og man sikrer derved, at man opnår mere objektive resultater. Det kan dog godt være en lidt tun-gere proces, som egner sig til organisationer med et højere modenhedsniveau.

Målet med denne metode er at prioritere truslerne ud fra eksplicitte risikofaktorer som sandsynlig-hed og konsekvens. På dette trin fastlægges truslernes vigtighed og relevans.

For at prioritere de kortlagte trusler gøres følgende:

1. Vurder sandsynligheden for hver trussel, dvs. hvor sandsynligt er det, at en hacker kan udnytte sårbarheden. I kan tænke over, hvor vanskeligt det er at udnytte den sårbarhed, der vil føre til truslen, og hvem som kunne have en interesse i at gøre det.
   Vurder sandsynligheden på en skala fra “Meget usandsynligt”, “Usandsynligt”, ”Sandsyn-ligt” til ”Meget sandsynligt”.
2. Vurder den potentielle konsekvens af hver trussel, dvs. hvad vil konsekvensen være for systemet eller forretningen, hvis sårbarheden blev udnyttet. Indenfor cybersikkerhed vur-derer man ofte konsekvens ud fra 3 parametre: Fortrolighed, Integritet og Tilgængelighed. Tænk over, hvad der kunne ske i værste – og i bedste – fald hvis det berørte aktiv ikke længere er tilgængeligt, hvis uautoriserede personer kunne læse eller ændre i aktivet. 
   Vurder konsekvensen på en skala fra “Meget lav”, ”Lav”, ”Høj” til ”Meget høj”. I kan også skrive et tal for f.eks. tab af omsætning ud for hvert skalatrin. Er man mere teknisk, kan man skrive et tal for forventet nedetid/genopbygningstid.
3. Baseret på sandsynlighed og konsekvens beregnes nu den overordnede risikoscore ved hjælp af nedenstående matrix. Hvis der allerede er indbygget modforanstaltninger i syste-met, som kan mindske den overordnede risiko, skal der tages højde for dette i matrixen.

Risikomatricen viser værdierne for forskellige kombinationer af konsekvens og sandsynlighed og hjælper os med at prioritere, hvilke trusler der skal håndteres først. Jo højere tallet er, jo hø-jere vurderes risikoen at være, og den bør derfor prioriteres først. Den overordnede risikoscore behøver ikke blive beregnet  så ”symmetrisk” som i eksemplet. En konsekvens der er vurderet som ”Meget høj”, og en sandsynlighed der er vurderet som ”Meget usandsynlig”, kan være alt-ødelæggende for en virksomhed, hvis truslen blev til virkelighed. Så vær opmærksom på eksi-stentielle trusler, og stol ikke blindt på tallene.

4.2 Prioritering baseret på pointgivning

Da en egentlig risikomatrice kan være ressourcekrævende at udarbejde, kan man grovsortere trus-lerne ved at give dem point. Det er en intuitiv tilgang til at prioritere trusler og egner sig generelt godt til organisationer med begrænset baggrundsviden om trusselsmodellering og risikostyring.

Målet er at prioritere trusler ud fra en holistisk, intuitiv vurdering af sandsynlighed og konsekvens. På dette trin fastlægges vigtigheden og relevansen af truslerne.

Bemærk at systemet måske allerede har en række indbyggede foranstaltninger, der kan være med til at mindske den overordnede risiko. Det skal der tages højde for i pointgivningen.

Inden pointgivningen får hver deltager i workshoppen tildelt et antal point. Antallet afhænger af det samlede antal trusler, der skal prioriteres. Pointgivningen kan både være hemmelig eller åben. Begge tilgange har deres fordele og ulemper.

Deltagerne kan ikke give den samme trussel point mere end én gang, og den overordnede risiko-score for en trussel er ganske enkelt summen af point, den har modtaget. 

5. Læg en plan for risikohåndtering

Når I har prioriteret risici, skal I derefter diskutere sikkerhedsforanstaltninger, og hvordan risici skal håndteres. Da man i princippet kan blive ved med at implementere afhjælpende foranstaltninger i det uendelige, er det vigtigt, at ledelsen giver et klart mål for, hvornår det er godt nok, og risikoen har et acceptabelt niveau. Når man skal iværksætte tiltag for at imødegå risici, findes der generelt fire strategier. For hver risiko vurderes det, hvilken strategi man vil følge og hvorfor. 

Som udgangspunkt er det en god strategi at ændre risikoen. Find ud af, hvilke sikkerhedsforan-staltninger I allerede gør brug af, og om I kan gøre brug af disse for at sænke risikoen til et niveau, I kan acceptere både i teamet og i organisationen. Generelt vil forebyggende foranstaltninger reducere sandsynligheden for en hændelse, mens opdagende foranstaltninger kan reducere kon-sekvensen. At undgå risiko er svært, da det jo ikke er en løsning ikke at foretage sig noget, men man kan vurdere, at risikoen ikke står mål med den potentielle gevinst. Risikodeling kan være en mulighed, særligt i forbindelse med hosting, hvor mange betaler en cloud-leverandør, mod at den-ne er ansvarlig for driften.

Da mange risici ikke fuldstændigt kan elimineres, ender man som regel med en form for risikoac-cept, når den potentielle gevinst overstiger risikoen med en vis margin.      

Husk også at indtænke eventuelle afledte risici (af afhjælpningen) i jeres risikoacceptkriterier.

Restrisiko er et teknisk begreb, som dækker over de risici, der er tilbage, når man har forsøgt at mindske eller imødegå andre risici. Det er lidt ligesom, hvis man skal krydse en befærdet vej. Man kigger både til højre og venstre, før man går over, og holder sine forældre i hånden. Selv med disse forholdsregler er der stadig en lille risiko for, at en bil kører forbi og rammer én. Det er det, man forstår ved restrisiko.

6. Implementer tiltag

Når de kritiske risici er identificeret, og passende risikoændringsstrategier for hver enkelt trussel er besluttet, er næste og sidste skridt at sikre, at de også bliver implementeret. Det kan gøres på forskellig vis, afhængigt af hvordan virksomheden normalt arbejder. Modulet Udviklingsprocessen adresserer, hvordan den agile proces kan håndteres, ligesom modulerne vedrørende byggesten til Cybersikkerhed tilbyder en proces til forankring af initiativer. Det er dog i alle tilfælde vigtigt, at hver risiko bliver tildelt en ansvarlig, således at der er nogen, der sikrer, at de nødvendige tiltag rent faktisk bliver implementeret.  

Refleksionsspørgsmål

• Hvor let er det for angribere at udføre et angreb, der truer informationssikkerheden i virksom-heden?
• Hvor sandsynlig er det, at jeres team og interne eksperter finder og afhjælper truslerne?
• Hvor følsomme er de systemer, der mest sandsynligt bliver ramt?
• Hvor værdifulde og følsomme er de data, der kan gå tabt?
• Hvor stort kunne jeres økonomiske tab eller tab af omdømme være, hvis I blev angrebet?

Udbytte

Udbyttet af en grundig risikoanalyse er, at I får afdækket, hvilke risici og kontroller I skal fokusere på på et givent tidspunkt. Med den viden kan I nemlig tage de bedste beslutninger og foretage de investeringer, der skal til, for at I kan beskytte jeres virksomhed.

Værktøjerne er derfor nyttige til understøttelse af bedre viden om, hvordan I styrker informations-sikkerheden, forhindrer datalæk og får allokeret passende ressourcer til jeres sikkerhedsindsats. Sidst men ikke mindst gør det jer i stand til at beskytte de følsomme data, I er blevet betroet, hvil-ket styrker kundetilliden.

Ekspertens råd

Risikoanalyse er ikke en engangsforestilling men en løbende proces. Jeres systemer ændres kon-stant, og det gør truslerne mod informationssikkerheden også. Ved løbende at gennemføre risiko-analyser kan ifølge med i, hvordan risiciene ændrer sig over tid og tilpasse jeres indsats efter det. Derfor bør I gennemføre en risikoanalyse med regelmæssige mellemrum (f.eks. årligt eller kvartals-vis), og når der sker større ændringer i organisationen (f.eks. omlægning af centrale forretnings-processer, opkøb, fusioner m.m.) eller i jeres (digitale) produkter (f.eks. ved indførelse af ny tekno-logi). 

Når I først har gennemført én risikoanalyse og er blevet fortrolige med processen, kan I udvide scopet og gennemføre analysen på andre produkter og services. 

Næste skridt

Processerne omkring identificering af både aktiver og sårbarheder og trusler er uddybet i modulet trusselsvurdering og trusselsmodellering, hvor nogle teknikker, der kan facilitere processen, er nærmere beskrevet.

Når man har identificeret og prioriteret risici, er det ligeledes vigtigt, at man sikrer, at de nødvendi-ge tiltag bliver implementeret. Modulet Udviklingsprocessen beskriver, hvordan den agile proces kan håndteres. Modulerne om bygge-sten til cybersikkerhed tilbyder en proces til forankring af initiativer gennem flere moduler. Start med Byggesten til cybersikkerhed.

Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0

CyPro