Analyse af aktiver
2024
Konsekvensanalyse af aktiver er et vigtigt led i risikostyringen og har til formål at minimerekonsekvenserne ved et cyberangreb rettet mod virksomheden.
28. marts 2025
Dette læringsmodul er en del af byggeblokken:
Efter Kontekstetablering er næste skridt i risikostyringen at modellere det system, der vurderes. Resultatet af denne proces er, at I får et overblik over systemarkitekturen og/eller dataflowdiagrammet.
Det andet trin i risikovurderingen er systemmodellering, som går ud på at udarbejde en model af det system (eller produkt), der vurderes.
Formålet med systemmodellering er at identificere de komponenter, som systemet består af, og hvordan de interagerer med hinanden. Denne proces er udgangspunktet for at få en fælles forståelse af systemet og datastrømmene mellem komponenterne. Arkitekturen kan beskrives med større eller mindre detaljeringsgrad alt efter opgaven.
Før I begynder at kortlægge truslerne, skal der udarbejdes en model over det system, der vurderes – herunder tilhørende komponenter og deres indbyrdes afhængigheder.
Systemmodellering gennemføres typisk på en workshop ved brug af værktøjer, der er lavet specielt til formålet. Hvis I ikke ønsker at bruge et specifikt værktøj, skal I bruge et whiteboard/flipboard og nogle tusser, klistermærker, kuglepenne samt udskrifter af arbejdsarkene. Det anbefales at bruge papir/whiteboard fremfor en computer, så alle deltagere har mulighed for at bidrage.
Når I vurderer et eksisterende system/produkt, kan det også være en god idé at gennemgå eksisterende udviklingsdokumenter og henvise til dem gennem hele vurderingen.
Afsæt mindst en time til systemmodellering. Sørg for, at både personer med forretningsforståelse og teknisk indsigt deltager i processen.
En vigtig del af risikostyringen er at have et klart billede af, hvad I ønsker at analysere, dvs. det fulde overblik over systemarkitekturen. En sådan oversigt gør det lettere at diskutere aktiver og trusler.
For at sikre, at alle deltagere i workshoppen er enige om, hvad der analyseres, anbefales det at blive enige om nogle fælles definitioner. Kontekstetableringen giver allerede en overordnet afgrænsning/definition af systemet, men det kan være en god idé at genbesøge og tilrette beskrivelsen, hvis det er nødvendigt. Hvis der findes arkitekturdiagrammer eller andre tekniske beskrivelser, kan de også være et godt udgangspunkt. Vær dog opmærksom på, at arkitekturdiagrammer typisk indeholder en masse information, som det kan være udfordrende for ikke-teknikere at forstå.
For at sikre, at alle deltagere har en forståelse af systemet, anbefales det derfor at udarbejde en overordnet skitse til at starte med, hvor der kun fokuseres på hovedkomponenterne. Det er fx meget almindeligt, at en klient og en server kommunikerer med hinanden på forskellige måder (REST, WebSocket osv.), ligesom serveren internt kan bestå af forskellige mikrotjenester. At indtegne alle disse detaljer i diagrammet kan hurtigt blive ret overvældende, og oplysningerne skal først bruges senere i forbindelse med Analyse af aktiver og Kortlægning af trusler. I stedet skal fokus være på hovedkomponenterne, mens kommunikationen mellem A og B bare kan markeres på diagrammet.
Systemmodellering består af følgende trin:
Find yderligere inspiration i eksemplet med IoT-dørlåsen nedenfor.
Gennem hele risikostyringsprocessen bruges en IoT-dørlås som gennemgående eksempel.
Eksemplet viser et netværk bestående af hardware-, software- og kommunikationssystemer, herunder IoT-dørlåshardwaren med et kommunikationsmodul, en hub, en mobilapplikation til fjernadgang og en cloud-infrastruktur til datalagring og -behandling.
Resultatet af processen er et diagram over systemet og dets dataflow. Diagrammet giver et et overblik over systemet, og hvordan det interagerer med eksterne enheder. De trust boundaries, I har noteret, viser, hvor meget kontrol I har (eller ikke har) over disse komponenter og giver dermed en indikation af potentielle angrebsflader.
I kan med fordel inddrage personer med både forretningsforståelse og teknisk indsigt i systemmodelleringsarbejdet, da det hjælper med at opbygge en fælles forståelse af systemet.
Når systemdiagrammet er færdigt, er næste skridt at få identificeret de aktiver, der er vigtige for organisationen. Det er beskrevet mere udførligt i Kortlægning af aktiver.
Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0
Få dit certifikat for denne færdige byggeblok. Anmod blot om certifikatet via certifikatknappen, og vi sender dig det personlige certifikat.