Försvar Offensivt Underrättelser

Riskekvationen - Intervaller och osäkerhet (del 2)

Wednesday, June 13, 2018

ÖvrigtRiskanalysÅsikt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Som uppföljning på ett tidigare inlägg om att multiplicera ordningstal kommer här en diskussion om en del av “lösningen”. I den här artikeln tänkte jag förklara tre saker som är relevanta i sammanhanget:

  1. Hur intervaller kan användas för uppskattning av risk.
  2. Hur intervaller uttrycker osäkerhet.
  3. Varför varje risk ska estimeras individuellt…

Del 1 - Sammanfattning

Det är dumt att multiplicera ordningstal (hög, medel, låg, aldrig, ibland, ofta). Och vi bör vidare sträva efter att inte heller placera dessa “risker” i en riskmatris, det finns många problem med matriser. Oavsett, riskmatriser eller ej, att multiplicera ordningstal är ett no-no.

Lösningen på 1 minut

För ett (eller flera) steg mot avsevärt mycket bättre riskuppskattningar i ditt arbete.

  1. Släng bort multiplikationen av ordningstal och gradering enligt en riskmatris.
  2. Ställ högre krav på vad som anses vara en “risk”. Få med så mycket som möjligt för att göra risken relevant och “trovärdig”. Tänk hur, med hjälp av, vad, varför, när osv.
  3. Använd intervaller (lägsta, högsta och mest trolig) för att uppskatta de negativa effekterna (e.g. kostnader, antal dödsfall, antal stämningar, antal ruttna äpplen)
  4. Acceptera att användning av intervaller kan öka gradvis, du behöver inte gå från noll till hundra omedelbart.
  5. Ordna uppskattningar i tabellform, rangordnat för effekt (i dubbel bemärkelse!)

En vanligt förekommande protest i det här sammanhanget är att det minsann saknas data och statistik som underlag för uppskattningen. Jag förstår protesten, men den är väldigt ytlig och ogenomtänkt. Samma argument gäller för när ordningstal används. Det är givetvis mycket enklare att säga “hög” istället för att tvingas specificera din gissning. Skillnaden är att du med intervaller tvingas visa din osäkerhet (okunskap, ignorans, arrogans) i uppskattningen.

Risker handlar om osäkerhet så låt den osäkerheten visa sig. Ge inte sken av att förstå risken om du inte gör det. Det är oärligt mot dig själv och verksamheten. När du börjat använda intervaller och känner dig bekväm i det kan du ta nästa steg, tillitsintervaller som jag har för avsikt att introducera i ett framtida inlägg.

Silverkulor och verkligheten

En förvarning om situationen runt risk som borde vara uppenbar. Riskhantering är svårt, det finns inga genvägar eller silverkulor. Det kräver ordentligt med tankeverksamhet och framförallt kunskap inom det område vilket riskerna existerar. Det fungerar inte att sätta ihop en grupp människor som aldrig jobbat med området och låta dessa estimera riskerna. Detta är en inte så subtil känga till den klassiska riskworkshoppen som du troligen deltagit i flera gånger. Det du oftast (men ändå rätt uselt) lyckas åstadkomma genom en sådan aktivitet är att “mäta” deltagarnas uppfattning om risk, inte risken i sig.

När du stöter på resultatet från en riskanalys, deltar i en eller på andra sätt kommer i kontakt med analys vill jag du ska inta en position av skepticism. Framförallt ska du vara skeptisk om det känns enkelt. Ordningstal, matriser, färger, glada gubbar, fika och god ventilation. Om du får en känsla av att det här… det här känns lite fel. Lita på den känslan. Efterfråga underlagen till bedömningarna.

Riskuppskattning är ganska enkelt i teorin, men i praktiken avsevärt mycket svårare än vad teorin gör gällande. Nog förvarning…

Intervaller för att beskriva uppskattningar och osäkerhet

Det finns få saker i världen som är absoluta och bortom tvivel, så varför skulle vi mäta risk i absoluta termer eller utan tvivel? Arbetet med risk handlar i grund och botten om att hantera och leva med osäkerheter. Vi kan föreställa oss många olika typer av oönskade händelser. Vår osäkerhet (läs: okunskap, ignorans, arrogans) för dessa händelser påverkar vår uppskattning om händelsernas sannolikheter och konsekvenser. Notera att vår osäkerhet inte påverkar den faktiska sannolikheten eller konsekvensen, endast vår uppskattning av den.

Desto mer kunskap och förståelse vi har för händelserna, desto bättre underlag för att estimera och vidare hantera de oönskade händelserna. Hantering i det här betyder i all enkelhet att reducera effekterna, eller sannolikheten att händelserna inträffar eller kanske att vi rent av accepterar resultatet av att den oönskade händelsen inträffar, när den väl inträffar.

Individuellt bedömda, hanterade tillsammans

De flesta risker som du kommer att försöka estimera är i någon mån unika, och kräver såldes också unika estimat. Om du mot förmodan har möjlighet att göra bedömningar på samma risker om och om igen, då kanske det kan finnas utrymme för att använda färdiga kategorier av estimat med redan färdiga intervaller.

Men, det är sällan att så är fallet. Risker med ett system skiljer sig från ett annat, även om bägge avser en risk inom “intrång i systemet”. Du bör alltså sträva efter att precisera beskrivningarna av riskerna du ska uppskatta och göra uppskattningar för varje risk.

Kategorisering av risker kommer i ett senare skede där du kanske väljer att gruppera risker utifrån de uppskattade effekterna. Det kommer sannolikt finnas tröskelvärden avseende exempelvis kostnader som affärsverksamheten är villiga att acceptera utan åtgärd.

Exempel 1 - Inbrott i fastighet

Vi börjar med att göra vissa antaganden om effekterna av händelsen. Bestämmer sig tjuvar för att göra inbrott i din fastighet kommer de troligen inte använda nycklar. De borrar ett lås, bryter upp ett fönster eller altandörr. Detta kommer förenas med vissa kostnader. Ett nytt lås, ett nytt fönster, en ny altandörr. Låt säga att bytet av lås i dörren är den lägsta kostnaden av dessa och landar på runt 3,000 kr.

Antag att för uppskattning av den undre gränsen att tjuvarna letar efter specifika saker. Du blir inte av med någonting, för det som tjuvarna letade efter fanns inte i ditt hem. Så vi uppskattar att den undre gränsen landar på 3,000 kr.

Låt oss nu uppskatta den övre gränsen. I det här fallet tar tjuvarna all din elektronik, smycken, pass, andra värdefulla föremål osv. Inga möbler, men de kanske river sönder någon byrå eller så. Antag att din elektronik kostar ungefär 70,000 kr, passen för familjen kostar 1,500 kr att ersätta, smycken och ringar för 15,000 kr och andra värdefulla föremål uppskattar ni till ungefär 30,000 kr. Totalt för kalaset alltså 116,500 kr som övre gräns.

Ditt uppskattade intervall blir alltså 3,000 - 116,500. Sedan kan vi också göra en uppskattning om vad som verkar mest troligt. Att tjuvarna inte tar någonting när de bemödat sig ett inbrott känns inte särskilt troligt, de kommer antagligen roffa åt sig någon dator eller två, kanske telefon. Låt säga att den mer troliga kostnaden landar på 30,000 kr.

Observera att det finns värden bortom den övre gränsen också. Tjuvarna kanske exempelvis bestämmer sig för att bränna ner huset. Intervallet beskriver med andra ord inte alla tänkbara utfall av den oönskade händelsen. Däremot ska intervallet beskriva de mest troliga utfallen. Detta kan vi hantera med hjälp av tillitsintervall och tillitsnivåer, mer om det i ett framtida inlägg.

Exempel 2 - Utpressningstrojan

Samma sak som för exempel 1, vissa antaganden. I detta scenario begränsar vi effekterna till en återställning av datorn till ett tidigare betrott tillstånd. Låt säga att vi kanske behöver göra följande åtgärder:

  1. Återställa dator och operativsystem, 1 till 4 timmar.
  2. Återställa data från backup, 2 till 8 timmar.
  3. Återskapa förlorat arbete, 4 till 6 timmar.
  4. Utreda hur trojanen kom in, 2 till 8 timmar.
  5. Följa upp om fler datorer är påverkade, 1 till 4 timmar.

Vi räknar med att 1-3 översätts till förlorad arbetstid och 4-5 innebär extraarbete för säkerhetsgruppen. Antag ett schablonvärde per anställd med cirka 800 kr/h. Den nedre gränsen för utpressningstrojanen landar således på 800 * 10h, alltså ungefär 8,000 kr. Den övre gränsen landar på cirka 800 * 30 eller ungefär 24,000 kr.

Så för utpressningstrojanen får vi ett kostnadsintervall på cirka 8,000 till 24,000 kr. Där vi vidare antar att den genomsnittliga kostnaden kan passa en normalfördelning och såldes i mitten på intervallet: 16,000 kr.

Avslutande ord

Förhoppningsvis har de här två exemplen varit någorlunda illustrativa. Om du är nyfiken på ett annat exempel hojta till. Vi skulle kunna utöka vilka egenskaper scenariot omfattar och bli än mer specifika i uppskattningarna. Vi kan också gräva fram avsevärt mycket mer precisa kostnadsunderlag, särskilja risken beroende på vilken anställd som påverkas, vilka servrar etc. Allt handlar om nivån av detaljer som känns rimlig och lämplig. Det är en bedömningsfråga utan enkla svar och uppenbara svar.

Vanligtvis finns det faktiskt mycket mer data att tillgå än man först tänker. Bara för att det specifika scenariot aldrig inträffat innebär det inte att data saknas. Det består sannolikt av händelser som kan uppskattas vilka vi sedan kan sammanställa till en helhet för att få till en uppskattning.

Väl mött!

ÖvrigtRiskanalysÅsikt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Har du läst dom här?

Säkerhetsåtgärder enligt ny lag (från NIS-direktivet)

Riskekvationen - Om att multiplicera ordningstal