Försvar Offensivt Underrättelser

Säkerhetsskydd: Konsekvensanalys

Wednesday, December 19, 2018

FörsvarVägledningSäkerhetsskydd

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Ett viktigt moment i säkerhetsskyddsarbetet är att identifiera och bedöma konsekvenserna av att en verksamhet, eller del av, tappas eller kraftigt begränsas under en tid. Och om detta bortfall leder till skada för Sveriges säkerhet.

I denna artikel utforskar vi hur vi kan identifiera konsekvenser och bedöma dessa och avgöra om konsekvenserna är så pass allvarliga att det även skadar Sveriges säkerhet. Tillsammans med verksamhetsbeskrivningen ger konsekvensanalysen ett svar på huruvida ni bedriver säkerhetskänslig verksamhet och således kommer att omfattas av lagstiftningen.

Nyckelinsikter

  • Förvänta dig inga konkreta beskrivningar eller siffror på när en konsekvens innebär fara för Sveriges säkerhet; det ligger lite i sakens natur att sådana inte kan (ska!) finnas.
  • Utgå ifrån verksamhetsbeskrivningarna, arbeta tillsammans med representanter från verksamheten och utmana med provocerande påståenden som t.ex. att verksamheten upphör, permanent. Arbeta er sedan “nedåt” i.e. verksamheten halveras eller hindras från att fungera i tre dagar osv.
  • Identifiera smärtgränserna. När blir effekterna av en händelse jobbiga på riktigt? Spelar det någon roll om smärtgränsen nås omedelbart, eller över tid?
  • Tillsammans med verksamhetsbeskrivning ger analysen svaret på om huruvida ni bedriver säkerhetskänslig verksamhet och således om ni kommer att omfattas av lagstiftningen.

Om vägledningen

Detta är min vägledning om säkerhetsskydd och så som säkerhetsskydd förhåller sig till cyberdomänen. Vägledningen kan bara bli bättre, särskilt om jag får din hjälp. Har du några som helst synpunkter på innehållet vill jag att du kontaktar mig . Saknar du en förklaring, en annan struktur, ett ord eller mening så vill jag höra om det.

Innehåll

  1. Inledning
    • Syfte och mål
    • Konsekvenser och Sveriges säkerhet
  2. Genomfora en konsekvensanalys
    • Steg 1 - Välja verksamhet
    • Steg 2 - Identifiera konsekvenser
    • Steg 3 - Bedöma konsekvenser
    • Steg 4 - Sammanställa
  3. Sammanfattning]

Inledning

Genom konsekvensanalysen och verksamhetsbeskrivningen får vi svaret på om vi, sannolikt, bedriver säkerhetskänslig verksamhet. Bedriver vi sådan verksamhet är också lagen tillämplig vilket innebär att nästa steg är att upprätta en säkerhetsskyddsanalys. För vissa är det uppenbart och snabbt avgjort om lagstiftningen är tillämplig, för andra mindre så.

I detta inledande avsnitt vill jag förklara varför vi gör en konsekvensanalys och hur en sådan förhåller sig till andra beskrivningar och analyser vi gör. Det är även väsentligt att vi, som vanligt, diskuterar lite terminologi, definitioner och även i viss utsträckning ontologi.null

Syfte och mål

Syftet med konsekvensanalysen är att dokumentera icke-önskvärda resultat av att antagonistiska hot realiseras. Istället för att börja med alla hot som skulle kunna riktas mot vår verksamhet börjar vi med att identifiera sådana effekter, eller konsekvenser, den aktuella verksamheten inte vill erfara. 

Målsättningen med konsekvensanalysen, så som den förhåller sig till lagstiftningen är att besvara frågan om vi bedriver helt, delvis, eller inte alls någon säkerhetskänslig verksamhet. Bedriver vi ingen säkerhetskänslig verksamhet omfattas vi inte heller av lagstiftningen.

Och det här med säkerhetskänslig verksamhet är onekligen elefanten i rummet. Någonstans övergår konsekvenserna från att inte vara tillräckligt omfattande för att påverka Sveriges säkerhet… till att vara det. Dessvärre finns det ingen enskild konsekvens, eller definition, som kan ge svaret. Det är en bedömningsfråga som måste sättas i sammanhang av den verksamhet som påverkas och en rad andra faktorer.

Konsekvenser och Sveriges säkerhet

En konsekvens är följden av en viss handling. Det är effekter som uppstår av att något har hänt. Effekterna kan vara direkta, eller indirekta. De kan vara omedelbara eller uppstå över tid. De kan vara mer eller mindre omfattande.

Effekter är kostnaderna som uppstår i samband med en incidentutredning av ett dataintrång. Det är fiendens kunskap om och förmåga att kringgå eller oskadliggöra våra skyddsåtgärder. Det är medborgarnas förlorade förtroende för att Sverige klarar av att upprätthålla en demokrati.

För att en konsekvens, eller en effekt, ska vara relevant i sammanhang av lagstiftningen måste effekterna vara av nationell karaktär, de måste innebära skada på Sveriges säkerhet. Det innebär alltså att en händelse som inträffar hos er måste även få konsekvenser för Sveriges förmåga att upprätthålla sin säkerhet.

Händelser som påverkar Sveriges säkerhet

Det väsentliga i konsekvensanalysen är att avgöra om negativa händelser i er verksamhet kan innebära konsekvenser för Sveriges säkerhet. Och nej, det finns inga exakta ord, beskrivningar eller siffror som förklarar när konsekvenser når denna nivå. Det ligger lite i sakens natur att vi inte kan peka ut specifikt vad som påverkar Sveriges säkerhet. Det finns några frågeställningar[note]Säkerhetsskydd - En vägledning, Säkerhetspolisen, (Online: http://www.sakerhetspolisen.se/download/18.635d23c2141933256ea2808/1381154798950/Sakerhetsskydd-en-vagledning.pdf , Hämtad: 2018-12-17)[/note] som kan användas för att utvärdera identifierade konsekvenser:

  1. Påverkas ett större antal människors liv och hälsa?
  2. Påverkas ett större geografiskt område? Är denna påverkan långvarig och/eller inträffar den vid en olämplig tidpunkt?
  3. Får händelsen allvarliga sociala, ekonomiska och/eller politiska konsekvenser för samhället?
  4. Påverkas andra samhällsviktiga verksamheter allvarligt?
  5. Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden?

Dessa frågeställningar är hämtade från Säkerhetspolisens vägledning i säkerhetsskydd. Ja, dom är övergripande och nej, de ger inte alldeles för mycket vägledning i konsekvensbedömningarna. Men vad dom däremot ger är en känsla för den förväntade omfattningen på en händelse och dess konsekvenser.

Genomföra en konsekvensanalys

På ett övergripande plan innebär konsekvensanalysen att vi ska ta oss igenom följande steg:

  1. Utifrån verksamhetsbeskrivningen välja en avgränsad och någorlunda väl definierad verksamhet.
  2. Identifiera konsekvenser som potentiellt kan ha bäring på Sveriges säkerhet.
  3. Analysera identifierade konsekvenser; förstå smärtgränserna.
  4. Sammanställa och besvara frågan om ni helt, eller delvis, bedriver någon verksamhet som kan komma att betraktas som säkerhetskänslig.

Som allting annat ni gör inom ramen för säkerhetsskydd, ska även den här aktiviteten dokumenteras.

Steg 1 - Välja verksamhet

I den föregående artikeln avhandlade vi verksamhetsbeskrivningen som syftar till att beskriva företagets eller organisationens syfte och mål, dess verksamhet. Verksamhetsbeskrivningen, bör ge en idé om vilken verksamhet ni bör inrikta er på först. 

Det är nu dags att välja och inrikta er på en specifik verksamhet. Detta bör ni gör tillsammans med verksamhetsrepresentanter. Det är viktigt att ni tillsammans med aktuell verksamhet diskuterar potentiella effekter.

Det finns väl egentligen inte särskilt mycket att säga om det här. Allting som hjälper er att förstå aktuell verksamhet är bra. Processer, information, arbetsbeskrivningar, tjänster, produkter, interna och externa partners, allt som hjälper till att måla upp en bild av hur verksamheten fungerar. Det är genom dessa beskrivningar vi kan “se” olika typer av effekter.

Steg 2 - Identifiera konsekvenser

Okej, så vi har en bra (förhoppningsvis) verksamhetsbeskrivning. Ni förstår vad det är ni analyserar och gör detta tillsammans med representanter från verksamheten. Det är nu dags att identifiera konsekvenser som vi ska gå vidare med och analysera.

Det är vanligt att frågor uppstår som rör digniteten på konsekvenserna. Ska vi utgå ifrån värsta tänkbara konsekvens? Eller vad som känns rimligt? Hur ska vi resonera när det gäller vilka konsekvenser som ska beaktas? Hur väljer vi och avgör detta? 

Verktyg för analys

För att identifiera konsekvenser är det som alltid nödvändigt med verktyg som hjälper oss att identifiera potentiella konsekvenser vi kanske kommer att behöva adressera. Nedan är några förslag på verktyg ni troligtvis redan känner till och kan använda er utav i arbetet med att identifiera konsekvenser.

Tillgänglighet, riktighet och hemlighet (konfidentialitet)

I samband med att vi försöker identifiera konsekvenser för verksamheter kan vi ta hjälp av den klassiska informationssäkerhets-triaden. Så använd dessa när ni ställer er själva frågor om konsekvenser för verksamheten.

  • Vad innebär det att verksamheten är borta under en timme, dag, vecka eller permanent?
  • Vad innebär det att viss vital information kommer en antagonist tillhanda? Uppstår skadan omedelbart eller över tid?
  • Vad innebär det om vissa styrparametrar ändras och visar en verklighet som inte stämmer? Trycket i en gasledning? Antalet revolutioner per minut i en centrifug?

Dessa frågor kombinerar ni sedan med de frågeställningar som Säkerhetspolisen beskriver i sin vägledning.

Ett spektra av effekter - Hitta smärtgränserna

Något som jag tycker hjälper är att betrakta eventuella konsekvenser som del av ett spektra. Den absolut värsta tänkbara effekten för ett företag är onekligen resultatet av en händelse som innebär att företagets hela verksamhet upphör, permanent. Ett bra exempel på händelser med den här typen av effekt är DigiNotar  där bolaget efter ett intrång upphörde, permanent.

På ett spektra av effekter finns det ett intervall där vi når någon slags smärtgräns, där det faktiskt blir jobbigt på riktigt. Ett exempel från vardagen. Att åka pendeltåg kan vara smärtsamt. Ständiga förseningar som beror på elfel, idioter på spåren osv. I begränsad omfattning, några timmar, påverkas ett stort antal människor, men det har ännu inte blivit kaos. Några fickor med knutna nävar.

Ökar vi däremot längden på omfattningen, säg någon dag eller kanske två, börjar det bli jobbigt på riktigt. Nu handlar det om att tiotusentals människor inte längre kan ta sig till sina arbetsplatser och hindras från att kanske utföra vitala aktiviteter. Någonstans här hittar vi en smärtgräns, något vi måste planera för och hantera.

En konsekvens vi således behöver analysera är att verksamheten för pendeltågstrafiken upphör på samtliga, eller delar av vissa, sträckor under minst två dagar.

Att identifiera en smärtgräns och detaljerna runt denna är en indikation på att denna verksamhet kanske är att betrakta som säkerhetskänslig verksamhet. För att kunna avgöra det behöver vi analysera konsekvensen i något mer detalj. Observera att vi inte ännu behöver förklara HUR denna effekt kan komma att realiseras.

Identifierade konsekvenser

Det finns egentligen inga rätt eller fel i hur ni väljer att identifiera konsekvenser. Jag skulle dock vilja rekommendera ett uppifrån-och-ned-perspektiv. Det kan vara lockande att börja fokusera på enskilda IT-system, för att det kanske uppfattas som relativt enkelt. Men, nej. Börja istället, precis som i verksamhetsanalysen, längst upp på toppen.

Vad skulle det innebära om hela verksamheten upphörde? En händelse är så pass förlamande att hela organisationen stannar upp och väsentligen slutar att fungera. Vilka effekter får detta på omgivningen? Vilka företag, organisationer eller individer kommer att påverkas? På vilket sätt kommer de att påverkas?

Steg 3 - Bedöma konsekvenser

Efter att ni har identifierat konsekvenser och fått fram en bruttolista är det dags att ta steget mot att bedöma och analysera dessa konsekvenser i mer detalj. Efter konsekvensanalysen kommer ni att ha identifierat det verkligt skyddsvärda, sådant som har bäring på Sveriges säkerhet.

Att analysera olika konsekvenser innebär att vi ställer mer riktade frågor kring effekterna. Målsättningen är att vaska fram information om effekterna som gör att vi är trygga med en bedömning om huruvida de påverkar Sveriges säkerhet.

  • Vem/vilka påverkas av effekterna? Företag, organisationer, myndigheter eller individer?
  • Kommer människors liv och hälsa påverkas allvarligt? Kan människor dö?
  • Är effekterna omedelbara eller uppdagas de över tid?
  • Skulle dessa effekter i kombination med andra negativa händelser resultera i en mer allvarlig situation?
  • Har liknande händelser skett med de effekter ni identifierat? Det sägs att historien upprepar sig… 

Genom att systematiskt analysera varje identifierad effekt kommer ni förhoppningsvis få förståelse och kunskap om hur denna påverkar er, samhället och Sverige som nation. Det sistnämnda kan givetvis vara svårt att avgöra. Men när ni kommit så här långt och är osäkra, då vänder ni er till Säkerhetspolisen och ber om hjälp.

Steg 4 - Sammanställa

Och så slutligen, det sista steget i konsekvensanalysen. Efter ett gediget arbete med att identifiera och analysera konsekvenser är det dags att sammanställa resultatet. Ni har nu ett underlag som ligger till grund för att avgöra om ni överhuvudtaget kommer att omfattas av lagstiftningen.

Om konsekvenserna är indikativa på att negativa händelser i er verksamhet kan få effekter på Sveriges säkerhet omfattas ni troligtvis av lagstiftningen. Skulle ni göra bedömningen att effekterna inte påverkar Sveriges säkerhet har ni nu ett underlag som tydligt visar att ni gjort en bedömning, hur ni resonerat och vad som låg till grund för denna.

Hur ni väljer att sammanställa och organisera dessa konsekvenser spelar mindre roll. Ett text-dokument med en sammanfattning och slutsats avseende analysen samt en rubrik per verksamhet med underordnade avsnitt för identifierade och analyserade konsekvenser bör vara tillräckligt.

Observera att allt detta kan förändras. Utökad verksamhet, nya kunder, ny omvärldsutveckling osv. Ni bör därför rimligen återbesöka verksamhetsbeskrivningen och konsekvensanalysen för att undersöka om något förändras till den grad att bedömningen inte längre gäller. Det finns ingen reglering i hur ofta detta ska göras, utan ni får helt enkelt göra det i takt med att ni utvecklas och förändras.

Sammanfattning

I den här delen av vägledningen för Säkerhetsskydd har jag beskrivit konsekvensanalysen genom vilken vi identifierar och bedömer tänkbara effekter som kan uppstå genom negativa händelser i en verksamhet. Målsättningen är att identifiera sådana effekter som kan påverka Sveriges säkerhet. Tillsammans med verksamhetsbeskrivningen ger konsekvensanalysen svar på om ni bedriver säkerhetskänslig verksamhet och således omfattas av lagstiftningen.

FörsvarVägledningSäkerhetsskydd

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Har du läst dom här?

CIS Controls version 7 - Åtgärd 7 - Skydd av e-post och webbläsare - (7/20)

Bok: Offensive Countermeasures