Risikovurdering for folk og ledereNormkonferansen 2018

Åsmund Ahlmann NyreInformasjonssikkerhetsrådgiver

Helse Midt-Norge IT

• «Effekten av usikkerhet knyttet til mål» (ISO 27001)

• «Antatt sannsynlighet for og antatte konsekvenser av uønskede hendelser» (Gammelt jungelord)

Risiko

Konsekvens

Sannsynlighet

Risiko

Riskovurdering og risikostyring

• Etablere (kontekst)

• Identifisere

• Analysere

• Evaluere

• Håndtere

• Monitorere

• Kommunisere

Risikovurdering

Risikohåndtering

Risikoidentifikasjon

Risikoanalyse

Risikoevaluering

Etablere kontekst

Ove

rvåk

ing

og

gjen

no

mga

ng

Kom

mu

nik

asjo

n

Trenger vi en metode for risikoidentifikasjon?

• Flere må kunne delta i og forstå risikovurderinger

• Risikovurderinger må være forutsigbare

• Vi må ta hensyn til ulik risikoopplevelse

Opplevelse av risiko og nytte

Risiko Nytte

Slik vi tror det er

Slik vi opplever det

Risiko

Nytte Risiko

Nytte

Følelser påvirker

Risiko

Nytte

Følelser påvirker

Risiko

Nytte

Vi trenger noe som gjør det…

• Enkelt

• Forståelig

• Logisk

• Korrekt

… vi må tenkte saaakte!

Risikoidentifikasjon

• Identifisere verdier• Informasjon og forretningsprosesser• (IT-systemer, nettverk, personell, etc.)

• Identifisere trusselaktører

• Identifisere hendelser

• Identifisere trusler/angrep

• Identifisere sårbarheter/svakheter

• Identifisere eksisterende sikkerhetstiltak

• Identifisere konsekvenser

Risikovurdering

Risikohåndtering

Risikoidentifikasjon

Risikoanalyse

Risikoevaluering

Etablere kontekst

Noen sammenhenger*

Trusselaktør

Sårbarhet Trussel

Sikkerhetstiltak

Hendelse Konsekvenser

motvirkerutnytter

utfører skaper medfører

Verdi

angår

En hendelse innebærer et brudd på konfidensialitet, integritet eller tilgjengelighet for en eller flere verdier

Strukturert risikoidentifikasjon

Verdier

• Systemer• Infrastruktur• Tjenester• Applikasjoner• MTU

• Informasjon• Helseopplysninger• Dokumentasjon• Fortrolig bedriftsinformasjon• Autentiseringsinformasjon

• Prosesser

Trusselaktører

• Interne eller eksterne

• Menneskelig eller ikke-menneskelig

• Tilsiktet eller utilsiktet

Trusselhandling

Handling Beskrivelse Sikkerhetsbrudd

Gjør tilgjengelig Trusselaktøren gjør verdien tilgengelig for uvedkommende

Konfidensialitet

Endring Trusselaktøren gjør endringer med/i verdien

Integritet

Hindrer tilgang Trusselaktøren forstyrrer (tilgang til) verdien

Tilgjengelighet

Sletter/fjerner Trusselaktøren sletter/fjerner verdien Integritet/ Tilgjengelighet

Misbruker Trusselaktøren misbruker verdien (f.eks for et annet formål)

Konfidensialitet

Oppnår tilgang Trusselaktøren får tilgang til verdien Konfidensialitet/ Integritet

Hva gjør trusselaktøren med verdien?

Hendelseskonstruksjon

Aktør Intensjon Verdi Hendelse

Ansatt Utilsiktet Endrer logg Ansatt endrer logg utilsiktet

Utenlandsk etterretning

Tilsiktet Oppnår tilgang beredskapsplaner Utenlandsk etterretning får tilgang til beredskapsplaner

Naturkatastrofe(flom/skred/etc)

- Hindrer tilgang IT-system Flom gjør IT-System utilgjengelig

Haktivister Tilsiktet Gjør tilgjengelig Personopplysninger Haktivister gjør personopplysningertilgjengelige på internett

Handling

Hva med resten?

• Trusler

• Sårbarheter

• Sikkerhetstiltak

• konsekvenser

Hendelse:«økonomisk kriminelle hindrer tilgang til IT-system».

Trussel:«Aktøren bruker e-post for å lure ansatte til å installere skadevare (krypteringsvirus) på sin egen maskin»

Sårbarhet:«Ansatte har i stor grad rettigheter til å kjøre filer på egen maskin.»

Sikkerhetstiltak:«Det er omfattende spam-filtre på plass og alle vedlegg som er kjørbare filer blir blokkert/filtrert.»

Konsekvenser:«Ansatte får ikke gjort jobben sin og ressurser må brukes på å gjenopprette».

Oppsummering

• Alle skal med!• Enkelt

• Forståelig

• Tenk sakte!• Logisk

• Strukturert tilnærming kan være en hjelp!

Takk for meg!

Asmund.Ahlmann.Nyre@hemit.no