Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Risikovurdering og prioritering av tiltak

Risikovurdering er kjernen i informasjonssikkerhetsarbeidet. Dette kapitlet viser hvordan virksomheten identifiserer hva som kan gå galt, hvordan vurdere alvorlighetsgrad og hvordan man prioriterer tiltak.

Nivå 1 - Kom i gang

Risikovurderingen tar utgangspunkt i kartleggingen av kritiske funksjoner og systemer. Start med funksjonene som har høyest kritikalitet.

Fremgangsmåte

Risikovurderingen kan gjennomføres som tre arbeidsmøter.

Forberedelse

  • Hent frem kartleggingen av kritiske funksjoner
  • Sett deg inn i selskapets sikkerhetsmål
  • Sett deg inn i trusselbildet – hvem kan ha interesse for å skade virksomheten?
  • Forbered tabell for dokumentasjon (se under). Tabellen kan lastes ned ved å klikke her.

 

Møte 1: Identifisere uønskede hendelser og sårbarheter

For hvert kritisk system/delsystem:

  • Hva kan gå galt?
  • Hva er sårbarhetene1?
  • Hvilke tiltak har vi allerede?

Kolonnen under viser hva som skal fylles ut. Etter gjennomgangen av de tre møtene finnes et eksempel på en utfylt tabell.

Kolonne Beskrivelse
ID Løpenummer for hendelsen
Funksjon Hvilken kritisk funksjon gjelder dette
System/delsystem Hvilket system eller delsystem
Uønskede hendelser Hva kan gå galt
Sårbarheter Kjente svakheter
Eksisterende barrierer/tiltak Hva er allerede på plass

 

Møte 2: Vurdere risiko og foreslå tiltak

For hver uønsket hendelse:

  • Hvor alvorlig er det?
  • Hvor sannsynlig?
  • Hva bør vi gjøre?

Hva som skal fylles ut:

Kolonne Beskrivelse
Konsekvens Hva blir følgene hvis hendelsen inntreffer (ubetydelig, lav, moderat, alvorlig, svært alvorlig)
Sannsynlighet Hvor trolig er det at hendelsen inntreffer (svært lav, lav, middels, høy, svært høy) 
Kunnskapsstyrke Hvor sikre er vi på vurderingen (sterk/svak)
Risiko Samlet risikovurdering basert på konsekvens og sannsynlighet
Nye tiltak Forslag til tiltak som reduserer risikoen

 

Møte 3: Prioritere tiltak

For hvert foreslått tiltak:

  • Hva er viktigst?
  • Hvem har ansvar?
  • Når skal det være ferdig?

Hva som skal fylles ut:

Kolonne Beskrivelse
Prioritering Høy/middels/lav prioritet
Ansvarlig Hvem har ansvar for å gjennomføre tiltaket
Frist Når skal tiltaket være gjennomført 

 

Tabellen under viser et eksempel på risikovurdering for et lite nettselskap. Fargene indikerer risikonivå. Tabellen kan settes opp i et regneark.

{ "value": { "focalPoint": { "left": 0.5, "top": 0.5 }, "id": 8516, "udi": "umb://media/74f280f96f22404989268f7f44400178", "image": "/media/54ape3bc/ik-is-rv.png" }, "editor": { "name": "Image", "alias": "media", "view": "media", "render": null, "icon": "icon-picture", "config": {} }, "styles": null, "config": null }

Merknader:

Svak kunnskapsstyrke betyr at vurderingen bør følges opp.

Dokumentasjon

Risikovurderingen skal dokumenteres slik at:

  • Det er tydelig hvilke vurderinger som er gjort og av hvem
  • Beslutninger om tiltak kan spores
  • Vurderingen kan legges frem ved tilsyn

Sjekkliste

☐ Kritiske funksjoner/systemer er identifisert som utgangspunkt

☐ Uønskede hendelser og sårbarheter er kartlagt

☐ Konsekvens og sannsynlighet er vurdert

☐ Tiltak er foreslått og prioritert

☐ Ansvarlig og frist er satt for hvert tiltak

☐ Risikovurderingen er dokumentert

 

Nivå 2 – Utdypning

Hvorfor risikovurdere?

Hensikten med risikovurderingen er å komme frem til virkningsfulle sikkerhetstiltak slik at sikkerhetsmålene oppnås. Før oppstart er det viktig å tenke gjennom hvilke beslutninger risikovurderingen skal hjelpe virksomheten å ta.

  • Er det for å planlegge gjennomføring av endringer?
  • Eller fordi trusselbildet er endret og det er viktigere enn før å avdekke sårbarheter?

Hvis ikke kan risikovurderingen bli en skrivebordsøvelse uten reell nytteverdi.

Risikovurderingen bør inkludere både tilsiktede handlinger (fra trusselaktører) og utilsiktede hendelser (ulykkeshendelser som ikke skjer med vilje).

Når skal risikovurdering gjennomføres?

Situasjon Hensikt Krav
Årlig gjennomgang Vurdere om sikringstiltak fortsatt er tilstrekkelige KBF § 2-3
Systemendringer Sikre at endringen ikke introduserer nye sårbarheter KBF § 6-9 b
Bygging eller endring av anlegg Sikre robuste løsninger KBF § 5-3, § 5-8
Valg av leverandør utenfor EFTA/EU/NATO for AMS Vurdere landrisiko KBF § 6-10 b
Oppstart eller endring av AMS Vurdere om sikkerheten er tilstrekkelig Forskrift om kraftomsetning og nettjenester § 4-6

 

Trusselvurdering

For å få oversikt over trusselbildet, start med KraftCERTs trusselvurdering som oppdateres årlig. NVE har også utgitt en rapport om trusselbildet for kraftforsyningen. Andre aktører som utgir årlige trusselvurderinger: NSM, PST, E-tjenesten, Politiet.

Eksempler på trusselaktører:

  • Cyberkriminelle: Økonomisk motivasjon (løsepenger, datatyveri, ransomware).

  • Hacktivister, sabotasje- og terroraktører: Ideologisk eller politisk motivasjon, søker oppmerksomhet, påvirkning eller skade på samfunnskritisk infrastruktur gjennom digitale eller fysiske handlinger.

  • Statlige aktører (APT): Etterretning, kartlegging og mulig sabotasje mot kritisk infrastruktur.

  • Innsidere: Ansatte eller leverandører som misbruker eller feilbruker legitim tilgang.

  • Leverandørkjede: Angrep via kompromitterte leverandører eller programvare.

 

Vurdere konsekvens og sannsynlighet

Konsekvens vurderes ut fra hvor alvorlige følger en hendelse vil få dersom den inntreffer. Konsekvensene kan struktureres etter de tre grunnleggende sikkerhetsdimensjonene (KIT):

  • Tap av konfidensialitet:
    Informasjon blir gjort tilgjengelig for uvedkommende, lekkes eller eksponeres på en måte som kan medføre skade.
  • Tap av integritet:
    Informasjon eller data blir feil, ufullstendige eller manipulert, slik at de ikke lenger er pålitelige.
  • Tap av tilgjengelighet:
    Systemer eller tjenester blir helt eller delvis utilgjengelige, noe som medfører nedetid, driftsavbrudd eller redusert funksjonsevne.

Inndelingen av konsekvenser bør tilpasses størrelsen på selskapet og antall sluttbrukere.

Sannsynlighet handler om hvor stor tro vi har på at den uønskede hendelsen vil inntre i løpet av et år. Dersom vi vurderer at en trusselaktør er "på jakt etter" verdiene våre, og vi har avdekket sårbarheter som gjør det mulig for trusselaktøren å oppnå det han ønsker, betyr det at sannsynligheten er høyere enn om trusselen og sårbarheten er lav.

Kunnskapsstyrke handler om hvor god kjennskap de som deltar i risikovurderingen har om temaene som diskuteres. Svak kunnskapsstyrke betyr at vurderingen bør følges opp med kunnskapsinnhentende tiltak.

Risikomatrise

Risikobildet kan fremstilles grafisk i en risikomatrise der sannsynlighet og konsekvens utgjør aksene. Hver uønsket hendelse plottes inn med sin ID. Hendelser med svak kunnskapsstyrke kan markeres med stjerne (*). Se eksempel på risikomatrise under:

 

{ "value": { "focalPoint": { "left": 0.5, "top": 0.5 }, "id": 8517, "udi": "umb://media/2370105204854bf9a05243a7599e1da7", "image": "/media/kqihai2f/ik-is-ms.png" }, "editor": { "name": "Image", "alias": "media", "view": "media", "render": null, "icon": "icon-picture", "config": {} }, "styles": null, "config": null }

Fargene i risikomatrisen viser ulik grad av risiko. Hendelser oppe til høyre har høyere risiko enn hendelser nede til venstre. Fargene kan brukes til å bestemme hvem som har myndighet til å akseptere risikoen:

Risikonivå Beslutningstaker
Svært høy (lilla) Styret
Høy (blå) Daglig leder
Middels (grå) Avdelingsleder
Lav (rosa) Arbeidsgruppen

Å akseptere risiko betyr å godta risikoen slik den er uten ytterligere tiltak. Slike beslutninger må tas på riktig nivå i organisasjonen.

Kategorier av tiltak

De risikoreduserende tiltakene kan deles i tre kategorier:

Type Beskrivelse Eksempel
Sannsynlighetsreduserende (forebyggende) Forebygger at hendelsen skjer Segmentering, tilgangskontroll
Konsekvensreduserende Reduserer skaden hvis hendelsen skjer Backup, beredskapsplan
Kunnskapsinnhentende Gir bedre grunnlag for vurdering Finne ut om den nye brannmuren gir oss nye sårbarheter

 

Kost-effektivitetsvurdering

Risikovurderingen kan resultere i en lang liste med tiltak. Det vil ofte være urealistisk å gjennomføre alt, og virksomheten må prioritere. Vurder hvor stor risikoreduserende effekt hvert tiltak har opp mot kostnaden:

  Liten effekt Stor effekt
Dyre tiltak Prioriteres ikke Beslutningen tas høyere oppe i organisasjonen
Billige tiltak Prioriteres dersom gruppen mener det er hensiktsmessig Gjennomføres

De vanskeligste beslutningene gjelder ofte dyre tiltak som har stor risikoreduserende effekt. For slike tiltak kan det være hensiktsmessig å gjøre mer grundige vurderinger før endelig beslutning. I Veileder til sikkerhetsvurderinger for AMS er det beskrevet mer detaljert hvordan en kan gå frem når en skal gjøre slike vurderinger.

Ledelsesansvar og dokumentasjon

Beslutninger om å gjennomføre eller ikke gjennomføre risikoreduserende tiltak er et ledelsesansvar. Ved hjelp av metodikken over settes ledelsen i stand til å bestemme om de ønsker å leve med risikoen slik den er, eller om tiltak skal gjennomføres. Sikkerhetsmålene kan brukes som rettesnor.

Etter hvert som virksomheten blir vant til å jobbe risikobasert, kan risikobildet diskuteres på ledermøter. Da tar de som fatter beslutninger eierskap til hvilke tiltak som prioriteres og hvilke som ikke prioriteres.

Alle beslutningsprosesser bør dokumenteres slik at det er tydelig hvem som har bestemt hvilken risiko selskapet velger å ta, og slik at resonnementene kan legges frem ved tilsyn.

Oppdatering av risikobildet

Når tiltak er innført, går de fra å være "nye tiltak" til å være "eksisterende barrierer/tiltak" i tabellen. Ved oppdatering av risikobildet kan effekten av tiltakene synliggjøres ved at den uønskede hendelsen plottes lengre nede og/eller til venstre i matrisen. Slik får virksomheten et levende risikobilde som endrer seg etter hvert som nye tiltak innføres.

Kobling til regelverk

Fotnoter

  1. En sårbarhet er alt som kan utnyttes av en angriper, både organisatoriske og tekniske svakheter (kilde: NSM)