It-sikkerheit krev risikoanalyse

Oktober 2010: Det vert avslørt at regjeringas nettverk for distribusjon av ugradert informasjon (Depnett/U) har vorte utsett for datainnbrot og fleire hundre tusen dokument har vorte stolne. Riskrevisjonens rapport seier: "Departementenes servicesenter har ikke gjennomført systematiske risikovurderinger av nettverket."

Juni 2011: Nettverket til Ahus er nede i 14 timar på grunn av problem med ein switch. Elektroniske journalar er ikkje tilgjengelege og må verte prenta og distribuerte på papir. Sidan Ahus nyttar IP-telefoni er òg telefonsystemet nede. Sjukehusets rapport om hendinga seier: "Det må gjøres risikovurdering av de teknologiske løsningene."

September 2011: Det vert avslørt at anlegget som forsyner store delar av Oslo med drikkevatn kunne verte kontrollert ved hjelp av blåtannteknologi på ein mobiltelefon og passordet 0-0-0-0. Kommunerevisjonens rapport seier at "Vann- og avløpsetaten ikke har hatt tilstrekkelig fokus på informasjonssikkerhet i og rundt systemet for fjernstyring av vannforsyning og avløp i kommunen."

Desse eksempla har det til felles at det er sterke indikasjonar på utilstrekkeleg risikoanalyse. Risikoanalyse er i denne samanhengen systematiske aktivitetar for å avdekke og vurdere risiko, der risiko er kombinasjonen av sannsynet for og konsekvensane av hendingar som kan skade dei verdiar vi ønskjer å beskytte, eller med andre ord forventning om tap av eller skade på verdiar.

På engelsk nyttar ein "safety" og "security" om to ulike typar sikkerheit. "Safety" er fråvær av fare for liv og helse, den typen sikkerheit som er S-en i HMS. På norsk kan vi kalle dette for tryggleik for å skilje det frå den andre typen sikkerheit: det som på engelsk vert kalla "security" og som gjerne vert definert som kombinasjonen av konfidensialitet, integritet og tilgjengelegheit.

Risikoanalyse kjem opphavleg frå tryggleiksdomenet og vart på 1950-tallet utvikla for å sørgje for tryggleik i prosessindustri, kjernekraftanlegg og liknande. I desse bransjane er risikoanalyse sjølvsagt. At risikoanalyse ikkje er like sjølvsagt når det er snakk om sikkerheita i informasjons- og datasystem kan vi ofte sjå eksempel på. Dette trass i at sikkerheitsproblem òg kan verte tryggleiksproblem som fleire av eksempla nemnte over illustrerer.

Vi må ta inn over oss at it-sikkerheit vil verte like kritisk som tryggleik – og ha same trong for risikoanalyse. Forskingsmiljøa som arbeider med it-sikkerheit er komne til denne erkjenninga, og inkorporering av risikoanalyse i it-sikkerheit er eit forskingstema med høg aktivitet. Til dømes i det EU-finansierte forskingsnettverket Network of Excellence on Engineering Secure Future Internet Software Services and Systems er bruk av risikoanalyse i it-sikkerheit eitt av fem hovudtema.

Ved Sintef ikt har vi i fleire år arbeidd med denne problemstillinga saman med norsk og europeisk industri i prosjekt finansierte av Norges forskningsråd og EUs rammeprogram. Resultatet av forskinga vår er metodikk for risikoanalyse spesielt innretta mot analysar av sikkerheita i it-system. Vi er ikkje åleine i dette feltet og vår metodikk er berre eitt av fleire eksempel på at metodane finst. Mangelen på risikoanalyse kan difor ikkje skuldast mangel på risikoanalysemetodar, og det kan vere grunn til å spørje seg kvifor tilgjengelege metodar ikkje vert nytta.

Mangel på medvit om sikkerheit og risiko og mangel på tradisjon for å gjere risikoanalysar må truleg ta sin del av skulda. Men noko av årsaka kan òg liggje i at risikoanalysemetodane, sjølv om dei er tilpassa sikkerheit, ikkje har den smidigheita og fleksibiliteten som i dag er idealet i utvikling av informasjonssystem. Arven frå tryggleiksdomenet har gjort risikoanalyse til ein omstendeleg og tungrodd prosess som kanskje eignar seg betre for tradisjonelle ingeniørfag. Her har forskingsmiljøa ei utfordring: Å finne metodar for risikoanalyse som er tilpassa dynamikken og dei raske endringane som er ein del av røynda i it.

Metodiske utfordingar endrar likevel ikkje på det grunnleggjande: For å oppnå sikkerheit òg innan it krevst det risikoanalysar. Dei som forvaltar samfunnskritiske informasjonssystem – anten dei er private eller offentlege – har eit ansvar for å identifisere og vurdere risiko i systema med dei metodane som er tilgjengelege. Eller dei kan gjere som vi og samarbeidspartnarane våre har gode røynsler med: Ta aktiv del i vidareutvikling av risikoanalysemetodane.

Mass Soldal Lund, Forskar ved Sintef ikt