Risikovurdering av cybersystemer

Transkript

1 Risikovurdering av cybersystemer Atle Refsdal Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar,

2 Oversikt Kontekstetablering Cyber-risk identifikasjon Analyse Evaluering Behandling Kort info om et pågående prosjekt Konklusjon 2

3 Kontekstetablering Forstå analyseobjektet Grensesnitt mot cyberspace Angrepsflate Hvilke aktiva skal beskyttes? 3

4 Eksempel: Smarte strømmålere 4

5 Eksempel: Grensesnitt mot cyberspace og angrepsflate 5

6 Cyber-risiko identifikasjon Cyber-trusler og -trusselkilder Sårbarheter Mulige hendelser og risikoer 6

7 Ondsinnete trusler Motiv Intensjon Evne Ressurser "So it is said that if you know your enemies and know yourself, you can win a hundred battles without a single loss" Sun Tze: The art of war 7

8 Eksempel: ondsinnede trusselkilder 8

9 Risikoidentifisering m.h.p. ondsinnete trusler 9

10 Eksempel: ondsinnede trusler 10

11 Eksempel Tilgjengelighet av målerdata Angrepspunkt: Internettkobling til sentralsystem Script kiddie; Cyber terrorist Utdatert deteksjon og respons for DDoS-angrep DDoS-angrep på sentralsystemet Sentralsystem kan ikke motta målerdata pga DDoS-angrep 11

12 Ikke-ondsinnete trusler Ta utgangspunkt i aktivaene hvilke hendelser kan skade disse? 12

13 Risikoidentifisering m.h.p. ikke-ondsinnete trusler 13

14 Utnytt standarder, repositories etc 14

15 Hvordan utnytte generelle informasjonskilder? 1. Etabler relevanskriterier Kan baseres på systemtype, arkitektur, domene, aktiva, risikotype, Identifiser informasjonskilder 3. Velg ut de elementene fra informasjonskildene som er relevante for din risikovurdering 4. Tilpass disse til ditt spesifikke analyseobjekt/risikovurdering 15

16 Analyse Hvor ofte vil trusler oppstå? Hvor store er sårbarhetene? Hvor ofte vil uønskede hendelser inntreffe? Hvor stor skade vil hendelsene påføre aktivaene? 16

17 Utnytt at analyseobjektet er computer-basert Hendelseslogger Intrusion detection-systemer Monitoreringsverktøy Sårbarhetsscannere og sikkerhetstester Kildekode-review... 17

18 Eksempel: trusselanalyse 18

19 Evaluering: Konsolidere resultater Sjekk risker identifisert som både ondsinnet og ikke-ondsinnet Er estimatene konsistente? Er alle bidrag tatt med? 19

20 Behandling Både tekniske og menneskelige/organisasjonelle behandlinger Ekstremt vanskelig å gjøre noe med ondsinnede trusselkilder i cyberspace fokuser heller på egne sårbarheter og mottiltak Voksende marked: cyber-forsikring 20

21 Eksempel: behandling 21

22 WISER: EU-prosjekt om cyber-risk Rammeverk med verktøy og metoder for risikomodellering, monitorering, risikovurdering og beslutningsstøtte Online-verktøy for vurdering av egen risikoprofil lanseres snart spørreskjema og sårbarhetstesting (gjøres av brukeren selv) krever ingen inngrep i egen infrastruktur 22

23 Konklusjon Cyber-space gir både utfordringer og muligheter for risikovurderinger utnytt mulighetene! En detaljert gjennomgang av smartgrid-eksempelet finnes i Del 2 av A. Refsdal, B. Solhaug, K. Stølen: Cyber-Risk Management (Springer, 2015) 23