Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse Audun Jøsang SINTEF, mars 2014
God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet Visshet Bra Security Safety Certainty Sikkerhet Ikke bra A.Jøsang, mars 2014 Når risiko er uviss 2
Certainty & Safety Sikkerhet Sikkerhet, trygghet og visshet har relatert semantikk Likeledes for usikker, utrygg og uviss. Likevel, forskjellen er essensiell Å bruke sikkerhet i betydning trygghet and visshet visker ut denne forskjellen Likeledes for bruk av usikker i betydning utrygg and uviss Forvirrende setninger: Sikkerheten i organisasjonen er usikker Usikkerheten er sikker Vi er usikre på om vi er sikre Vi er sikre på at vi er usikre A.Jøsang, mars 2014 Når risiko er uviss 3
Hvor ble det av Trygg? Fra Trygg Trafikks nettside: Slik lykkes din kommune med trafikksikkerhet For å lykkes med kommunalt trafikksikkerhetsarbeid må arbeidet skje i flere av kommunens etater, som må være bevisste på sitt ansvar. I tillegg må trafikksikkerhetsarbeidet forankres i den politiske og administrative ledelsen. Trygg er blitt til et mykt begrep Trygge barn Trygghetsalarm for eldre Sikker gir et mer seriøst og troverdig inntrykk Trafikksikkerhet Flysikkerhet Sikkerhet i Nordsjøen A.Jøsang, mars 2014 Når risiko er uviss 4
Hvor ble det av Uviss? Fra Justervesenets nettside: I kalibreringsbeviset angis alltid en måleusikkerhet tilknyttet måleresultatet. Oftest oppgis måleusikkerheten som et symmetrisk intervall rundt måleresultatet, slik: Måleresultat ± måleusikkerhet. Hva når målingen er utrygg, eller usikker? Viss og uviss er blitt gammeldags Hva betyr visselig? Hvor viss er du? Jeg er helt uviss! Er det en meningsforskjell? Usikker sikkerhet Uviss sikkerhet Usikker måling Uviss måling Usikker risiko Uviss risiko A.Jøsang, mars 2014 Når risiko er uviss 5
Threat agent - Motivation - Capacity Vulnerability What is risk? Likelihood of threat / incident Impact on asset of threat / incident Assets Risk Risk Threats Vulnerabilities A.Jøsang, mars 2014 Når risiko er uviss 6
What is risk? The effect of uncertainty on objectives ISO27000 Overview and Vocabulary: 2014 Note to definition: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood. Prøv å oversette denne definisjonen til norsk! The likelihood of a threat agent taking advantage of a vulnerability and the resulting business impact. Harris, CISSP All-in-One Exam Guide, definitions. The net mission impact considering (1) the probability that a particular threat-source will exercise (accidentally trigger or intentionally exploit) a particular vulnerability and (2) the resulting impact if this should occur NIST SP800-30: Risk Management Guide for IT Systems A.Jøsang, mars 2014 Når risiko er uviss 7
Risk Management standards ISO 27005 Information Security Risk Management ISO 31000 Risk Management NIST SP800-39 Managing Information Security Risk NIST SP800-30 Guide for Conducting Risk Assessment NS 5831 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Risikohåndtering NS 5832 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Risikoanalyse A.Jøsang, mars 2014 Når risiko er uviss 8
Characteristics of Uncertainty Uncertainty is unavoidable Uncertainty is chronically understated Satisfactory estimation with statistical analysis Uncertainty is information! Where to do further research Worst case scenarios A.Jøsang, mars 2014 Når risiko er uviss 9
Utrykk og visualisering av uvisshet Temperatur: 50% sannsynlighet 30% sannsynlighet Nedbør: 50% sannsynlighet 30% sannsynlighet A.Jøsang, mars 2014 Når risiko er uviss 10
Problems of measuring risk Businesses normally wish to measure risk in money, but almost impossible to do this Valuation of assets Value of data, hard to assess Value of goodwill and customer confidence, very vague Likelihood of threats Past events not always relevant for future probabilities The nature of future attacks is unpredictable The actions of future attackers are unpredictable Measurement of benefit from security control Problems with the difference of two approximate quantities Estimation of past and present risk A.Jøsang, mars 2014 Når risiko er uviss 11
Qualitative risk estimation, traditional approach Qualitative risk levels: Look-up matrix Principle: Add likelihood & impact levels Risk level Impact levels (0) Insignificant (1) Minor (2) Moderate (3) Major Likelihood (3) High (3) Moderate (4) High (5) Very High (6) Extreme (2) Medium (2) Low (3) Moderate (4) High (5) Very High (1) Low (1) Very Low (2) Low (3) Moderate (4) High (0) Unlikely (0) Negligible (1) Very Low (2) Low (3) Moderate How to handle degrees of uncertainty? A.Jøsang, mars 2014 12
Fuzzy verbal categories Likelihood Categories: Absolutely not Very unlikely Unlikely Somewhat unlikely Chances about even Somewhat likely Likely Very likely Absolutely Certainty Categories: 9 8 7 6 5 4 3 2 1 Completely uncertain E 9E 8E 7E 6E 5E 4E 3E 2E 1E Very uncertain D 9D 8D 7D 6D 5D 4D 3D 2D 1D Uncertain C 9C 8C 7C 6C 5C 4C 3C 2C 1C Slightly uncertain B 9B 8B 7B 6B 5B 4B 3B 2B 1B Completely certain A 9A 8A 7A 6A 5A 4A 3A 2A 1A A.Jøsang, mars 2014 Når risiko er uviss 13
Online demo http://folk.uio.no/josang/sl/ A.Jøsang, mars 2014 Når risiko er uviss 14
Fuzzy category to opinion mapping Depends on base rate Mapped to centre of corresponding field base rate a = 1/3 base rate a = 2/3 A.Jøsang, mars 2014 Når risiko er uviss 15
Uncertainty Analysis It should include quantitative measures of uncertainty It should include qualitative discussion of uncertainty Doing this well takes time and effort but is not always rewarded Research efforts in risk analysis should be viewed as tools for understanding uncertainties, not necessarily for reducing them. (Finkel, 1990) A.Jøsang, mars 2014 Når risiko er uviss 16
When is uncertainty analysis useful? It depends on the audience Sophisticated audiences can appreciate representation and analysis of uncertainty in risk assessment Better basis for decision making Non-expert audiences do not need uncertainty analysis Will not understand Not prepared to let uncertainty analysis influence decisions Wasted time and effort A.Jøsang, mars 2014 Når risiko er uviss 17
Takk for oppmerksomheten Spørsmål? A.Jøsang, mars 2014 Når risiko er uviss 18