Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet
Metodikk for Risikoanalyse Risikovurdering Sårbarhetsanalyse ROS-analyse
Hvorfor risikoanalyse? Avdekke risikonivå på tjenesten/ systemet Kunne gjøre en begrunnet vurdering av behovet for sikkerhetstiltak Ha et bevisst forhold til det risikonivået man har Lovpålagt ved behandling av sensitive personopplysninger (POF 2-4) *) POF: Personopplysningsforskriften *) Krav om gjennomføring av risikovurdering og oppfyllelse av sikkerhetsmessige lovkrav gjelder også for forskningsprosjekt som er godkjent av REK. REK forutsetter at sikkerheten blir ivaretatt.
Def. personopplysninger Personopplysninger: Opplysninger og vurderinger som kan knyttes til en identifisert enkeltperson Sensitive personopplysninger: rasemessig/etnisk, politisk, religiøs straffbare forhold (mistanke, siktelse, dom, straff) helseforhold seksuelle forhold fagforeningsmedlemskap
Informasjonssikkerhet Konfidensialitet at uvedkommende ikke får tilgang til informasjonen (ikke kan se/lese informasjonen) Integritet at uvedkommende ikke kan endre informasjonen at systemfeil ikke skal medføre uautoriserte endringer i informasjon Tilgjengelighet at informasjonen er tilgjengelig for de som skal ha tilgang til den når den trengs Kvalitet at informasjonen er riktig; ikke er misvisende
Prosess for risikostyring ISO/IEC 27005 Information technology Security techniques Information security risk management
Risikoanalysens fem faser: 1. Legge rammene for risikoanalysen, identifisere det som skal analyseres system, tjeneste, bruk/funksjonalitet, brukere, omgivelser, rammebetingelser, hvem skal delta, definere akseptabelt risikonivå ( Context identification ) 2. Trusselidentifisering, kartlegging av trusler 3. Validering av truslene mhp konsekvens og sannsynlighet og anslå risikonivå 4. Analyse av risikonivå (sammenligne avdekket risikonivå med akseptabelt risikonivå) 5. Foreslå tiltak som reduserer risikonivået
Fase 1: Sette rammene for analysen Forarbeid: Planlegging: Hvem skal delta? Når skal møter avholdes? Tidsfrister? Ansvarsfordeling (hvem gjør hva før, underveis og etter), System- og tjenestebeskrivelse Avgrensning av det som skal analyseres (ToE) Kartlegge sikkerhetskrav, sikkerhetspolicy, lover og regler, identifisere verdier som skal beskyttes, f eks liv og helse, pasientopplysninger, virksomhetens renommé Kartlegge behov, krav til faglig forsvarlighet, reguleringer i helse- og personvernlovgivningen, Fastslå nivå for akseptabel risiko og definere verdier for konsekvens, sannsynlighet, risikonivå
Fase 2: Identifisere trusler Flere metoder/framgangsmåter Identifisere mulige uønskede hendelser, relatert til krav (eks faglig forsvarlighet) Styrt brainstorming Identifisere årsaker, svakheter/sårbarheter Brainstorming, intervju, spørreskjema, sjekklister Bearbeide de identifiserte truslene kategorisere/slå sammen ( rydde )
Fase 2: Identifisere trusler, forts. Tre hovedkategorier Trusler påført av noen fra utsiden Trusler påført av noen fra innsiden Andre trusler (strømbrudd, brann, oversvømmelse, etc.) To typer intensjon Med overlegg Uaktsomme handlinger En stor andel av sikkerhetsbruddene skyldes egne medarbeideres feil eller forglemmelse.
Verktøy: Trusseltabell Id Trussel, hendelse Årsak Risiko Sannsynlighet Konsekvens Kommentarer
Trusseltabell (med eksempler) ID Trussel, uønsket hendelse Risiko Årsak Sannsynlighet Konsekvens Kommentarer K1 Pasientopplysninger sendt til feil mottaker Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresse register K2 Uautorisert tilgang til journal Bruker glemmer å logge ut og neste bruker av pc-en får tilgang T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd
Fase 3: Analysere risiko For hver av de identifiserte truslene, vurdere: Konsekvens Sannsynlighet
Eksempel: Verdier for konsekvens Alvorlig: Tap av helse, eller uopprettelig økonomisk tap, eller alvorlig tap av anseelse, eller alvorlig lovbrudd Stor: Forbigående virkning på helse, eller noe økonomisk tap, eller noe tap av anseelse, Moderat: Ingen virkning på helse, eller lite økonomisk tap som kan gjenopprettes, eller noe tap av anseelse på kortere sikt Liten: Ubetydelig økonomisk tap, eller lite forbigående tap av anseelse
Eksempel: Verdier for sannsynlighet Stor: Frekvens: Oftere enn hver tiende gang. Letthet: Uten kjennskap til systemet, uten ekstra hjelpemidler, ved uaktsomhet eller feil bruk. Motivasjon: 1000-kr-tips Middels: Frekvens: Oftere enn hver femtiende gang. Letthet: Normal kjennskap til systemet, vanlige hjelpemidler, med overlegg, bevisst. Motivasjon:??? Liten: Frekvens: Sjeldnere enn hver femtiende gang. Letthet: detaljkunnskap om systemet, spesielle hjelpemidler, med overlegg. Motivasjon: ingen
ID K1 K2 Trusseltabell (med eksempler) Trussel, uønsket hendelse Pasientopplysninger sendt til feil mottaker Uautorisert tilgang til journal Årsak Sannsynlighet Konsekvens Risiko Kommentarer Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresseregister Bruker glemmer å logge ut og neste bruker av pc-en får tilgang Stor Skjer ukentlig Middels Stor Brudd på konfidensialitet (og tilgjengelighet) Moderat Ny bruker jobber ssv på samme avd. T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd Liten Moderat
Definere risikonivå Risiko er produktet av sannsynlighet og konsekvens Definere risikonivå Hjelpemiddel: Risikomatrise Anslå risikonivå for de enkelte truslene Kombinasjon av sannsynlighet og konsekvens
Risikomatrise Konsekvens Sannsynlighet Liten Moderat Stor Alvorlig Liten Middels Stor
Definere risikonivå (skyggeleggingen) Konsekvens Sannsynlighet Liten Liten Moderat Stor Alvorlig Lav risiko Lav risiko Lav risiko Moderat risiko Middels Lav risiko Moderat risiko Moderat risiko Høy risiko Stor Moderat risiko Moderat risiko Høy risiko Høy risiko
Eksempel: Definisjon av risiko Høy risiko: Uakseptabel risiko. Sikkerhetstiltak skal iverksettes før systemet eller tjenesten kan tas i bruk eller videreføres Moderat risiko: I hvert enkelt tilfelle vurdere om det er nødvendig å iverksette organisatoriske prosedyrer eller tekniske tiltak for å unngå hendelser Lav risiko: Hendelser av denne typen er akseptable, men bør følges/overvåkes rutinemessig (f.eks. gjennom avviksrapportering)
ID K1 K2 Trusseltabell (med eksempler) Trussel, uønsket hendelse Pasientopplysninger sendt til feil mottaker Uautorisert tilgang til journal Årsak Sannsynlighet Konsekvens Risiko Kommentarer Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresseregister Bruker glemmer å logge ut og neste bruker av pc-en får tilgang Stor Skjer ukentlig Middels Stor Brudd på konfidensialitet (og tilgjengelighet) Moderat Ny bruker jobber ssv på samme avd. T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd Liten Moderat
Plassering av trusler i risikomatrisa Konsekvens Sannsynlighet Liten Middels Stor Liten Moderat Stor Alvorlig T1 K2 K1
ID K1 Trusseltabell (med eksempler) Trussel, uønsket hendelse Pasientopplysninger sendt til feil mottaker Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresse register Stor Skjer daglig Stor Brudd på konfidensialitet (og tilgjengelighet) Risiko Høy Årsak Sannsynlighet Konsekvens Kommentarer K2 Uautorisert tilgang til journal Bruker glemmer å logge ut og neste bruker av pc-en får tilgang Middels Moderat Ny bruker jobber ssv på samme avd. Moderat T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd Liten Moderat Lav
Fase 4: Evaluere risiko Evaluere i forhold til akseptabelt risikonivå Hvilken risiko er akseptabel, hvilken er ikke Høy risiko (hentet fra definisjonen av risiko): Uakseptabel risiko. Sikkerhetstiltak skal iverksettes før systemet eller tjenesten kan tas i bruk eller videreføres Konklusjon: Trussel K1 må reduseres!
Husk: Å akseptere en RISIKO er ikke det samme som å akseptere en uønsket hendelse
Fase 5: Håndtere risiko Foreslå tiltak for risikoreduksjon for alle trusler med uakseptabelt risikonivå
Mulig håndtering av risiko 1. Unngå risiko (Risk avoidance) Ikke utføre den risikable handlingen (f eks ikke utvikle systemet eller ikke sette det i drift) 2. Redusere risiko (Risk reduction) Iverksette tiltak for å redusere sannsynlighet og/eller konsekvens 3. Overføre risiko (Risk transfer) For eksempel til et forsikringsselskap 4. Beholde risiko (Risk retention) Leve med den risikoen som er der
Eksempler på spørsmål man bør stille i en tidlig fase Hvordan finne ut om en tenkt tjeneste er faglig forsvarlig? Involvere brukere Relevant helsepersonell og andre fagpersoner Pasienter/pasientforeninger Ev. representanter for (tilsyns)myndighetene Hvilke lovreguleringer er relevant for det vi ønsker å gjøre? På hvilke måter og hvor er det lov å lagre og/eller overføre dataene? Hvem kan ev få tilgang til dataene? Hvilke krav stilles til sikkerhet? Har vi et godt system for å håndtere avvik?
Tips til gjennomføring av risikovurdering Minimum en person bør ha erfaring med gjennomføring av risikovurdering Analysegruppa bør bestå av personer med relevant kunnskap og erfaring Kjennskap til helsetjenesten (organisering, brukergrupper (helsepersonell), pasientgrupper) Kjennskap til regelverket, bl.a. krav til faglig forsvarlighet og informasjonssikkerhet Kjennskap til potensiell teknologi Analysegruppa bør delta gjennom hele prosessen (med mulige utvidelser underveis) Personer med relevant kompetanse/myndighet bør anslå akseptabelt risikonivå
Dokumentasjonskrav Risikovurderinger skal dokumenteres og være tilgjengelig for Beslutningstakere (ledelsen, sikkerhetssjef, de som er ansvarlig for å følge opp tiltakene) Tilsynsmyndigheter på forespørsel Kunder på forespørsel Rapport bør inneholde Beskrivelse av hva som har vært analysert Hvem som har deltatt og når analysen ble utført Oversikt over trusler med tilhørende risikonivå Forslag til tiltak for å oppnå tilfredsstillende risikonivå
Takk for oss! Mer info på www.telemed.no/sikkerhet Enkel veileder for gjennomføring av risikovurdering Enkel rapportmal for risikovurdering