Per Hellqvist om IT-säkerhet och sånt

Otur? Pyttsan!

6 Dec 2011

För ett par veckor sen höll min chef, Stefan Alariksson öppningsanförandet för vår årliga konferens Symantec Technology Day. I anförandet målade han upp en bred bild över hur vi ser på säkerhetsarbetet framöver och de megatrender som påverkar oss alla inom IT: Virtualisering, molnet, mobilitet och den enorma ökningen i mängden lagrad data.

Men sen sa han något som fick mig att tänka till. Han berättade att han under sina kundbesök relativt ofta stöter på företag som uttrycker sig lite märkligt. De säger ofta något i stil med att de hade “otur” och blev hackade, eller de hade “otur” och backuppen fungerade inte när de försökte läsa tillbaka den.

Otur“? Verkligen?

Tur och otur beskrivs i Wikipedia så här: “Tur och otur är händelser som – baserat på tro eller vidskeplighet – uppfattas som ödesbestämda, trots att de utifrån sett är slumpmässiga. En person som det går bra för kan sägas ha tur, särskilt om sannolikheten för att det skulle gå bra var låg. Omvänt om det går dåligt kallas det otur.”

Vänner, jag kan på en gång avslöja ett par av de största sanningarna: Världen är inte förutbestämd. Slumpen finns inte, utan är en direkt följd av kausaliteten (orsak och verkan). Tro gör vissa i kyrkan. Vidskeplighet ska vi inte ens tala om.

Nej, säkerhetsfolk vet hur saker och ting ligger till.

Man brukar säga att “Tur är den skickliges belöning”. Jag håller inte med. Att bli skicklig på något innebär att man tagit sig tiden att läsa på, har resurserna som krävs och ha förmågan att fatta rätt beslut (över en längre tid). Med andra ord – Har man tagit investeringarna, läst på ordentligt och exekverat rätt så kommer det förmodligen gå bra. Så, mot bakgrund av detta kan man utläsa vad de företagen min chef pratat med egentligen säger. De säger att “vi orkade inte”, “vi prioriterade inte säkerhet”, “vi har slarvat” när de råkade illa ut. Tur eller otur finns inte. Snålhet, slapphet, och okunskap är de egentliga skälen.

Kausaliteten säger helt kallt att om du har ett dåligt lösenord så kan någon gissa det. Har du inte täppt till ett säkerhetshål kan något attackera via det. Har du inte krypterat lösenordsdatabasen så kommer lösenorden knäckas. Och så vidare. Orsak och verkan.

Hur genomläskigt vore det inte om man lade sitt säkerhetsarbete i händerna på begrepp som “tur” eller “otur”?

Ett av de första begrepp man måste förstå inom allt säkerhetsarbete är “risk”. Det pratas mycket om det, men vad är det egentligen? Jag googlade och fick följande briljanta förslag från Google:

Ahh. Intressant. Mitt bland några av populärkulturens verkliga höjdpunkter finns något intressant: “Ett koncept som precist visar på sannolikheter för specifika eventualiteter”. Det är alltså matematik någonstans i botten? Visst är det det. Man kan beräkna risken för en verksamhet eller en händelse. Risk kan beräknas enligt följande enkla formel:

Risk=(sannolikheten för att något ska hända)*(skadan om det händer)

Risk är alltså ett mått på de skadliga konsekvenserna av en framtida händelse (wikipedia). Ok, så lång kan man hänga med.Det är här säkerhetsprogrammen kommer in. Med hjälp av antivirus, brandväggar, IDSer, DLP-system, kryptering etc etc kan man minska risken genom att minska sannorlikheten för att något elakt ska inträffa.

Men det går inte att stanna där. Ingen säkerhetsmjukvara är ofelbar. För att få säkerheten på topp måste man ha tänkt till noga innan.

För att komma vidare måste vi som sagt tänka till och beskriva våra tankar och erfarenheter (best practices) i olika processer. Processen beskriver vad vi vill ha gjort och hur det ska göras. Arbetet med att minimera risken och skapa processer och arbetssätt kallas för Riskhantering eller på nysvenska “Risk Management” (alla som arbetar med säkerhet borde åtminstone ha läst och förstått Wikipedia-artikeln ).

Genom detta arbete letar man upp riskerna, analyserar dem och prioriterar. Man bestämmer vilka risker som finns, var de finns, vilka konsekvenser de får om de inträffar och hur man ska ta sig an dem. Man kan samlas i grupp, ta fram en stor hög post-it lappar och sätta igång. När riskerna är identifierade bedöms de efter sannolikhet och konsekvens (sätter man igång med sanning och konsekvens har man kanske hamnat på Afterwork istället..) och prioriteras enligt följande;

Högriskhändelser – Händelser med hög sannolikhet och hög konsekvens. Dessa kostar mycket pengar och tar mycket tid och resurser. Dessa bör prioriteras, men på grund av att de kostar för mycket och är för jobbiga att hantera i det dagliga arbetet blir de alltför ofta liggande.

Risker vi kan hantera – Enkla, snabba som inte kostar så mycket men får bra utdelning för riskminimeringen. De flesta av dessa punkter kommer förmodligen hanteras i det dagliga arbetet.

Risker vi ska ignorera/acceptera – Extremt låt sannolikhet och extremt låg konsekvens kan faktiskt ignoreras tills dess att någon har tid att ta tag i dem. Men kom ihåg att notera att ni identifierat risken och tagit ett medvetet beslut att ignorera den.

Risker vi kan försäkra oss emot: Låg sannolikhet (kanske hög konsekvens) och extremt hög kostnad för att skydda sig mot. Här är det kanske bättre att teckna en försäkring. Det viktiga är att identifiera risken.

När detta arbete är klart så har vi ett dokument där vi tillsammans gått igenom alla tänkbara och otänkbara aspekter av vårt arbete, våra konkurrenters avsikter samt omvärldens inflytande på vår verksamhet. Vi har tillsammans prioriterat och skrivit under på vad vi ska syssla med framöver. Allt är frid och fröjd. Eller?

Nej, tyvärr får man sällan vara riktigt glad när man arbetar med säkerhet. Eländet ska ju betalas också.

Här börjar det bli riktigt intressant. Den som vill få ett nej går in till närmaste chef och ber att få mer pengar till säkerhetsinvesteringar. Det är dömt att misslyckas. Man måste prata “företagiska” för att ha ens en liten chans att lyckas. Med företagiska menar jag dels ett språk som cheferna förstår (gärna färgglada powerpointbilder med tårtdiagram och staplar)  och dels ett språk som berättar hur verksamheten kan dra nytta av investeringen.

Min favorit att börja med i denna diskussion är den underbara “Mayfields paradox”  .

Den beskriver på ett underbart sätt följande: Kostnaden för att släppa in “alla” i ett tänkt system går mot oändligheten. Dessutom går kostnaden för att stänga ute “alla” ur ett tänkt system också mot oändligheten. Men någonstans däremellan kan vi hantera både besökare och kostnader. Paradoxen säger alltså med all önskvärd tydlighet att vi helt enkelt inte har råd att stänga ute “alla” ur ett system – och i och med det kommer vi få intrång!

Skönt. Då vet vi det :-) Vad gör vi nu?

Jo, ös på med ROSI! ROSI används ofta av konsulter för att öka på faktureringen och förvirra chefer. Men jag ska försöka förklara det så enkelt som möjligt. ROSI är (såklart) en förkortning och står för Return Of Security Investment och beräknas efter följande formula:

ROSI = ( KRföre – KRefter) / Investeringen

KRföre är lika med “Antalet incidenter*kostnaden per incident” före den tänkta investeringen och då är följdaktligen KRefter besparingen som investeringen gav. När ROSI>1 gav investeringen resultat och förbättrade säkerheten (minskade en av riskerna).

Eller ännu kortare uttryckt: “Investeringen måste hindra incidenter för åtminstone sin egen kostnad per investeringsperiod”

Briljant eller hur!

Jo, men den som skrattar först skrattar sist eller hur det nu var. För att kunna briljera inför chefen med en flådig ROSI-analys måste du veta en hel massa saker. Du måste veta hur många incidenter ni haft under en given tidsperiod (ofta den tänkta avkastningstiden för investeringen räknat baklänges. Dvs om ni vill räkna hem investeringen under ett år så räkna antalet incidenter det senaste året) och du måste framförallt veta kostnaden per incident. Vet du inte det ena eller det andra så blir det svårt. Då måste man uppskatta saker och den enda som uppskattar uppskattningar är uppskattaren som någon en gång sa…

Så. Där har du det. Med hjälp av säkerhetspersonal och säkerhetsprogram kan du ta fram antalet incidenter och genom intervjuer med de berörda parterna kan du få fram kostnaden per incident och sen är det bara att sätta igång. Som Stryktipset säger i sin reklam “Den som vet mest vinner mest”. Det stämmer.

Och du? Otur har inget med saken att göra.

Taggar: Allmänt

Kommentarer

3 kommentarer to “Otur? Pyttsan!”

  1. Sven Ögren on December 7th, 2011 00:39

    Det skulle vara spännande att tillämpa ovanstående teorier på riskbedömningen vad gäller kärnkraft. Stoppa in en kvarglömd dammsugare i kalkylen samt eventuella kostnader och sätt i gång räknandet. Visst var det 1,8 miljarder det kostade på Ringhals?

    Motsvarande beräkningar på den Japanska kärnkraften skulle kanske medverka till lite större tveksamhet till utbyggnad av de svenska kärnkraftprogrammen i synnerhet mot bakgrund av att tillgången på brukbar uran väl är begränsad.

  2. Thomas Tvivlaren on December 15th, 2011 15:23

    Bra inlägg! Du nämner det inte specifikt, även om du tangerar det tankemässigt, men somliga sammanfattar säkerhet som antagandehantering och det ligger mycket sanning i det av just de skäl du återkommer till i det skrivna.

    För övrigt en välmenande petimäterkommentar: Sannolikhet är ett svenskt ord. Det du (nästan) genomgående skrev är det inte. 😉

  3. admin on December 15th, 2011 23:51

    Hej Thomas! Visst handlar säkerhet om antagandehantering (bra ord). Man antar att något kommer hända och funderar på hur man bäst ska hantera det om det händer. Sen kollar man sannolikheten och konsekvensen.

    Tack för petningen… vissa ord funkar bara inte att skriva rätt 😉 Rättat nu.

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.