Gå till innehåll

I jakt på goda exempel på riskanalys (för IT-/infosäk) snubblade jag över en handbok från Socialstyrelsen1. Den bör bygga på vetenskap och beprövad erfarenhet, så det känns ju lovande... Nu kunde jag dessvärre avfärda metodiken snabbt genom att bläddra fram till riskmatriserna. Riskmatriser är i sig fundamentalt trasiga2, men det finns olika grader av problem.

Jag hoppas jag har missförstått detta, men det ser inte bra ut.

Beräkning av riskpoäng

Metodiken bygger på beräkning av riskpoäng för identifierade risker. Jag har klippt ut några essentiella delar.

Konsekvens

För risker bedömer man allvarlighetsgraden av dess konsekvens enligt tabell nedan. (Bilder är från handboken sidan 46 och framåt.)

socialstyrelsen-konsekvens

Kriterierna i sig har jag ingen åsikt om, det är tilldelningen av allvarlighetsgrad 1 till 4 som är problematisk. Summan av 4 st obehag är lika med 1 död. Svårt med folklig förankring här tror jag.

Sannolikhet

socialstyrelsen-sannolikhet

Sannolikheten bedöms på en skala 1 till 4. En gång på ett år blir 1 och 365 på ett år blir 4. Inte bra.

Och så riskmatrisen...

Den i nästan alla riskanalyser obligatoriska matrisen, här med ett lite annorlunda koordinatsystem men med den klassiska multiplikationen. Det är inget matematiskt fel på "Sannolikhet x Konsekvens", men det gäller ju att stoppa in något bättre än godtyckliga ordningstal i ekvationen.

socialstyrelsen-riskmatris

 

Dagligt obehag är likvärdigt med ett dödsfall per år!

Vi kan nu se att en risk som vi bedömer kommer att skapa obehag (1) dagligen (4) ger oss riskpoäng 4, vilket är samma riskpoäng som en risk som medför ett dödsfall (4) varje år (1), och samma som att en patient i månaden (2) får en utökad vårdepisod (2).

Vilken risk ska vi prioritera att åtgärda om vi bara har pengar till att lösa ett problem? Spelar ingen roll!

 

Förbättringsförslag

Till att börja med så tycks det inte finnas något vetenskapligt stöd för att Socialstyrelsens metod fungerar, det är ett problem även om det är väntat. Metoden ger heller inget stöd för att prioritera åtgärder. En risk med ett högre riskvärde är inte med nödvändighet viktigare att hantera än en risk med ett lägre (övriga omständigheter lika).

Om man nu vill behålla matrisen (vilket det egentligen inte finns någon vettig anledning till) så skulle man ändå kunna förbättra den genom att tilldela värden för sannolikhet och konsekvens som har verklighetskoppling. Sannolikheten är enkel, vi kan t.ex. ange frekvensen per år vilken redan framgår av Socialstyrelsens tabell. Konsekvensen kan översättas till kostnad i kronor för människoliv och annan skada. Myndigheter räknar på kostnaden för människoliv i andra situationer, så varför inte i riskanalyser.

Med googlade kostnader för liv och hälsa så konstruerade jag lite snabbt följande nya "riskmatris". (Färgskalan rött-vitt blev lite tråkig eftersom det är väldigt dyrt att ta livet av en patient/dag.)

socialstyrelsen-riskmatris-ng

Uppdaterad riskbedömning

Nu är det ca 5 gånger så dyrt med ett årligt dödsfall som för det dagliga obehaget. Även om liv fortfarande kan tyckas vara lågt prioriterat så är vi i alla fall närmare en bedömning som känns rimlig.

Vi kan också se att den månatliga ökningen av vårdepisod för en patient nu bara kostar en tredjedel av det dagliga obehaget. Känns ganska rimligt.

Sammanfattning

Detta var bara ett snabbt nedslag i en detalj i en metodbeskrivning, men:

  • Det finns generella och stora problem med metodiken för riskanalyser inom det offentliga, och naturligtvis även inom det privata.
  • Vi måste våga att kvantifiera!
  • Osäkerhet i bedömningar måste redovisas!

Jag hoppas kunna återkomma med inte bara gnäll, utan även något mer konstruktivt.

[UPPDATEREAD]

Klipp från computersweden.idg.se:

idg-11-miljoner-i-minuten-v2

Tomas Zirn (Computer Sweden, IDG) citerar i en artikel Ola Wittenby (IBM) som hävdar att "Skadlig kod infekterar 11 miljoner mobiler i minuten". Det låter ju jättedåligt..., men är det rimligt? Ägnar man en tanke åt detta inser man att det omöjligt kan stämma.

Några snabba googlingar visar att det finns i runda slängar ca 2 miljarder smartphones på planeten12. Den optimala skadliga koden skulle sprida sig till 100 % av alla enheter på 2 000 000 000 / 11 000 000 = 181 minuter, alltså 3 timmar. Även om detta är praktiskt omöjligt ser man att det är något fel på siffrorna.

IBM har gjort undersökningen tillsammans med Ponemon Institute (vad nu det är), och i en annan nyhetsartikel3 står "At any given time, malicious code is infecting more than 11.6 million mobile devices" med hänvisning till ett produktblad från IBM4. Produktbladet säger också att "malicious code infects more than 11.6 million mobile devices at any given time". Här nämns inte infektioner per minut längre, utan nu har vi 0,58 % infekterade mobiler i stället (räknar nu för högt på antal enheter i bruk, men det spelar mindre roll). Vi går från 11 miljoner i minuten till 0,58 % totalt!

Produktbladet hänvisar uppgiften om 11,6 miljoner till en artikel från 29 januari 2014 (1+ år sedan) i Infosecurity Magazine5. Och där finns länken till den ursprungliga källan, från 2013!

Bild från Alcatel-Lucent "Kindsight Security Labs Malware Report - Q4 2013"6:

alcatel-lucent-infected-devices-2013-v2

Sammanfattning: Den nyhet som CS gör rubrik av är från 2013, och grovt felaktig!

(Det är så klart inte svårt att hitta fel i media, men eftersom det inte fanns något kommentarfält på idg.se, så behövde jag skriva av mig här i stället...)


 

Uppdatering 2015-03-24

Artikeltexten på IDG är rättad. Tack Tomas Zirn!

På Twitter har dock IBM kvar felaktigheten om "varje minut". Detta kommer alltså från ett citat av Ola Wittenby (A leader in the IT Security area. Security Country Manager at IBM.). Helt okej att ibland ha otur när man tänker, men det är samtidigt inget annat än sälj-"FUD" från IBM.

P.S. Varför jag bryr mig om denna fråga:

1

Ekots lördagsintervju med inrikesminister Anders Ygeman (Poddradio RSS) från 24/1 innehåller en del intressant ur bland annat IT- och informationssäkerhetsperspektiv och är värd att lyssna på.

Några noteringar:

6.55: Om PNR-registret - Ekot frågar "Har ni någon som helst analys av hur effektivt det här skulle kunna vara?". Svaret är "Inte det nya systemet så klart, för det finns ju inte på plats. Vi har bara konstaterat att det är viktigt [...]". En extra följdfråga från Ekot visar att detta med analys inte är något som anses behövas för införa EU PNR.

23.23: Om cyberattacker och incidentrapportering - Inrikesministern säger sig nyss ha träffat chefen för Säkerhetspolisen, Generaldirektören för MSB och chefen för polisens nationella operativa avdelning för att diskutera hur man ska tydliggöra det statliga myndighetsansvaret för informationssäkerhet och mot cyberhot. De jobbar även vidare på att införa obligatorisk incidentrapportering.

Lite tyckande om detta:

Det känns inte speciellt bra att man vill införa ett centralt EU PNR med hänvisning till någon slags "sunt förnuft". Risken nu är att det inte finns underlag att gå tillbaka till om några år för att utvärdera om systemet uppfyller sina syften. Om rättsväsendets nytta faktiskt skulle visa sig blir mindre än förväntat så skulle kanske de inskränkningar i privatlivet som man tidigare bedömt vara befogade inte längre vara giltiga. Men nu riskerar systemet (om det väl införs) antagligen att bli kvar för evigt!

Förutom mer fokus på avvägningen mellan nytta och personlig integritet så önskar jag att lite vetenskaplighet lyser igenom samt att avvägningar och beslut baseras på underlag och analys. Känns ganska grundläggande kan man tycka.

På plussidan: Att ministern följer upp de uttalanden han gjorde i början av november om nationell incidentrapportering är däremot välkommet. Det låter som om detta verkligen är på gång, pådrivet av NIS-direktivet. Kanske kommer MSB:s rapport Nationellt system för it-incidentrapportering att dammas av? Om jag vore en cyniker så skulle jag dock tro att man i stället börjar om med en ny utredning...

Jag tror det är bra med en samordnad koll på incidenter och hot mot samhällsfunktioner, för i dag brister detta grovt med försämrad säkerhet som resultat. Utmaningarna för att få organisationen på plats är dock stora och det finns en del frågor. Kommer det att gälla endast offentlig verksamhet eller, som Ygeman antytt tidigare, även för privata företag? Kommer det att kunna skapas en tillit till den nya organisationen (var den nu hamnar) så att känsligt material verkligen kan samlas där? Och kommer de att ha förmågan att sammanställa materialet till något praktiskt användbart? Jag är hoppfull, men skeptisk.

4

Såg precis en artikel i DN om att Datainspektionen ska granska övervakning via mobilen. Att spåra människor och beteenden i t.ex. köpcentrum är inget nytt, men när leverantören Bumbee Labs hävdar att det aktuella systemet kallat IOPS "inte hanterar några personuppgifter utan att signalerna är helt avidentifierade" så blir jag lite nyfiken. Hur avidentifieras signalerna, frågar sig vän av ordning.

Det fina är att det tydligen finns en förening med namn DFRI som tidigare haft lite invändningar mot anonymiteten i IOPS, och att Bumbee Labs faktiskt svarat ganska utförligt på dessa invändningar.

Utdrag ur Bumbee Labs förklaring av anonymiteten i IOPS:

"Så fort en MAC adress dyker upp i IOPS Wi-Fi nätverket så krypteras den om till en så kallad HASH kod. Efter detta raderas den ursprungliga MAC adressen. Denna nya HASH kod kan aldrig återskapa den ursprungliga MAC adressen. Detta innebär att vi endast räknar passager av HASH koder och ingen kan någonsin återskapa den ursprungliga MAC adressen i våra system. Inte ens Polisen."

Samt:

"Summan blir då att IOPS helt avidentifierat och anonymt räknar besök av HASH koder och dessa är helt tekniskt omöjligt FÖR OSS att koppla ihop med en fysisk person, något telefonnummer eller liknande. Vi får då helt anonym statistik, vilket också är syftet med IOPS."

Jag har markerat en del med rött för jag tycker det är en lämplig färg. Argumentationen för anonymiteten i systemet bygger på användningen av en envägsfunktion och att MAC-adresser inte lagras i systemet, men detta håller inte. MAC-adressen är lätt att återskapa från hash-koden som lagras. Eftersom det finns en begränsad mängd möjliga MAC-adresser så är det inga större problem att gå igenom alla dessa om man är ute efter att härleda en specifik MAC-adress. Detta tar antagligen endast några sekunder med rätt utrustning.

(Exempel: Det finns i teorin 2^48 möjliga MAC-adresser, det är rätt många, närmare bestämt 281.474.976.710.656 stycken. Få av dessa är dock i bruk. Dagsnoteringen är att 20272 st 24-bitars OUI:s är officiellt registrerade1, vilket ger 2^24*20272=340.107.722.752 möjliga MAC-adresser i användning, motsvarande 0,12 % av det totala utrymmet. Endast en bråkdel används av mobiltillverkare, men samtidigt används även ej registrerade adresser i praktiken, så låt oss ändå för enkelhetens skull anta att just 340.107.722.752 st är i bruk (faktiskt antal spelar egentligen ingen större roll). Säg att vi är intresserade av en specifik hash-kod som lagrats i systemet, hur lång tid skulle det ta att räkna ut den MAC-adress som den hör till? Låt säga att någon (t.ex. Polisen som omnämns ovan) har tillgång till ett kraftfullt men helt normalt datorsystem (ex PC4 från http://hashcat.net/oclhashcat/) för knäckning av hash-koder, och säg att IOPS har använt en SHA1-hash. Då tar det som längst 11,34 sekunder och i snitt bara hälften av denna tid att räkna ut tillhörande MAC-adress. IOPS kan ha använt en långsammare hash-funktion och möjligen tillfört andra fix och trix (salt är dock inte användbart) som slöar ner beräkningarna, men det är irrelevant. MAC-adressen går att återskapa utan större besvär.)

Jag hoppas att Datainspektionen inte väljer se denna hash som en anonym identifierare på det sätt som Bumbee Labs hävdar, för det är den alltså inte. MAC-adresser lagras i praktiken i systemet även om de är förvrängda. Hur vida en MAC adress kan vara en personuppgift är dock en annan fråga, och det är detta som DI behöver fundera på. En parameter som kanske kan påverka denna bedömning är att MAC-adresser ingår som en komponent av IPv6-adresser, och att IP-adresser kan vara personuppgifter har Datainspektionen redan slagit fast. När användningen av IPv6 ökar och NAT minskar så kommer anonymiteten att radikalt försämras.

Hittade ett relaterat dokument om WiFi-åtkomstpunkter, "Yttrande 13/2011 om geografiska lokaliseringstjänster på smarta mobila anordningar" från Arbetsgruppen för skydd av personuppgifter inom EU, med en del intressanta skrivningar:

"Smarta mobila anordningar är oskiljaktigt knutna till fysiska personer. Det finns normalt både direkt och indirekt identifierbarhet." (s. 10)

"Alla smarta mobila anordningar har minst en unik identifierare, dvs. MAC-adressen. [...] Det är möjligt att identifiera anordningens ägare, särskilt med upprepade iakttagelser."  (s. 10)

"Enligt arbetsgruppens yttrande 4/2007 (WP 136) om begreppet personuppgifter bör mot ovanstående bakgrund även begreppet unik identifierare noteras, vilket gör det möjligt att spåra en användare av en specifik anordning och följaktligen kunna ”särskilja” användaren även om hans/hennes riktiga namn inte är känt." (s. 10)

"EU:s rättsliga ram för användningen av geografiska lokaliseringsuppgifter från smarta mobila anordningar är främst direktivet om skydd av personuppgifter. Lokaliseringsuppgifter från smarta mobila anordningar är personuppgifter." (s. 20)

"Balansen mellan den registeransvariges rättigheter och den registrerades rättigheter kräver att den registeransvarige erbjuder användarna rätten att enkelt och permanent välja bort att vara med i databasen (opt-out), utan krav på ytterligare personuppgifter." (s.21)

"Om operativsystemets utvecklare och/eller den registeransvarige för infrastrukturer för geografisk lokalisering behandlar ett unikt nummer, som en MAC-adress eller en UDID i samband med lokaliseringsuppgifter, får det unika identifieringsnumret endast lagras i högst 24 timmar, för operativa ändamål." (s. 21-22)

Skulle kännas mycket märkligt om inte DI också landar i att MAC-adresser kan vara personuppgifter, och det blir intressant att se vad konsekvensen blir av detta!

Tillagt 2015-01-28: Artikel om detta hos IDG. Bra kommentarer av Markus Bylund, SICS.

1

Aktuell status för införande av HTTPS på de största nyhetssajterna i landet:

andel-nyhetssajter-https-2015-01-17

Det är ju lätt att säga noll procent men ett diagram gör det hela så mycket tydligare. 🙂 Hoppas nu att det blir förbättringar under 2015!

Notering: DN och Expressen har HTTPS men certifikaten är utfärdade till Akamai. 🙁 Aftonbladet har fungerande certifikat, men omdirigerar HTTPS till HTTP. 🙁

Tack för tips och empiriskt data @reuteras:

Data från 2013: https://reuteras.wordpress.com/2013/01/06/tidningar-lankar-robots-txt-och-https/

Tillagt 2015-01-24, länkar att testa:

Aktuellt kl 21 i kväll frågade ”Hur stort är hotet [från terrorister] mot Europa i dag?”. Hans Brun, terrorismforskare vid King's College svarar att ”Säpo […] har sagt sedan hösten 2010 att det finns ett förhöjt hot mot både Sverige och Europa, och den bedömningen tycker jag är både realistisk ganska sansad”. Han lägger även till att ”Problemet är att det räcker med att en eller två personer bestämmer sig för att göra någonting i Europa för att de ska få katastrofala konsekvenser”, och att ”Det finns ett ganska konkret hot”.

Om man nu tittar på Aktuellt för att lära sig något, vad ska man då tro? Ordet "förhöjt" säger ingenting om nivån vi kom ifrån eller ligger på, så den första utsagan bortser jag ifrån. Däremot har vi faktiskt fått fram sannolikheten (typ) "ganska konkret hot" och konsekvensen "katastrof". Där finns kanske lite att jobba vidare med...

Terrorism vore inte terrorism om den inte försökte störa demokratin och injaga fruktan, men om man i stället snävar ner konsekvensfrågan till död, hur stort är då hotet? Hur man än skulle räkna är risken att drabbas minimal om man ställer det i relation till andra vardagliga risker som t.ex. hala badkar och bilåkning.

Problemet är att om det är något som injagar fruktan så är det att svepande prata om katastrofala konsekvenser och ökade hot utan att relatera till något konkret och helst kvantifierbart.

Bristen på underlag till rationella beslut igen känns igen allt för ofta inom informationssäkerhetsområdet.

DN skriver att cyberhoten ökar mot svensk industri. Belägg för detta i texten:

  • Ett handplockat fall i Tyskland.

Tyvärr inget mer. En röst på FOI säger även att intresset för styrsystem har ökat inom "hackercommunityt". Mycket möjligt, antagligen troligt, men om intresset nu leder till hot, till vilken nivå har hoten (riskerna) ökat, och vad baseras detta på för underlag? Sony-hacket tas också upp, detta är dock inte relaterat till styrsystem.

Yttrande:

  • Argumentationen bygger på "cherry picking".
  • Vad vi har att göra med är klassisk "fear mongering".
  • Brister är inte hot!

Som tillägg kan nämnas att CERT-SE (MSB) har hanterat cirka en (1) incident under de senaste två åren som relaterar till SCADA. (Jag ber att få återkomma till denna siffra i senare inlägg.) Nu ger inte data från CERT-SE en samlad bild av problematiken, men jag tycker det är lite intressant ändå.

Tyvärr kan man väl inte lära sig något mer av detta än att det är uppenbart att det behövs bättre underlag för att bedöma eventuella risker.

Läste just http://www.idg.se/2.1085/1.601473/framtidens-malware-kan-sanka-samhallet

Sammanfattning: Framtidens malware ska hanteras med gårdagens kontroller och med 1900-talsteknik, säger experter.

Alltså, jag menar inte att det är inte fel på gårdagens kontroller, de är bra! Om vi gör det vi visste om och borde ha gjort redan för 10-15 år sedan så kan vi sova både gott och länge.

Jag ser dock inte några argument, i artikeln eller annorstädes, som övertygar mig om att vi står inför ett paradigmskifte. Moln, mobilitet, diskmaskiner med bitcoin miners..., det ger oss inte några fundamentalt nya utmaningar. Vilket jag alltså anser bekräftas av att råden som ges i artikeln kunde ha skrivits för mycket länge sedan.

Jag tror att det som behövs mest i säkerhetsbranschen är att inte glömma bort gammal kunskap, samt noggrannhet och analys.

Bristen på empiriska data beträffande it-incidenter i samhället försvårar det systematiska arbetet med samhällets informationssäkerhet. -MSB

Inrikesminister Anders Ygeman har reagerat1 på den senaste tidens rapporterade IT-incidenter och vill utreda frågan om rapporteringsskyldighet. Det behövs kanske inte för MSB har redan gjort detta2.

Inrikesministern överväger en tvingande rapporteringsskyldighet både för myndigheter och företag. Bättre att gå på MSB:s linje med tvång för statliga myndigheter och frivillighet för övriga organisationer, så länge det inte handlar om tjänsteleverantörer till det allmänna.

Kul tajming eftersom jag här om dagen skrev att just bristen på dessa empiriska data hindrar en vettig utvärdering av MSBFS 2009:103.