Skal man arbeide med risiko, er vurdering av sannsynlighet både nødvendig og uunngåelig, skriver Difis seksjonssjef. (Foto: PantherMedia/Sergey Nivens)

KOMMENTAR: Begrepsforvirring

Risikovurdering uten sannsynlighet gir ingen mening

KOMMENTAR: Er det slik at enkelte hendelser knyttet til informasjonssikkerhet er så usannsynlige at det er umulig å estimere sannsynlighet? Eller er sannsynlighetsestimat helt grunnleggende for å vurdere risiko?

Lillian Røstad er seksjonssjef ved Difis seksjon for informasjonssikkerhet, førsteamanuensis II ved NTNUs Institutt for datateknikk og informasjonsvitenskap, samt styreleder i Norsk Informasjonssikkerhetsforum (ISF).
Lillian Røstad er seksjonssjef ved Difis seksjon for informasjonssikkerhet.
Tirsdag forrige uke, på FFI-forum, presenterte Forsvarets Forskningsinstitutt rapporten «Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger». En «tilsiktet uønsket handling» er når noen angriper deg med overlegg.

Når vi gjør risikovurderinger for IT-systemer forholder vi oss gjerne til både tilsiktede og utilsiktede handlinger.

Utfordringen er at vi for å vurdere totalrisiko, må gjøre en samlet risikovurdering for alle typer uønskede handlinger, både angrep og andre uønskede hendelser. Bare på den måten får vi en oversikt som gir grunnlag for god risikostyring. Bare på den måten får vi til å kommunisere risiko helhetlig.

Les også: Hvis døra står åpen betyr brannmuren ingenting

Omdiskutert tema

I sikkerhetsfagmiljøet i Norge har man over lengre tid diskutert hvordan man skal gjøre risikovurderinger, og spesielt hvordan man estimerer sannsynlighet.

En del har ment at det er helt umulig å estimere sannsynlighet for en del «tilsiktede uønskede handlinger».

Argumentasjonen har vært at det er umulig å estimere frekvens. Det er misforståelse nummer én: man forutsetter at sannsynlighet kun kan uttrykkes som frekvens. FFI-rapporten inneholder et sitat fra Professor Terje Aven som uttrykker dette godt:

«Sannsynlighet er ikke bare én ting. Det er i alle fall to fundamentale forskjellige ting – kunnskapsbaserte sannsynligheter som uttrykker usikkerhet og trolighet til den som gjør vurderingen – og frekvenssannsynligheter. For å kunne ha en ordentlig diskusjon må denne forståelsen være på plass.»

Les også: Du kommer ingen vei uten IT-fiaskoer

Risikotrekant

Mangel på denne forståelse som Aven etterlyser, ser ut til å være utbredt. Fordi sannsynlighetsbegrepet er vanskelig å forholde seg til har man innført en alternativ modell. Man snakker ikke om risiko uttrykt som en kombinasjon av sannsynlighet og konsekvens, som er den internasjonal anerkjente metoden og som også er lik på tvers av fagområder.

Man sier heller at risiko er et uttrykk for forholdet mellom trusselen mot en verdi, og denne verdiens sårbarhet ovenfor trusselen. Kombinasjonen av trussel, verdi og sårbarhet kalles gjerne risikotrekanten.

Difi har i flere sammenhenger, senest i arbeidet med standardene NS5831 og NS5832, uttrykt vår uenighet med denne tilnærmingen. I tilfellet med NS5832-standarden, som ble publisert i fjor, resulterte diskusjonene i at gruppen som arbeidet med standarden fant opp et helt nytt begrep: «sikringsrisikovurdering». Men, å innføre enda et begrep for noe man ikke helt forstår, bidrar ikke til å oppklare forvirringen.

Vi velger igjen å sitere Professor Aven i FFI-rapporten:

«Veldig mange henger fast i en naturvitenskapelig tankegang som vi i risikoanalysefaget har forlatt. Innen security-feltet har en begrenset med data og man kan ikke si noe med 100 % sannsynlighet om fremtiden. Jeg tror det er derfor vi misforstår hverandre. Jeg snakker ikke om matematisk eller statistisk sannsynlighet, jeg snakker om subjektive sannsynligheter.»

Et spørsmål verdt å stille seg er om disse to tilnærmingene egentlig er så ulike. Eller handler risikotrekanten om å bryte ned sannsynlighetsbegrepet, slik at det man egentlig gjør også der er en vurdering av sannsynlighet.

Les også: Hva er digital ledelse?

Ikke egen planet

Problemet er ikke at de forskjellige miljøene tenker så ulikt. Problemet oppstår når man forsøker å gjøre sikkerhetsfaget til noe som er så spesielt at det i praksis blir en egen planet.

En slik tilnærming betyr at informasjonssikkerhet er noe som få forstår og som derfor i liten grad kan sammenstilles med risikotenking på andre områder.

Skal man arbeide med risiko, er vurdering av sannsynlighet både nødvendig og uunngåelig. Og, trusler, verdier og sårbarheter har til alle tider vært en del av det man vurderer for å beregne risiko. Det er den forståelsen vi trenger også på området informasjonssikkerhet. Dette faget er ikke, og skal ikke være, en egen planet med sin helt unike virkelighet.

Les også: De fleste dataangrep er uhell

Til toppen