Hvordan man skriver et godt risikoscenarie?

Skrevet af: Frederik Thygesen
18.07.2022

Hvis du er IT-ekspert og bliver bedt om at estimere har du måske oplevet frustrationen ved at skulle estimere på baggrund af dårligt formulerede scenarier. Hvis du er risk manager og har skullet opbygge et risikoregister har du måske også oplevet at det kan være slidsomt at opbygge et konsistent og dækkende risikoregister. Mange virksomheder har eller forsøger at opbygge gode risikoregistre. Vi ser mange ærlige, men dårligt udførte forsøg, hvorfor en artikel om emnet er relevant.

Hvad er et risikoscenarie? Det er en prosaisk beskrivelse af en fremtidig hændelse som kan medføre tab for virksomheden. En samling af disse risikoscenarier er det vi forstår som et risikoregister. Den prosaiske beskrivelse skal opfylde en række mindstekrav for at være et godt risikoscenarie. Det skal indeholde information nok til at man kan estimere på det, på en entydig måde. Opfylder scenariet ikke mindstekravene vil man opleve problemer i hele analysen.

 

Detaljeringsgrad i scenariet

Risikoscenarier kan være varierende detaljerede, alt efter hvad risikovurderingen skal bruges til. Man kan opstille et smalt scenarie som beskriver en detaljeret hændelse, en detaljeret trussel (inkl. en meget specifik beskrivelse af hændelsesforløbet og angrebsteknik) og en detaljeret beskrivelse af konsekvensen ved hændelsen. Hvis man derimod ønsker et overblik over mange forskellige risici, så skal man arbejde med mere brede scenarier. På den måde ser man risikobilledet samlet og får et udgangspunkt for at foretage mere specifikke analyser på bestemte områder.

 

Opbygningen af scenariet

Hvilke informationer skal et risikoscenarie indeholde?

Et risikoscenarie skal indeholde en beskrivelse af noget negativt der kan ske inkl. den konsekvens man forestiller sig hændelsen har. Et risikoscenarie skal bestå: en trussel + en aktør + et aktiv + en konsekvens.

Lad os se på tre eksempler:

  1. Utilstrækkeligt patchniveau på server A
  2. ”Massivt databrud”
  3. ”Hændelse hvor ekstern ondsindet foretager et cyber angreb vha. teknikken phising hvilket afstedkommer at følsomme persondata i CRM-systemet mister sin fortrolighed”

Har du et bud på hvilken af de tre eksempler der er et godt risikoscenarie? Lad os se på dem en ad gangen.

Eksempel 1 – ”Utilstrækkeligt patchniveau på server A

Det er tydeligt at eksemplet ikke opfylder kravene for at være et risikoscenarie. Det beskriver en sårbarhed (ikke en trussel) på server A og mangler både en trussel, aktør og konsekvens.

Eksemplet beskriver en tilstand ved aktivet (server A), som kan resultere i en hændelse hvis den udnyttes, men man vil ikke kunne svare på spørgsmålet: ”Hvad er det mulige tab for utilstrækkeligt patchniveau på server A?”

Billedtekst: Hvis en respondent i en risikovurdering bliver ved med at svare: “Det kommer an på…”, så ved du at dit risikoscenarie er tvetydigt og mangler væsentlige elementer førend at man kan svare.

Eksempel 2 ”Massiv databrud”

Det er heller i nærheden af at være et risikoscenarie. Det beskriver en konsekvens, men der er hverken aktør, aktiv eller trussel i det. Vi ved ikke noget om hvor databruddet rammer og hvilke data der bliver ramt. Er det anonymiserede logs over fysiske adgangskort eller er det kundedata med henvisninger til personfølsomme data for hver kunde? Der er stor forskel på hvordan en respondent vurderer konsekvensen alt efter om det er det ene eller andet.

Eksempel 3”Hændelse hvor ekstern ondsindet foretager et cyber angreb vha. teknikken phishing hvilket afstedkommer at følsomme persondata i CRM-systemet mister sin fortrolighed”

Nu ligner det noget. Scenariet opfylder kravene:

  • Aktør = Ekstern ondsindet aktør
  • Aktiv = Følsomme persondata i CRM-systemet
  • Trussel = Cyberangreb vha. teknikken phishing
  • Konsekvens = Mistet fortrolighed af de følsomme persondata i CRM-systemet

 

Fremgangsmåde ved opbygning af scenarier

Der er mange måder man kan arbejde med sine scenarier på. Vi vil foreslå følgende 6-trins fremgangsmåde.

  • Opstil en liste med dine aktiver – Tag kun de aktiver med som du intuitivt ved, har værdi for virksomheden.
  • Opstil en liste med dine trusler – Tænk ikke på hvad der er muligt, men mere hvad der er sandsynligt.
  • Forbind dine aktiver med dine trusler og specificer også med hvilken konsekvens truslen påvirker dit aktiv.
  • Fjern irrelevante kombinationer og læg scenarier sammen der hvor én trussel har samme konsekvens på tværs aktiver.
  • Formuler scenarier på godt dansk med anvendelse af udtryk som ”Hændelse hvor [INDSÆT TRUSSEL] påvirker [INDSÆT AKTIV] på en sådan måde at [INDSÆT KONSEKVENS]”.
  • Gennemarbejd formuleringerne således at scenarierne bliver genkendelige i virksomheden.

 

Opsummering

Et risikoscenarie skal indeholde tilstrækkelig information til at besvare spørgsmål omkring muligt tab og sandsynlighed. Mindstekravet for scenarier er at de skal beskrive hvad der bliver ramt og med hvilken konsekvens det bliver ramt. Et godt scenarie består af en trussel + en aktør + et aktiv + en konsekvens.

Øger vi detaljeringsgraden for aktiver og/eller trusler stiger antallet af scenarier drastisk. Det er en balance og vi skal forsøge at skabe et antal scenarier som muliggør en ordentlig og grundig analyse. Man kan altid dekomponere sine scenarier yderligere, men man skal sætte grænsen et sted for ikke at ende med en uendelig liste af risikoscenarier som man ikke har ressourcerne til at analysere.

Opbygningen af risikoscenarier er blot en af flere dicipliner i risikostyring, som vi vil behandle. 

Så, Stay Tuned.

Fortsæt læsningen her

Risikoappetit – hvorfor og hvordan?

Risikoappetit – hvorfor og hvordan?

En dygtig offshore ingeniør som jeg samarbejdede med, gav mig et meget konkret eksempel på anvendelse af risikoappetit. Højden på en boreplatform sættes efter lovgivning og standarder men også efter...