Hvordan man skriver et godt risikoscenarie?

Skrevet af Frederik Thygesen
18.07.2022

Hvis du er IT-ekspert og bliver bedt om at estimere, har du måske oplevet frustrationen ved at skulle estimere på baggrund af dårligt formulerede scenarier. Hvis du er risk manager og har skullet opbygge et risikoregister, har du måske også oplevet, at det kan være slidsomt at opbygge et konsistent og dækkende risikoregister. 

Mange virksomheder har eller forsøger at opbygge gode risikoregistre. Vi ser mange ærlige, men dårligt udførte forsøg, hvorfor en artikel om emnet er relevant.  

Hvad er et risikoscenarie? Det er en prosaisk beskrivelse af en fremtidig hændelse, som kan medføre tab for virksomheden. En samling af disse risikoscenarier er det, vi forstår som et risikoregister. 

Den prosaiske beskrivelse skal opfylde en række mindstekrav for at være et godt risikoscenarie. Det skal indeholde information nok til at man kan estimere på det, på en entydig måde. Opfylder scenariet ikke mindstekravene vil man opleve problemer i hele analysen. 

Detaljeringsgrad i scenariet

Risikoscenarier kan variere i detaljer, alt efter hvad risikovurderingen skal bruges til. Et smalt scenarie beskriver en detaljeret hændelse, en detaljeret trussel (inkl. en meget specifik beskrivelse af hændelsesforløbet og angrebsteknik) og en detaljeret beskrivelse af konsekvensen ved hændelsen.

Hvis man derimod ønsker et overblik over mange forskellige risici, så skal man arbejde med brede scenarier. På den måde ser man risikobilledet samlet, og får et udgangspunkt for at foretage mere specifikke analyser på bestemte områder. 

Opbygningen af scenariet

Hvilke informationer skal et risikoscenarie indeholde? 

Et risikoscenarie skal indeholde en beskrivelse af noget negativt, der kan ske inkl. den konsekvens, man forestiller sig, hændelsen har. Et risikoscenarie skal bestå af: Trussel + Aktør + Aktiv + Konsekvens. 

Lad os se på tre eksempler:

  1. Utilstrækkeligt patchniveau på server A
  2. ”Massivt databrud”
  3. ”Hændelse hvor ekstern ondsindet foretager et cyberangreb vha teknikken phishing, hvilket afstedkommer at følsomme persondata i CRM-systemet mister sin fortrolighed”

Kan du gætte hvilket eksempel der er et godt risikoscenarie? Lad os se på dem en ad gangen.

Eksempel 1 – ”Utilstrækkeligt patchniveau på server A

Det er tydeligt, at eksemplet ikke opfylder kravene for at være et risikoscenarie. Det beskriver en sårbarhed (ikke en trussel) på server A og mangler både en trussel, aktør og konsekvens.

Eksemplet beskriver en tilstand ved aktivet (server A), som kan resultere i en hændelse, hvis den udnyttes, men man vil ikke kunne svare på spørgsmålet: ”Hvad er det mulige tab for utilstrækkeligt patchniveau på server A?”

Hvis en respondent i en risikovurdering bliver ved med at svare: “Det kommer an på…”, så ved du, at dit risikoscenarie er tvetydigt og mangler væsentlige elementer, før man kan svare. 

Eksempel 2 – ”Massiv databrud”

Det er heller ikke i nærheden af at være et risikoscenarie. Det beskriver en konsekvens, men der er hverken aktør, aktiv eller trussel i det. Vi ved ikke, hvor databruddet rammer og hvilke data der bliver ramt. Er det anonymiserede logs over fysiske adgangskort, eller er det kundedata med henvisninger til personfølsomme data for hver kunde? Der er stor forskel på, hvordan en respondent vurderer konsekvensen alt efter om det er det ene eller andet.

Eksempel 3 – ”Hændelse hvor ekstern ondsindet foretager et cyberangreb vha. teknikken phishing, hvilket afstedkommer, at følsomme persondata i CRM-systemet mister sin fortrolighed”

Nu ligner det noget. Scenariet opfylder kravene:

  • Aktør = Ekstern ondsindet aktør
  • Aktiv = Følsomme persondata i CRM-systemet
  • Trussel = Cyberangreb vha. teknikken phishing
  • Konsekvens = Mistet fortrolighed af de følsomme persondata i CRM-systemet

Fremgangsmåde ved opbygning af scenarier

Der er mange måder, man kan arbejde med sine scenarier på. Vi vil foreslå den følgende 6-trins fremgangsmåde. 

  1. Opstil en liste med dine aktiver. Tag kun aktiver med, som du intuitivt ved, har værdi for virksomheden. 
  2. Opstil en liste med dine trusler. Tænk ikke på, hvad der er muligt, men hvad der er sandsynligt. 
  3. Forbind dine aktiver med dine trusler, og specificer med hvilken konsekvens, truslen påvirker dit aktiv. 
  4. Fjern irrelevante kombinationer, og læg scenarier sammen der, hvor en trussel har samme konsekvens på tværs aktiver. 
  5. Formuler scenarier klart og forståeligt med anvendelse af udtryk som ”Hændelse hvor [INDSÆT TRUSSEL] påvirker [INDSÆT AKTIV] på en sådan måde at [INDSÆT KONSEKVENS]”.
  6. Gennemarbejd formuleringerne, så scenarierne bliver genkendelige i virksomheden.

Opsummering 

Et risikoscenarie skal indeholde tilstrækkelig information til at besvare spørgsmål omkring muligt tab og sandsynlighed. Mindstekravet for scenarier er, at de skal beskrive hvad, der bliver ramt, og med hvilken konsekvens,det bliver ramt. Et godt scenarie består af Trussel + Aktør + Aktiv + Konsekvens.

Øger vi detaljeringsgraden for aktiver og/eller trusler, stiger antallet af scenarier drastisk. Det er en balance, og vi skal forsøge at skabe et antal scenarier, som muliggør en ordentlig og grundig analyse. Man kan altid dekomponere sine scenarier yderligere, men man skal sætte grænsen et sted for ikke at ende med en uendelig liste af risikoscenarier, som man ikke har ressourcerne til at analysere.

Fortsæt læsningen her

ISO 27005 Is Wrong About Quantitative Risk

ISO 27005 Is Wrong About Quantitative Risk

The International Standards Organization recently published an updated version of their guidance for information security risk management, but they have missed the mark entirely on quantitative...

NIS2 er vedtaget, hvad betyder det?

NIS2 er vedtaget, hvad betyder det?

NIS2 trådte den 16. januar 2023 i kraft. NIS2 (Network and Information Systems Directive) er et EU-direktiv, der har til formål at øge IT-sikkerheden i EU. Dette skal herefter implementeres i de 27...