For organisationer med mange (adskillige hundreder) systemer kan kvantitativ IT-risikostyring være at sammenligne med vinduespudseren, der bliver bedt om at pudse FN’s hovedkvarter i New York. Han bliver aldrig færdig, før de første vinduer trænger igen.
Processen med kvantitativ risikovurdering, som involverer et stort antal systemer og dermed respondenter, er tæt på uoverkommelig. Udfordringen medfører, at man enten undlader at gøre forsøget eller går til kvalitative metoder, som nok er hurtige, men problematiske af de grunde vi har nævnt i en række indlæg her.
Forestil dig følgende situation:
- Din organisation har 100 IT-systemer.
- Hvert system vurderes at kunne udsættes for 10 trusler.
- Hver aktiv-trussel kombination har 3 mulige konsekvenser med individuelle tabsfordelinger.
Denne situation giver 3.000 scenarier (100 x 10 x 3), som i en kvantitativ vurdering skal estimeres og beregnes. Omvendt vil en kvalitativ tilgang betyde, at man beder respondenterne om at indplacere hvert scenarie i et 5×5-heatmap. Det kræver trods alt ressourcer, og resultatet er ubrugelig analyseplacebo. Hvad gør vi?
Forestil dig, at vi kunne udvikle en estimeringsrobot, som vi kan påvirke med en række grundlæggende antagelser og datapunkter om hvert IT-system, hvorefter robotten udregner risikobilledet selv. Forestil dig yderligere, at den kan gøre det med så høj kvalitet og hastighed, at du kan bruge resultatet som beslutningsstøtte i realtid.
Anvendelse af en robot til bestemmelse af sandsynlighed og tab
Anvendelse af statistisk regressionsanalyse (det lyder svært, men er en standard-funktion i Excel) er effektiv for analyser, hvor usikkerheden og mængden af estimater er store. I en analyse med mange systemer og med individuelle sikkerhedsindstillinger, som alle kan påvirkes af flere typer hændelser, kan vi med fordel udarbejde en estimeringsrobot (LENS-model udviklet af Egon Brunswik og bl.a. beskrevet af Douglas Hubbard og Richard Seiersen i ”How to Measure Anything in Cybersecurity Risk”).
Formålet er at lade de respondenter, som tidligere ville være trukket igennem smertefulde estimeringsprocesser, alene bestemme indstillingerne for deres systemer. Dette gør de typisk med meget mindre usikkerhed, end hvis de spørges ind til sandsynlighed eller konsekvens ved en række scenarier. Vi spørger f.eks., om systemet har implementeret multi-faktor-godkendelse (kendt som MFA). Systemejeren ved det med sikkerhed, og datapunktet har høj kvalitet.
Med udgangspunkt i et system, hvor vi kender systemets egenskaber, kan modellen afgive estimaterne for sandsynligheden og tabet ved forskellige scenarier. En positiv sideffekt er, at de modellerede estimater er bedre end de estimater, som de enkelte systemejere ville afgive hver for sig. Grunden hertil er, at modellen kan fjerne den inkonsistens, som respondenter typisk påfører risikovurderingen. Inkonsistens i eksperters besvarelser er velbeskrevet af bl.a. Daniel Kahneman i bogen ”Thinking Fast and Slow”.
Opbygningen af en estimeringsrobot følger følgende overordnede faser:
- Identificering og kalibrering af de relativt få eksperter, der skal deltage i afgivelse af pålidelige estimater.
- Identificering af de egenskaber, der er relevante for vurdering af sandsynligheden og tabet ved cyberhændelser rettet mod systemerne.
- Udvælgelse af risikoscenarier for de enkelte systemer ud fra en vurdering af deres egenskaber.
- Estimeringsfasen hvor eksperterne foretager en estimering af sandsynligheden og tabet for de udvalgte scenarier.
- Analysefasen hvor der gennemføres en logistisk regressionsanalyse ved at bruge gennemsnittet af ekspertestimater som den afhængige variabel, og input til eksperterne som den uafhængige variabel. Vi fjerner her den støj, som menneskelig inkonsistens giver.
- Resultatfasen, hvor der uddrages den bedst egnede formel som den logistiske regression for både sandsynlighed og tab.
Kan du se det for dig? Vi får en mindre gruppe udvalgte og kalibrerede eksperter til afgive estimater, der afhænger af systemernes egenskaber. Disse estimater er af god kvalitet, når vi har fjernet den støj, som typisk opstår i forbindelse med alle menneskelige vurderinger. Nu kan vi skalere til et stort antal individuelle systemer med forskellige egenskaber.
Vi var slået bagover
ACI havde fornøjelsen at få lov til at arbejde med denne model sammen med en meget stor dansk spiller i den finansielle sektor. Vi var, hvis jeg skal sige det mildt, rimeligt begejstrede over at se modellen i funktion. Systemejerne afgav deres besvarelse af systemernes sikkerhedsindstillinger, vi trykkede på knappen og fik et datasæt, der kunne indgå i en simulering. Med simuleringen kunne vi præsentere nøgletal, som styregruppen umiddelbart kunne forholde sig til. På grund af anvendelse af LENS-modellen kunne vi gå til justering og validering mange uger før, det ellers havde været muligt.
Et andet bemærkelsesværdigt resultat var en besvarelsesprocent hos systemejerne, der var steget kraftigt på grund af et mere tilgængeligt og en hurtigere overstået spørgeskemaundersøgelse.
Vi husker naturligvis, at ”alle modeller er forkerte, men nogle er mere rigtige end andre”. Hvis vi løbende kalibrerer modellen op mod virkeligheden, bliver det ret godt. Vi er ikke i tvivl om, at disse modeller er fremtiden for risikovurderinger i miljøer med mange systemer.
Vores Quantitative Assessment Platform (QAP), som vi udvikler i samarbejde med vores kunder, kommer til at indeholde faciliteten out-of-the-box.
Stay tuned.