- Oppslagene om hackerangrep på Nobelinstituttets hjemmesider og lekkasjer fra Regjeringens datanettverk gir inntrykk av at vi står avmektige overfor sikkerhetstrusler, til tross for at problemet er kjent.
Men det finnes metoder for å avdekke sikkerhetshull i egne prosedyrer og datasystemer. Problemet er at mange ikke bryr seg om sikkerhet før etter at denne typen sikkerhetsbrudd har blitt kjent, sier sjefsforsker Ketil Stølen i SINTEF IKT (bilde).
Han lanserer i disse dager en bok om risikoanalyse i praksis, sammen med kollegaene Bjørnar Solhaug og Mass Soldal Lund. Metodene og verktøyene som presenteres i boka "Model-Driven Risk Analysis - The CORAS Approach", kan hjelpe sikkerhetsansvarlige i jakten på sikkerhetshull. 10-års forskning og en rekke prosjekter ligger bak utviklingen av CORAS-metoden.
Stølen mener eksponering for risiko er uunngåelig i dagens samfunn, både for enkeltindivider, næringsliv og offentlige virksomheter.
- Risikoanalyse er selve kjernen i å avdekke og håndtere sikkerhetsrisikoer. De tilgjengelige ISO-standardene for sikkerhets- og risikoanalyse (ISO/IEC 27005:2008 og ISO 31000:2009) gir sikkerhetsansvarlige i næringslivet og det offentlige et rammeverk for analyse og håndtering av risiko, men forteller ikke hvordan det skal gjøres i praksis.
I denne boken presenteres metoder, risikomodelleringsteknikker, retningslinjer og verktøy for å gjennomføre risikoanalyse, samt å kunne oppdatere og vedlikeholde resultatene av analysen over tid. Verktøyet er gratis og kan lastes ned fra vår hjemmeside, forteller Stølen.
- Innen sikkerhetskritiske systemer slik som drift av oljeplattformer og jernbane, har man lange tradisjoner for å foreta risikoanalyse. Disse metodene ser typisk på muligheten for at feil i enkeltkomponenter kan føre til uønskede hendelser.
Men IT-baserte systemer krever en annen tilnærming. Programvare blir ikke slitt på samme måte som fysiske komponenter, men kan ha programfeil eller være dårlig designet.
Mange sikkerhetsbrudd skyldes dessuten menneskelige feil. For å avdekke sikkerhetsrisikoer ved for eksempel offentlige datanettverk holder det ikke å se kun på systemet. Man må vurdere prosedyrene for bruk av systemet, og menneskene som bruker dette. CORAS-metoden gjør bruk grafiske modeller til å beskrive alle sikkerhetsrelevante aspekter ved et system, inkludert dets brukere, sier Stølen.