Om du har några år i branschen har du troligen hört begreppen kvantitativa och kvalitativa riskanalyser. Innan du går vidare skulle jag vilja att du mentalt förklarar för dig själv vad skillnaden är mellan dessa två begrepp. Vänta 1 minut, tänk efter, beskriv för dig själv med ord, läs vidare. Kan det vara så att du beskriver skillnaden något i stil med följande:

Jag tänker att kvantitativa riskanalyser använder siffror och räknar fram risk. Kvalitativa riskanalyser handlar mer om känsla, hur personer bedömer risken, och placerar riskerna som hög, medel eller låg.

Ungefär så? Du använde kanske några andra ord, men du beskriver skillnaden som att kvantitativa riskanalyser är objektiva och kvalitativa är subjektiva? Någonstans i den där beskrivningen skulle jag misstänka att en majoritet landar när skillnaden beskrivs mellan dessa begrepp.

Detta är ytterligare en konstighet i det arbete vi gör med riskanalyser. Den första skrev jag om för ett tag sedan och den innebar att vi försöker multiplicera ordningstal. (Hint: Det går inte!).

Så vad handlar det här om då? Idag handlar det om fundamental begreppsförvirring. Välkommen till ytterligare en tokighet.

TL;DR – Då ska du komma ihåg det här

Du säger kvalitativ riskanalys, men du menar högst troligen en subjektiv kvantitativ riskanalys. Bara för att du använder ordningstal (hög, medel, låg) innebär detta inte att analysen blev kvalitativ. Bara för att du använder intuitiva bedömningar av risk innebär det inte att analysen blev kvalitativ. (Läs om Thomas Bayes teorem.)

Dina analyser är fortfarande kvantitativa men kanske däremot mer eller mindre subjektiva. Så ska du säga något om dina analyser ska du säga att de antingen är subjektiva eller objektiva. Subjektiva för att du menar att de är bedömda utifrån intuition, eller objektiva för att de är beräknade utifrån lämpliga och relevanta historiska data.

En kvalitativ riskanalys handlar om att förstå i vilka sammanhang, under vilka omständigheter, och genom vilka sårbarheter du exempelvis skulle kunna utsättas för ett cyberangrepp. Det handlar om att förstå mer än mäta. Förstå på vilket sätt något skulle ske, och varför det eventuellt skulle lyckas hos just er.

Men vad är det då?

Om du läser det här vill du uppenbarligen veta mer vilket glädjer mig, så låt mig försöka förklara.

För att förstå varför vi använder kvalitativa riskanalyser felaktigt är det som det så ofta är nödvändigt att gå till roten av problemet, begreppet kvalitativ. Begreppet riskanalys är förvisso också något som behöver förtydligas men problemen för detta begrepp är långt ifrån lika fundamentalt felaktiga som det är när vi använder termen kvalitativ.

Enkelt sagt kan vi säga att med kvalitativa analyser vill vi förstå varför något sker. Kvalitativa forskningsmetoder har sina rötter i social- och humanvetenskapen. Det handlar om människor och beteenden. Det handlar om att analysera underlag från exempelvis intervjuer, fältstudier. Målsättningen är att försöka finna egenskaper eller andra beskrivande attribut för vad vi observerat. Vi vill förstå något och kunna förklara det observerade beteendet.

Eventuellt resulterar detta testbara hypoteser eller andra generaliserade egenskaper för en given population.

Exempel 1 – Cyberintrång

Låt säga att vi har underlag från flera cyberintrång. En kvalitativ analys (observera att det inte handlar om en riskanalys) av detta underlag skulle kunna undersöka om det eventuellt finns gemensamma nämnare hos intrången. Något som knyter dem samman, några egenskaper som är särskilt tydliga och kan förklara samband, motiv osv. Analysen hjälper oss att eventuellt kunna förklara intrångens händelsekedja, aktörernas motiv, vilka särskilda taktiker eller metoder som användes och så vidare.

Det kan vara så att vi försöker undersöka om angrepp är helt slumpmässigt fördelade över alla bolag eller om det finns motiv som driver aktörernas handlingar. Kanske försöker vi koppla vissa typ av aktörers handlingar som en konsekvens av ett visst motiv.

Det handlar fortfarande inte om att bedöma eller beräkna risk, det handlar om att förstå ett fenomen.

Exempel 2 – Säkerhetskultur

Vi beger oss ut i organisationen och intervjuar anställda, konsulter och kunder. Vi ställer öppna frågor och låter dem förklara sin syn på säkerhet, hur de påverkas av den, vad de uppfattar att organisationen gör för säkerheten och hur de eventuellt bidrar.

Utifrån dessa intervjuer försöker vi hitta teman, eller andra återkommande attityder hos de anställda. Kanske finner vi att de uppfattar säkerhetsorganisationen som trög och passiv, eller den ständiga bromsklossen.

Vi får underlag att kunna förklara på vilket sätt organisationen påverkar och påverkas av säkerhetskulturen.

I anslutning till riskanalys

Låt oss nu gå vidare och koppla ihop begreppet kvalitativa med riskanalys och se var det tar oss någonstans. När vi använder begreppet kvalitativ tillsammans med riskanalys bör vi mena följande:

I en kvalitativ riskanalys utgår vi ifrån troliga motiv om varför någon skulle angripa oss, eller under vilka omständigheter en oönskad händelse skulle kunna realiseras.

Vi återanvänder scenarierna ovan för att, förhoppningsvis, tydliggöra på vilket sätt det blir en kvalitativ riskanalys.

Exempel 3 – Cyberintrång som underlag för en kvalitativ riskanalys

Vi utgår ifrån tidigare genomförda analys av underlag kring cyberintrång. Vi antar vidare att intrången har relevans för oss på något sätt, säg samma bransch.

Låt oss vidare anta något i stil med följande: Ett av de första stegen angriparen tar är att skicka in ett phishing-mejl. Användaren uppmuntras till att trycka på en länk, som pekar på dropbox. Ett word-dokument laddas ner, användaren öppnar, och en bild instruerar användaren att aktivera innehållet eftersom det är skapat i en nyare version av word.

En trojan laddas ner i bakgrunden och börjar kryptera den infekterade datorns hårddisk. Dokumentet stängs ner och användaren märker ingenting, förens rutan plötsligt fylls av ett meddelande om att datorn är låst, filerna borta och pengar ska överföras till något som heter bitcoin.

Riskanalysen börjar när vi för varje ”steg” i händelseförloppet analyserar vår sårbarhet och huruvida vi skulle släppa igenom ”steget”. Ungefär så här: Om användaren trycker på länken, kommer den nås i webbläsaren? Om ja, varför? Kan vi göra något åt det? Om nej så fortsätter vi. Kan användaren aktivera makron? Varför? Vi fortsätter. Kommer en fil kunna laddas ner? Får word.exe prata ut mot internet? Varför? Kan vi begränsa till exempelvis endast Chrome.exe?

Och så vidare. För varje steg funderar vi kring vår sårbarhet, vi analyserar våra existerande motåtgärder, och vad vi tror om deras relativa effektivitet mot hotet.

Kvalitativ riskanalys

När vi gör en kvalitativ riskanalys handlar det alltså inte om att sätta värden på konsekvenserna eller sannolikheten. Istället handlar det om att undersöka vilka egenskaper som skulle möjliggöra att en risk realiseras och vilka sårbarheter som en angripare skulle kunna tänkas utnyttja. Det handlar alltså om att vi vill kunna förklara vilka vägar som en angripare troligtvis skulle försöka utnyttja i ett angrepp. Något som med fördel kan användas i det här är exempelvis cyber kill chain som jag skrivit om tidigare.

Sammanfattning

Din och min förståelse och korrekta användning av begreppet risk är centralt för det arbete vi gör inom säkerhetsområdet. Jag tycker därför att det är extra viktigt att andra relaterade begrepp som exempelvis kvalitativ riskanalys används på ett korrekt sätt.

Tyvärr uppfattas jag nog lite som en dåre i det här sammanhanget. Det är så otroligt etablerat att kvalitativa riskanalyser är subjektiva bedömningar av risk. Att få branschen till att istället kalla dessa analyser subjektiva kvantitativa riskanalyser är antagligen bara önsketänkande från min sida.

Men, jag tänker fortsätta hävda att kvalitativa riskanalyser inte är vad vi tror det är. Det finns inga direkta motsättningar mellan kvalitativa och kvantitativa riskanalyser. Det är två olika verktyg för att uppnå samma mål; reducera och hantera risker på det mest effektiva sätt vi kan. Det borde alltså bara vara fördelaktigt om fler förstod skillnaderna och således också började genomföra ordentliga kvalitativa riskanalyser i sina organisationer.