Nyckelinsikter

  • Identifiera och dokumentera systematiska och organisatoriska svagheter i den säkerhetskänsliga verksamheten.
  • Den sista delen i underlaget för säkerhetsplanen.
  • Syftar på att identifiera grundläggande ORSAKER, inte symptomen.
  • Alla sårbarheter ska inte in i sårbarhetsanalysen…

Sårbarhetsanalysen är den sista delen innan säkerhetsskyddsanalysen avrundas och sammanfattas i en åtgärdsplan, säkerhetsplanen. Det är i det här sista steget vi ska identifiera omfattande svagheter i den säkerhetskänsliga verksamheten.

Inledning

En verksamhetsutövare ska enligt 9§ (Bedöma sårbarheter) i PMFS 2019 (Säkerhetspolisens föreskrifter om säkerhetsskydd):

9 § Verksamhetsutövaren ska göra sårbarhetsbedömningar beträffande den säkerhetskänsliga verksamheten. I säkerhetsskyddsanalysen ska det anges vilka övergripande sårbarheter som har identifierats. Verksamhetsutövaren ska därefter bedöma hur sårbarheterna påverkar verksamhetens säkerhetsskydd och om det finns behov av att vidta säkerhetsskyddsåtgärder.

Notera att jag särskilt markerat ordet övergripande sårbarheter vilket jag kommer att återkomma till senare i artikeln.

Om vägledningen

Detta är min vägledning om säkerhetsskydd och så som säkerhetsskydd förhåller sig till cyberdomänen. Vägledningen kan bara bli bättre, särskilt om jag får din hjälp. Har du några som helst synpunkter på innehållet vill jag att du kontaktar mig. Saknar du en förklaring, en annan struktur, ett ord eller mening så vill jag höra om det.

Innehåll

  1. Vad är syftet med en sårbarhetsanalys?
  2. Antagonister och sårbarheter
  3. Vad är en sårbarhet?
  4. Ett underlag för säkerhetsplanen

Vad är syftet med en sårbarhetsanalys?

Genom sårbarhetsanalysen ska du identifiera svagheter i den säkerhetskänsliga verksamheten som kan komma att utnyttjas av en antagonistisk aktör. Svagheter som ska identifieras och dokumenteras i en sårbarhetsanalys avser mer omfattande brister som är av systematisk och organisatorisk karaktär.

Och det betyder? Orsak och symptom…

Det handlar exempelvis INTE om att identifiera och dokumentera enskilda brister i IT-system (uppdateringar som inte installerats etc.) Det handlar däremot om att identifiera och dokumentera om dessa uppdateringar inte har installerats som resultat av en svag patch- och uppdateringsprocess; ett systematiskt och organisatoriskt problem.

Det handlar INTE om att identifiera att enskilda personer har bristande förståelse för vad en roll i säkerhetskänslig verksamhet innebär. Däremot handlar det om att identifiera om denna bristande förståelse är ett resultat av en i organisationen svag säkerhetsskyddsutbildning eller kanske en bristfällig säkerhetsskyddsorganisation.

Du ska alltså inte dokumentera symptomen. Du ska använda identifierade symptom för att identifiera den bakomliggande orsaken till att de överhuvudtaget existerar.

Antagonister och sårbarheter

Du har säkert läst att antagonister utnyttjar sårbarheter i säkerhetsskyddet för att kunna genomföra sitt angrepp. Men vilka sårbarheter utnyttjar dom?

Jag skulle vilja säga så här. Vi vill med vår sårbarhetsanalys huvudsakligen identifiera sådana sårbarheter som är orsaken till att vi ser symptom. Ett symptom i det här sammanhanget kan vara en uppdatering som inte installerats på ett system. Orsaken att den inte har installerats kanske beror på att vi helt enkelt inte hunnit ännu, eller kanske som konsekvens av en mer systematisk problematik nämligen att vi har en svag patch- och uppdateringsprocess. Vi vet inte vilka brister vi har.

En antagonist utnyttjar alltså symptomen, men vi vill sträva mot att åtgärda orsakerna eftersom detta ger oss ett stärkt säkerhetsskydd överlag och framförallt långsiktigt.

(PS: Givetvis ska även uppdateringar installeras om de inte är det, men syftet med sårbarhetsanalysen och det dokument i vilken den dokumenteras avser inte sådana här ”triviala” sårbarheter!)

Vad är en sårbarhet?

Jag har sagt det förr, och säger det igen. Definitioner i branschen är inte vår starka sida. En sårbarhet för mig är vad som möjliggör för en antagonist att genomföra ett angrepp. En sårbarhet är en av våra svagheter. Det kan vara större omfattande problem som att anställda inom verksamheten har ett lågt säkerhetsmedvetande som i sin tur möjliggör attacker med hjälp av phishing. En sårbarhet är också den enskilda uppdateringen som saknas på ett IT-system. Sårbarheten, beroende på dess karaktär, kanske kan utnyttjas eller göras till del av ett antagonistiskt angrepp.

En sårbarhet är kort och gott det angriparen behöver (utöver intention/avsikt, tillfälle och resurser) för att kunna genomföra ett angrepp. Någonstans i vårt skydd måste det finnas en svaghet för att angriparen ska kunna framgångsrikt genomföra ett angrepp. Utan svagheter bör ett angrepp inte kunna framgångsrikt genomföras. (Det finns givetvis alltid svagheter, och det är inte en svart/vitt-fråga!)

Vilka typer av sårbarheter finns det?

Det finns svagheter på många olika plan, men för säkerhetsskyddet och den sårbarhetsanalys som ska tas fram ska inte alla typer av sårbarheter tas med. Observera att dessa kategorier av sårbarheter är grundade endast i min egen uppfattning och erfarenhet.

Organisatoriska

En organisatorisk svaghet skulle exempelvis kunna vara en överlag låg kunskapsnivå avseende säkerhetsskydd i en säkerhetskänslig verksamhet.

Systematiska

En systematisk svaghet är mer komplex och handlar om ett återkommande problem som är ett resultat av interaktionen och relationen mellan flera samverkande organisatoriska grupperingar. Det kan exempelvis handla om en bristande patch- och uppdateringsprocess. Systematiska svagheter kräver mer omfattande åtgärder för att åtgärda.

Systematiska fel i enskilda IT-system

Dessa brister är ingenting som enkelt kan åtgärdas genom en uppdatering. Det kan handla om brister i design och arkitektur, tokigheter i informationsflödet osv. Systemet kanske har konstruerats utifrån ett felaktigt antagande om hur en verksamhet fungerar. Det kanske saknas möjlighet att sätta granulära behörigheter på informationsobjekt i systemet.

Enkla

Här kan det handla om uppdateringar som helt enkelt inte har installerats av olika anledningar. Sådana enskilda, enkla sårbarheter tar vi inte upp i en sårbarhetsanalys. Varför inte, kanske du tänker?

Enskilda och enkla sårbarheter dyker upp mest hela tiden och sådana svagheter hanteras av en övergripande sårbarhets/-uppdateringsprocess. En sårbarhetsanalys kan inte rimligen uppdateras varje gång det dyker upp nya sårbarheter i ett IT-system.

Ett underlag för säkerhetsplanen

Med hjälp av sårbarhetsanalysen, i kombination med säkerhetshotbedömningen och konsekvensanalysen har ni nu ett komplett underlag för att kunna ta fram en säkerhetsplan; ett dokument i vilket ni beskriver hur ni avser adressera de identifierade sårbarheterna och hur ni avser stärka (om nödvändigt) skyddet mot identifierade säkerhetshot, samt hur ni eventuellt avser minska konsekvenserna av ett antagonistiskt angrepp.