Cyberperspektivet på en Säkerhetsskyddsanalys

Nyckelinsikter:

• En verksamhets- och konsekvensanalys avgör om ni bedriver säkerhetskänslig verksamhet
• Säkerhetsskyddsanalysen är ett dokumenterat resultat från analysen av den säkerhetskänsliga verksamheten
• Ska besvara frågor om den säkerhetskänsliga verksamheten om varför den ska skyddas (konsekvenser), från vad (hot) och på vilket sätt (skyddsåtgärder) den avses skyddas
• En dimensionerande hotbeskrivning förklarar antagonistens förmåga och tillvägagångssätt att realisera ett hot; beskrivningen motiverar dimensioneringen av skyddet
• Modellera genom exempelvis Cyber Kill Chain hur ett antagonistiskt cyberangrepp kan komma att genomföras för att identifiera brister i skyddet

Första april nästa år (2019) träder nya säkerhetsskyddslagen ikraft. Detta innebär en efterlängtad uppdatering och förnyelse av den nuvarande säkerhetsskyddslagen som trädde ikraft 1996. Mycket hinner onekligen hända på 22 år.

Detta inlägg handlar om ett centralt begrepp inom lagen och också något väldigt konkret, nämligen säkerhetsskyddsanalysen, tidigare säkerhetsanalys. Du ska göra en säkerhetsskyddsanalys om du bedriver säkerhetskänslig verksamhet. Dock undrar många dels hur de avgör om de bedriver en säkerhetskänslig verksamhet och dels vad en säkerhetsskyddsanalys ska innehålla.

Målsättningen är att försöka besvara dessa frågor samt ge konkreta förslag på hur detta arbete kan genomföras. Det kanske är att slå in öppna dörrar men säkerhetsskyddsarbete är ett omfattande arbete och kan i delar bli mycket komplext, särskilt när det gäller avvägningar och bedömningar om skyddsvärden, hot, sårbarheter och skyddsåtgärder. Lagen är inte deskriptiv utan endast normativ, den anger ett mönster för hur ni ska tänka kring säkerhetsskydd. Detta är ett sådant där tillfälle då ni lämpligen söker stöd från en senior rådgivare med erfarenhet och kunskap inom området, särskilt om det är “skarpt” läge för er avseende lagens tillämpning.

Och med det sagt bör det här inlägget betraktas som en övergripande inledning till området, inte en definitiv vägledning.

Om vägledningen

Detta är min vägledning om säkerhetsskydd och så som säkerhetsskydd förhåller sig till cyberdomänen. Vägledningen kan bara bli bättre, särskilt om jag får din hjälp. Har du några som helst synpunkter på innehållet vill jag att du kontaktar mig . Saknar du en förklaring, en annan struktur, ett ord eller mening så vill jag höra om det.

Innehållet

Eftersom inlägget är ganska långt vore det kanske på sin plats med en kortare översikt:

1. För vilka gäller lagen?
2. Bedriver vi säkerhetskänslig verksamhet?
   • Verksamhetsbeskrivning
   • Konsekvensanalys
3. Säkerhetsskyddsanalys
   • Bedömnings av säkerhetshot
   • Sårbarhetsanalys
   • Identifiering och värdering av skyddsåtgärder
4. Sammanfattning

Nå väl, hoppas ni finner inlägget nyttigt!

För vilka gäller lagen?

Lagen gäller för utövare av säkerhetskänslig verksamhet, där:

Säkerhetskänslig verksamhet avser verksamhet som är av betydelse för Sveriges säkerhet samt verksamhet som ska skyddas med hänsyn till  internationella säkerhetsskyddsåtaganden.

Ni behöver alltså bedriva säkerhetskänslig verksamhet för att omfattas av lagen. För vissa typer av verksamheter är det väldigt enkelt att avgöra, för andra inte särskilt. Vägen “in” i lagen hänger i huvudsak på två analyser som bedömer om huruvida ni bedriver säkerhetskänslig verksamhet, verksamhetsanalysen och konsekvensanalysen.

Verksamhetsanalysen är strikt sett inte del av säkerhetsskyddsanalysen, men om analysen konstaterar att åtminstone delar av verksamheten faller in under säkerhetskänslig verksamhet är det rimligt att även den inkluderas i säkerhetsskyddsanalysen.

Bedriver vi säkerhetskänslig verksamhet?

Vi har redan konstaterat att lagen gäller för utövare av säkerhetskänslig verksamhet. Men hur avgör vi det? Vi tar det från början.

Verksamhetsanalys (-beskrivning)

(Detta är en sammanfattning. För en detaljerad beskrivning vänligen se den här artikeln  för en diskussion om Verksamhetsanalysen.)

Verksamhetsanalysen syftar till att klargöra verksamhetens målsättning och uppdrag.

Först och främst en kanske uppenbar fråga, vad är en verksamhet? Det beror på sammanhanget i vilket begreppet används. Exempelvis Polisens brottsbekämpande verksamhet, IT-avdelningens verksamhet. Enligt Svenska Akademiens Svensk ordbok (SO) summeras verksamhet så här kort och fint: målinriktat arbete som fortlöpande utförs.

För ett energibolag skulle den övergripande verksamhetsbeskrivningen kunna bli något i stil med: producerar och levererar energi till den svenska marknaden. Energibolagets verksamhet kan sedan delas upp i andra distinkta verksamheter, exempelvis verksamheten för energiproduktion, eller verksamheten för energidistribution, verksamheten för energiförsäljning och så vidare.

En naturlig följdfråga blir således hur vi kan avgöra vilka av våra verksamheter som eventuellt är av betydelse för Sveriges säkerhet. Detta besvaras av konsekvensanalysen.

Konsekvensanalys

(Detta är en sammanfattning. För en mer detaljerad beskrivning se den här artikeln i vägledningen som på djupet diskuterar konsekvensanalysen.)

Konsekvensanalysen ska hjälpa oss att besvara frågan om skyddsvärdet på olika delar av verksamheten. Det handlar om att analysera oönskade händelser och orsakskedjor som kan påverka det skyddsvärda negativt. Vilka konsekvenser kan uppstå av att den givna verksamheten utsätts för antagonistiska angrepp?

Två saker, konsekvenser och antagonistiska angrepp. Konsekvenser i sammanhang av säkerhetsskyddslagen handlar om konsekvenser för Sverige som nation. Konsekvenserna i verksamheten måste alltså påverka nationen som helhet, inte endast verksamheten. Mer om det strax. 

Antagonistiska angrepp handlar om enskilda, grupper, nätverk, organisationer eller stater som med förmåga och avsikt utsätter verksamheten för ett angrepp. 

För att kunna besvara frågan om huruvida konsekvenserna i verksamheten uppnår nationella effekter ska vi särskilt beakta händelser med negativa konsekvenser inom följande områden:

1. Större antal människors liv eller hälsa, 
2. Det geografiska områdets storlek,
3. Längden på och tidpunkt för påverkan,
4. Allvarliga sociala, ekonomiska eller politiska konsekvenser för samhället och,
5. Om andra samhällsviktiga verksamheter som t.ex. elförsörjning eller elektronisk kommunikation påverkas allvarligt.

Det finns direkta och indirekta konsekvenser och detta kan innebära vissa svårigheter i bedömningarna. Direkta konsekvenser är exempelvis uppenbart när de gäller energidistribution, vattenförsörjning etc. Där kan det snabbt bli stora konsekvenser för många direkt när system som bär dessa infrastrukturella tjänster havererar.

Det svåra är att avgöra konsekvenserna när det handlar om indirekta effekter. Information som måste användas i kombination med något annat för att kunna leda till stora konsekvenser. Och än svårare blir det när effekterna avser abstrakta ting som också över tid förändras.

När har exempelvis förtroendet för rättsapparaten påverkats i tillräcklig utsträckning för att anses uppnå effekter på Sveriges säkerhet? Detta är komplicerade och svårbedömda konsekvensanalyser.

Först efter att vi gjort en konsekvensbedömning av en given verksamhet kan vi avgöra om den faller in under ramen för säkerhetskänslig verksamhet.

Om ni här bedömer att negativa händelser kan få konsekvenser för Sverige finns det anledning att anta att ni bedriver säkerhetskänslig verksamhet vilket förflyttar arbetet in inom ramen för säkerhetsskyddslagen.

Säkerhetsskyddsanalys

Denna analys är det dokumenterade resultatet av allt arbete med att identifiera, analysera och bedöma ett antal säkerhetsrelevanta faktorer. Exempelvis ska ni analysera och bedöma hot som kan komma att riktas mot den säkerhetskänsliga verksamheten. Som tidigare nämnt besvarar verksamhets- och konsekvensanlysen följande frågor:

1. Vilka olika verksamheter har ni inom er organisation/företag?
2. Vilka är konsekvenserna av att någon, eller samtliga, av dessa verksamheter påverkas negativt? Och får dessa konsekvenser även effekter på Sverige?

Efter att ni konstaterat att åtminstone delar av er verksamhet faller in under ramen för säkerhetskänslig verksamhet börjar det “riktiga” arbetet med säkerhetsskyddsanalysen. 

Bedömning av säkerhetshot

(Detta är en sammanfattning. För en detaljerad beskrivning vänligen se den här artikeln  för en diskussion om Säkerhetshotbedömningen.)

Säkerhetshotsbedömningen avser antagonistiska hot, som tidigare nämnt. Om konsekvensanalysen beskriver effekterna av att något har hänt, handlar säkerhetshotsbedömningen om identifiera och analysera på vilket sätt en antagonist skulle kunna realisera ett hot och uppnå dessa icke önskvärda konsekvenser/effekter. 

På ett övergripande plan handlar det om att bedöma olika typer av hot som exempelvis kan avse möjligheten för en antagonist att utföra ett cyberangrepp för att “uppnå” de konsekvenser vi försöker undvika. Eftersom min erfarenhet är nästan uteslutande begränsad till cyberangrepp är det endast här jag känner mig någorlunda bekväm att uttrycka möjliga typer av hot. När det gäller andra typer av hot inom ramen för sabotage, terrorism får jag lov att hänvisa till… någon annan.

I samband med bedömningen av säkerhetshot kommer ni stöta på begreppet dimensionerande hotbeskrivning. Detta är en mer allmän beskrivning av en aktörs förmåga och tillvägagångssätt för att utföra ett cyberangrepp (observera att det inte endast handlar om cyberangrepp, men det är där min erfarenhet finns). Tanken är att denna beskrivning ska dimensionera säkerhetsskyddet och alltså motivera införandet av olika typer av åtgärder.

Denna del av säkerhetsskyddsanalysen bör vara så omfattande och uttömmande som möjligt eftersom det är utifrån denna som skyddet motiveras och dimensioneras. Observera också att sannolikhetsbedömningar helst ska undvikas eftersom de är högst svåra att tillförlitligt estimera. Istället bör hotbedömningarna vara konsekvensdrivna. 

Observera att en konsekvens i det här sammanhanget handlar om vad en angripare uppnår med ett givet steg i angreppet. Exempelvis angripa en klient ger konsekvensen att angriparen nu har fotfäste i organisationen. Det handlar således mer om angriparens resultat av att genomföra ett givet steg i angreppet. Vissa steg kanske ni faktiskt uppmuntrar, tänk vilseledande åtgärder .

Nästa steg är att identifiera och analysera vilka eventuella svagheter, eller sårbarheter, som finns och skulle kunna utnyttjas av en angripare.

Sårbarhetsanalys

De brister och svagheter vilka existerar i skyddet av sådant vi bedömt som särskilt skyddsvärt kan komma att utnyttjas av en tänkt hotaktör och medföra allvarliga konsekvenser. Sårbarhetsanalysen innebär analys av existerande åtgärder. Det kan exempelvis omfatta mätningar och tester av existerande skydd, analyser av inträffade incidenter etc.

För att analysera organisationens sårbarheter avseende ett antagonistiskt cyberangrepp kan ni exempelvis ställa upp hoten enligt cyber kill chain  och för varje moment i angreppskedjan analysera vilka skyddsåtgärder ni har och vilka eventuella brister som finns. Beskriv helt enkelt hela angreppskedjan från start till mål och analysera varje steg var för sig.

För varje steg skulle ni exempelvis kunna bedöma utifrån förebyggande åtgärder, eller upptäckande åtgärder. Även om en angripare lyckas få fotfäste på en klient kanske ni har upptäckande åtgärder som ser om denne exekverar ett PowerShell-skript som försöker upprätta C2-kommunikation?

Det andra mer uppenbara sättet att identifiera brister är att helt enkelt ta in en lista på vilka tekniska sårbarheter som finns i infrastrukturen. Vilka patchar och uppdateringar har ni inte installerat på kritiska system i DMZ?

Det finns helt enkelt en hel del steg att ta för att konkret identifiera vilka brister som innebär en försämrad förmåga att motstå antagonistiska cyberangrepp.

Efter sårbarhetsanalysen kommer vi till identifiering och värdering av skyddsåtgärder.

Identifiering och värdering av säkerhetsskyddsåtgärder

Identifiering och värdering av säkerhetsskyddsåtgärder handlar om att väga samman allt som framkommit i analysen så här långt och bedöma vilka åtgärder som på bästa sätt förstärker förmågan att motstå antagonistiska hot.

Ett väl avvägt säkerhetsskydd är inte absolut utan ska kunna motiveras och anses vara rimligt. Det blir givetvis en bedömningsfråga och kan vara svår att beskriva generellt, utan måste bedömas utifrån varje situation och verksamhet.

Men en vägledande inriktning kan vara att försöka identifiera åtgärder som åtgärdar, eller åtminstone reducerar konsekvenserna, klasser av sårbarheter. Ett exempel på detta är hur en stor majoritet av skadlig kod antar att det finns möjlighet att kommunicera mot internet, eventuellt genom en proxy. Stryper du möjligheten för skadlig kod att kommunicera mot Internet genom exempelvis vitlistning, lokala brandväggsregler, autentiserad proxy osv finns det goda möjligheter att hindra stora klasser av skadlig kod.

Det är nödvändigt att väga in kostnader för dessa åtgärder och hur de påverkar verksamhetens huvudsakliga uppgift. Åtgärderna måste vara rimliga i förhållande till den verkningsgrad de eventuellt kan uppnå i förmågan att motstå antagonistiska cyberangrepp.

Sammanfattning

En säkerhetsskyddsanalys är central för ett effektivt säkerhetsskyddsarbete. Det är ett underlag för att bedöma vilka skyddsvärden som finns, vilka konsekvenser som kan få effekter på Sveriges säkerhet, vilka hot som kan komma att riktas mot dessa skyddsvärden, hur antagonistiska aktörer bedöms realisera hot mot dessa skyddsvärden och hur vi kan stärka förmågan att motstå dessa antagonistiska angrepp.

Att genomföra en säkerhetsskyddsanalys är ett omfattande arbete som förutsätter ett samarbete mellan anställda på alla nivåer i olika utsträckning. Det är ett komplicerat arbete som många gånger behöver bedöma och avgöra saker som ett fåtal organisationer egentligen har förmåga, erfarenhet och kompetens att avgöra (e.g. hot mot Sverige).

Däremot är det ingen ursäkt att inte försöka. Det är bättre med ett underlag som visar hur vi resonerar, på vilket sätt vi resonerat. Det ger i sin tur förutsättningarna att kunna förbättra analysen, och vidmakthålla en förmåga att motstå antagonistiska angrepp.