Försvar Offensivt Underrättelser

Säkerhetsskydd: Verksamhetsanalys

Tuesday, December 4, 2018

VägledningSäkerhetsskydd

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Du läser en artikel i en serie av artiklar om säkerhetsskydd . Den här artikeln beskriver syftet och målsättningen med att genomföra en verksamhetsanalys samt hur du skulle kunna göra detta. Det är många som undrar om den kommande lagstiftningen gäller för deras organisation/företag och mer exakt hur de kan avgöra detta. Verksamhetsanalysen är ett första steg mot att kunna besvara frågan om huruvida lagstiftningen är tillämplig.

Nyckelinsikter

  • Huruvida lagen är tillämplig är i huvudsak en funktion av er förmåga att analysera er(a) verksamhet(er). I någon mån är det ni som avgör lagens tillämplighet.
  • Verksamhetsbeskrivningen avser ge ett inriktande svar på vilka delar som eventuellt kan komma att betraktas som säkerhetskänsliga.
  • Dessvärre är det lätt att fastna i detaljer och i ett slags bottom-up perspektiv. Börja översiktligt och jobba ner mot detaljerna i den mån det är nödvändigt.
  • Analysen bör även i någon utsträckning besvara frågan om vilka beroenden som ni har samt andra har till er.
  • Ett viktigt underlag till nästa steg, konsekvensanalysen (menbedömning).

Om vägledningen

Detta är min vägledning om säkerhetsskydd och så som säkerhetsskydd förhåller sig till cyberdomänen. Vägledningen kan bara bli bättre, särskilt om jag får din hjälp. Har du några som helst synpunkter på innehållet vill jag att du kontaktar mig . Saknar du en förklaring, en annan struktur, ett ord eller mening så vill jag höra om det.

Inledning

Målsättningen med den här artikeln är att ge dig några förhoppningsvis någorlunda konkreta verktyg och förutsättningar för att kunna ta ett första steg mot att besvara frågan om huruvida någon, eller några, verksamhet(er) inom er organisation faller in under ramen för säkerhetskänslig verksamhet.

Observera att verksamhetsbeskrivningen troligen inte ensamt kan besvara frågan om lagstiftningens tillämplighet. Ni kommer också behöva genomföra en konsekvensanalys och först därefter kommer ni med större trygghet kunna besvara frågan om lagen är tillämplig eller inte.

Och, jag måste även säga det, jag är inte en jurist. Lagstiftning är sällan så enkelt att det räcker med att läsa en paragraf och tro att allting är färdigt. Det kan finnas undantag, särskilda fall, lagkommentarer, förarbeten osv. som påverkar hur en paragraf ska tolkas. Idealt vore givetvis att finna en erfaren jurist med fokus på lagstiftningen, men de är få. En jurist, även utan specifik erfarenhet från lagstiftningen, är en viktig resurs eftersom de har förståelse för lagstiftningsarbetet och allt vad det innebär.

Nå väl, nog om detta.

Ett varningens ord

Innan jag börjar att försöka förklara hur detta arbete ska genomföras och vilka aktiviteter som är relevanta måste jag först ge lite utrymme till några varnande ord.

Att analysera en organisation och de verksamheter den består av är faktiskt en helt egen disciplin och kärt barn har många namn; affärsanalys, verksamhetsanalys, affärsmodellering m.fl. Oaktat namn är målsättningen att i text och grafik visa vad organisationen gör, hur den gör det, varför den gör det, med vilka resurser, för vem och vad osv.

Genom denna analys kan vi få fram relationer till andra organisationer, företag eller myndigheter. Vi kan få en bättre förståelse för vilka vi beror på och vilka som beror på oss. Vi kan förstå hur information förmedlas mellan verksamheter, mellan IT-system, eller mellan människor. Hur processer genererar värde, och vilka processer som hänger ihop med andra.

Detta kan bli ett oerhört omfattande arbete och det ligger dessvärre i farans riktning att man fastnar i detaljer kring olika affärsprocesser, stödprocesser, kärn- och stödverksamheter, eller kanske rentav detaljer i ett eller flera IT-system. Det är viktigt att parallellt med arbetet att dokumentera en verksamhet hålla fokus på att den övergripande frågan vi försöker besvara. Kan verksamheten troligtvis komma att betraktas som säkerhetskänslig? Ja, nej eller kanske.

Och med detta sagt vill jag poängtera vikten av att försöka se skogen och ignorera träden. I det här sammanhanget är detaljerna ännu inte det viktigaste. De blir viktiga senare när du fått fram ett underlag som faktiskt är indikativt på att verksamheten troligtvis är att betrakta som säkerhetskänslig.

Definitioner

Som vanligt vill jag skriva några ord om definitioner. Vi börjar med ordet verksamhet som enligt Svenska Akademiens Svensk ordbok (SO) definieras så här: målinriktat arbete som fortlöpande utförs[note]Svensk Ordbok av Svenska Akademien (SO), (Online: https://svenska.se , hämtad: 2018-11-26)[/note]. Kort och gott, det kan vara nästan vad som helst så länge det bedrivs målinriktat och utförs fortlöpande.

Analys behöver vi kanske inte riktigt definiera. Och detta ger oss således verksamhetsanalysen; en analys av det målriniktade arbetet som fortlöpande utförs.

Och detta är väl nästan att konstatera det uppenbara… så nej, det här avsnittet var kanske inte helt nödvändigt, men nu har jag formulerat meningarna. Låt oss kalla detta avsnitt den molnfria-versionen av en vägledning…

Verksamhetsanalys (-beskrivning)

Nåväl, en hel del introducerande text men nu är vi här. Avsnittet då vi faktiskt börjar med det riktiga jobbet. Målsättningen är som tidigare skrivet att kunna (delvis) besvara frågan om huruvida någon, eller vilka, verksamhet(er) kan komma att betraktas som säkerhetskänslig(a). Frågeställningen ger oss en ram för hur ambitiösa vi behöver vara med analysen.

Detaljerna är i det här skedet inte särskilt viktiga. Det vi behöver göra nu är att få en “känsla” för vilka delar av vår organisation/verksamhet som kanske behöver analyseras lite djupare. Och givetvis dokumenterar ni det arbete ni gör för att dokumentera känslan.

Det kanske viktigaste av allt är att… involvera verksamheten. Låt ansvariga, eller anställda inom aktuell verksamhet, själva berätta hur verksamheten fungerar osv. Detta är inte ett arbete som du sätter dig i ett isolerat rum och försöker klurat hur och vad en given verksamhet gör och fungerar.

Några första frågor att besvara

Vi börjar med några initiala frågeställningar:

  • Vad gör företaget, organisationen eller myndigheten? Vad är det som existensberättigar vår verksamhet?
  • Till vem/vilka tillhandahåller vi tjänster/produkter?
  • Hur och till vad används våra produkter/tjänster?

Exempel - Kommunen Rulteby

Kommunen Rulteby om cirka 34 897 medlemmar bedriver kommunal verksamhet vilket är reglerat i lag[note]Lagen.nu, (Online: https://lagen.nu/2017:725 , hämtad: 2018-11-26)[/note]. Sedan finns det ett gäng andra lagar som ytterligare reglerar vilka verksamheter en kommun som Rulteby är skyldig att tillhandahålla sina medlemmar. Den kommunala räddningstjänsten, den kommunala skolan och vatten/avlopp är tre exempel på verksamheter som bedrivs i kommunen.

Exempel - PauJul

Företaget PauJul bedriver verksamhet inom bilindustrin där de tillverkar, säljer och distribuerar hög teknologiska bilar till privatpersoner och företag. Cirka 70 000 nya bilar rullar ut på Sveriges vägar varje år.

Exempel - Elproducenten bOFF

bOFF producerar och distribuerar el i ett regionalt glesbyggds nät med cirka 150,000 abonnenter, där privatkonsumenter utgör en majoritet av kunderna i regionen.

Fördjupade frågeställningar

Utifrån dessa frågeställningar gräver vi sedan lite djupare i analysen:

  • Är någon av de vi tillhandahåller tjänster/produkter till… viktig? Tänk raklödder vs bortforsling av avloppsvatten.
  • Kan vår tjänst/produkt enkelt ersättas i händelse av bortfall? Tänk tandläkare vs akutvård.
  • Är det vi tillhandahåller unikt och samtidigt absolut nödvändigt för konsumenten? Tänk programvara till styrsystem för högspänningsnät.
  • Kan fel/defekter i tjänsten/produkten relativt snabbt få stora konsekvenser? Tänk uppkopplade styr- och reglersystem för kollektivtrafik.

Exempel - Kommunen Rulteby

Som kommun är vi ensamma i att tillhandahålla tjänster för att transportera våra medlemmars avloppsvatten och samtidigt tillhandahålla dricksvatten. Det är inte enkelt för den enskilde medlemmen att ersätta dessa tjänster och produkter. De kan dock under en begränsad tid (någon dag eller två) eventuellt tillgå vatten i livsmedelsbutiker. Däremot blir det snabbt svårt för den enskilde att hantera tjänstebortfall av avlopp/rengöring som inte enkelt kan ersättas.

Fortsättning frågor att besvara

Syftet med alla dessa frågor är att vaska fram känslan som eventuellt talar för att verksamheten kan komma att betraktas som säkerhetskänslig. Det kan givetvis krävas ett antal fler frågor och omgångar av analys med diverse resurser och kompetenser. Det kan krävas att ni i än mer detalj förstår exakt hur en tjänst fungerar, eller hur en produkt är sammansatt eller produceras.

Avslutningsvis

Verksamhetsanalysen syftar till att delvis besvara frågan om någon eller några av de verksamheter ni bedriver är att betrakta som säkerhetskänslig. Jag säger delvis för det är endast en indikation på att ni kanske bedriver säkerhetskänslig verksamhet. För att besvara detta mer definitivt behöver ni även göra en konsekvensanalys. Det är här ni i mer detalj analyserar konsekvenserna av att en verksamhet eller del av faller bort.

Verksamhetsanalysen som del av arbetet med säkerhetsskyddslagstiftningen är inte avsedd att i detalj, åtminstone inte initialt, förklara varje del av en verksamhet. Den ska vaska fram känslan av att ni troligen kommer betraktas som säkerhetskänslig. Konstaterar ni detta behöver ni göra en fördjupad analys, först genom konsekvensbedömning och sedan genom säkerhetsskyddsanalysen .

VägledningSäkerhetsskydd

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Har du läst dom här?

CIS Controls version 7 - Åtgärd 6 - Underhåll, hantering och analys av loggar - (6/20)

Sammanfattning: Quarterly Threat Report (November 2018) - Proofpoint