Innlegget er forfattet av Gaute Wangen og ble først publisert på Medium.

I juni 2020 stiftet vi Diri AS og og 1. januar 2021 sluttet jeg i jobben min som seniorrådgiver på NTNU digital sikkerhet og startet som fulltidsgründer. Diri AS er et innovasjonsselskap innen risikostyrings-software for informasjonssikkerhet. Dette innlegget er noen ord om min bakgrunn og forskning. Deretter går jeg inn på erfaringer vi gjorde oss med å bygge risikostyring på NTNU Digital sikkerhet i forkant av etableringen av Diri AS.

Min bakgrunn og kompetansebygging opp mot Diri

Kanskje litt tilfeldig søkte jeg meg inn på bachelorgraden i informasjonssikkerhet ved Høgskolen i Gjøvik i 2007. Har alltid vært litt interessert i IT og sikkerhet hørtes kult ut. Jeg fullføte graden i 2010 og søkte meg videre på master samtidig som jeg sendte noen halvseriøse jobbsøknader til lokale bedrifter i innlandet. Førstnevnte slo til. På masterstudiet spesialiserte jeg meg på sikkerhetsledelse og senere risikostyring. Masteroppgaven min omhandlet risikoanalyse og privacy impact assessment (senere kalt DPIA). Etter fullført mastergrad var jeg heldig og landet et årsvikariat som spesialrådgiver i informasjonssikkerhet i Helse Sør-Øst RHF. Her møtte jeg mange svært flinke folk og ble eksponert for mye av tankegodset som har formet veien videre. Blant annet arbeidsprosessmodellering og virksomhetsarkitektur. Allerede her så jeg behovet for gode risikostyringsverktøy, spesielt dette med beste praksis og ledelsessystem var da et stort behov. (Governance, risk and compliance — GRC).
Våren 2013 avsluttet jeg vikariatet hos HSØ RHF og startet på doktorgraden om risikostyring innen informasjonssikkerhet. Allerede da hadde jeg noen tanker om hvordan man kunne lage et GRC verktøy. Jeg og en tidligere studiekamerat drodlet litt på disse tankene, men det ble med konseptet. Vi var tidlig ute med ideen, men markedet for verktøy med compliance (etterlevelse) av standarder har senere blitt godt mettet.

Forskningsløpet

Noen er velsignet med å være så framsynte at de spår hele Ph.D.-løpet i forprosjektet og følger slavisk i 3–4 år frem til disputas. Andre, slike som meg, har et mer sikksakk løp i vente, med mange ideer og ulike avstikkere. Mye tid gikk med til å sette seg inn i eksisterende risikoanalysemetoder for å forstå state-of-the-art. Vi brukte mye tid på å plukke fra hverandre de eksisterende risikostyringsmetodene for informasjonssikkert og identifisere komponentene.
Hvor var utfordringene i fagfeltet?
– Og hvordan gjorde andre det?
Hva var felles og forskjellig mellom metodene? Hva gjorde de ulike metodene bra og dårlig? Og hvordan så en optimal tilnærming ut? Etter ca 2 år med arbeid, hvordav 1 1/2 år med fagfellevurdering, endte dette opp i min foreløpig mest siterte artikkel A framework for estimating information security risk assessment method completeness” som jeg publiserte sammen med en kollega og Christoffer Hallstensen og veilederen min.

Figur 1 — Overordnet bilde av aktivitetene som kan gjennomføres innen risikoidentifikasjon, estimering og evaluering for informasjonssikkerhet

I figur 1 har jeg inkludert det overordnede bildet av aktiviteter som kan gjennomføres i selve risikovurderingen, men jeg ser i ettertid at jeg, som mange andre akademikere, har satt for stort fokus på selve risikoanalysen og ikke på styringsaspektet, men mer om det senere.

Jeg fikk etterhvert tillit som underviser av risikostyringsfaget på Gjøvik, tidligere IMT1132/IMT2008, nå DCSG2005, og har samlet mye erfaring gjennom det. I korte trekk går faget ut på at studentene skal gjennomføre en praktisk risikovurdering med en gitt metode.

Figur 2— I IMT1132 senere IMT2008 prøvde vi ut flere metoder på caser og sammenlignet resultatene. Resultatene ble publisert i IEEE Computer.

Gruppene i faget fikk velge ulike risikovurderingsmetoder og jeg samlet kvalitative erfaringer slik som illustrert i figur 2. I tillegg sammenlignet jeg de endelige resultatene. Vi kjørte risikovurderinger med forskjellige metoder og gjorde opp et godt erfaringsgrunnlang som ble publisert som en vitenskapelig artikkel (bak betalingsmur) (denne mindre smukke versjonen er tilgjengelig for de spesielt interesserte).

Det er viktig å forstå at risikoanalyser og informasjonssikkerhet er et håndverk hvor man må skitne til hendene og bygge seg erfaring. Jeg mener at kun de mest teoretiske av de akademiske disiplinene har privilegiet av å bare arbeide teoretisk. Hele forskningsporteføljen min ligger på scholar for de interesserte.

Overgang fra teori til praksis

Jeg disputerte i juni 2017. I de to foregående årene hadde jeg samarbeidet mer og mer med IT-avdelingen på Gjøvik både på forskningscaser og i faget jeg underviste. Jeg ble først en del av den nyopprettede seksjon for digital sikkerhet på NTNU IT som postdoktor. Der arbeidsmengden var tiltenkt 50/50 akademia og praktisk IT, men fra januar 2018 gikk jeg over 100% til NTNU digital sikkerhet i IT avdelingen. Seksjonen bestod av 3 på rådgivning og arkitektur, 4 på SOC og sjefen.

Erfaringer med å bygge et risikostyringssystem

Det var spennende å være med å bygge sikkerhetsarbeidet fra bunnen av. Risiko og sårbarhetsanalyse forkortes gjerne ROS og foregår ofte i Excel-ark. Vi hadde et gammelt system for ROS-vurderinger, Risk manager, men det går knapt an å finne informasjon om det på nett lenger. arbeidet var i stor grad slik at vurderingene først ble gjort i Excel for så at de viktigste risikoene og tiltakene ble lagt inn manuelt og tildelt i Risk Manager.

Figur 3— ROSebukett (kred til HUNT som coinet begrepet)

Ettersom vi fikk flere og flere ROSer i buketten (for å sitere en kollega i Trondheim), fikk vi også mer øynene opp for hvilke problemer vi egentlig stod overfor i risikostyringen:
Først vil jeg presisere at det går an å ha verdens beste risikovurdering med minimal feilmargin og sylskarpe prediksjoner, men det betyr ikke en dritt hvis beslutningstaker ikke tar ansvar og linja ikke bryr seg om resultatet eller gjennomfører tiltakene. Å ha mange gode risikovurderinger uten fungerende risikostyringsprosess er som å vinne slagene, men å tape krigen.
Det å ha en fungerende prosess (figur 4) betyr:

  • At ansvar tildeles.
  • At ressurser tildeles og prioriteres.
  • Virksomhetsområder identifiseres, prioriteres og risikovurderes.
  • Tiltak foreslås for uakseptabel risiko.
  • Beslutningstager ser over tiltak, prioriterer og godkjenner for innføring med tidfrist og ansvar.
  • Risiko monitoreres, rapporteres og følges opp.
  • For svake og for strenge tiltak korrigeres.
  • Risikovurderinger oppdateres i et fast intervall og ved behov.
  • Uakseptabel risiko eskaleres.

Figur 4— ISO27005 Beste praksis risikostyringsprosess. Så enkelt, så vanskelig.

Risikostyring, og informasjonssikkerhet for den saks skyld, er først og fremst en form for kvalitet. Og i sin essens er risikostyring en kvalitetsprosess som ser enkel ut på papiret, men som kan være utrolig utfordrende å lykkes med i komplekse organisasjoner. Først når prosessen er på plass og fungerer, og da mener jeg alle komponentene, kan man begynne å bekymre seg for mer akademiske problemer: Slik som dårlige prediksjoner og svakhetene ved risikomatrisen. Som akademiker svir det å innrømme at styring og ledelsesforpliktelse i utgangspunktet er viktigere enn selve vurderingen. En overlegen tilnærming til overdreven fokus på risikovurderingen: Når kvalitetsprosessen er på plass og fungerer (les: risikoer blir identifisert, vurdert, rapportert, tiltak blir gjennomført og fulgt opp) kan man heller gradvis øke kvaliteten og kompetansen i selve risikovurderingene.

Figur 5 — Det er utenfor den svarte boksen at utfordringen ofte ligger. “Alle” klarer å gjennomføre en risikovurdering av en viss kvalitet.

Utfordringene ligger som regel i risikostyringen og ikke i vurderingen.

Risikostyring på NTNU

I mange tilfeller er man av en eller annen årsak pålagt å gjennomføre risikovurderinger, f.eks. via lovverk, styringssystemer eller prosjektmetodikker. Vi snekret sammen et malverk for risikovurderinger med veiledning for NTNU (åpent tilgjengelig) for å imøtekomme dette behovet.

Ettersom risikovurderingene hopet seg opp var kollega i NTNU Seksjon for Digital sikkerhet (og senere Diri) Vebjørn Slyngstadli rask til å smelle opp et Sharepoint-arkiv for risikovurderinger. Arkivet fungerte sånn akkurat medium minus: Ettersom vi begynte å overstige 50 Excel ROSer i buketten gikk det opp for oss at selv om vi hadde et ROS-arkiv, måtte Noen™ også se over disse vurderingene og følge opp tiltakene. Var det f.eks.:
– Risikoer som gikk igjen i de ulike analysene og var det repeterende tiltak? Altså, risikoer og tiltak som ble foreslått på tvers av flere analyser uavhengig av hverandre.
– Ble blodrøde risikoer rapportert oppover?
– Var vi konsistente i vurderingene?
– Ble tiltak fulgt opp?
– Hvordan så egentlig risikoregisteret vårt ut og hvor befinner de mest alvorlige risikoene seg?
Vi begynte såvidt på jobben med å gå igjennom arkivet før vi gav opp. Massevis av fritekst og subjektive vurderinger gjorde det vanskelig å identifisere og kategorisere. Noen vurderinger var godt gjennomførte med høy kvalitet, og andre var et tydelig resultat av en checkbox i prosjektmetodikken som måtte krysses av. Noen var gjennomførte i Excel-arket vårt og andre var leverte som en egen Word/pdf-rapport.

Figur 5 — Typisk trigger og gjennomføring av risikovurdering

Figur 5 lagde jeg som en realistisk modell for hvordan storparten av risikovurderinger blir gjennomført i det ganske land. Ingen bakendforliggende strategi, ingen gjennomførbar plan: Stortsett bare en trigger og en checkbox. Hastetiltak innføres der det er blodrødt. Resten legges på hylla, eller i skuffa hvis du vil.

Figur 6 — Ferdig med ROS.

Å gjennomføre en enkelt risikovurdering gir ikke risikostyring. Vi estimerte at vi hadde over 600 systemer i porteføljen som skulle risikovurderes. I tillegg finnes det mange andre problemstillinger som må risikovurderes. Skulle vi virkelig bygge et 600 Excel-arks ROS arkiv? Hvem skulle i så fall følge opp dette helvete?

Figur 7— Excel-helvete.

Som du kanskje forstår, så er det å fokusere på enkeltvurderinger først veien til samme felle som vi kom oppi. Selv om sikkerheten som regel blir forbedret i det enkelte system som blir vurdert, bør det ligge på plass retningslinjer for ansvarsfordeling, gjennomføring og man bør ha tatt stilling til hva det skal rapporteres på i forkant for å nevne noe. Vet man f.eks. hvilke eksisterende fysiske, tekniske og organisatoriske sikkerhetsmekanismer organisasjonen har som påvirker risiko før risikovurderingen påbegynnes?
Det blir jo også sagt titt og ofte at cybersikkerhet må inn i styrerommet som annen virkshomhetsrisiko, men hvordan skal man rapportere på risiko som subjektivt beskrevet og er spredt utover hundrevis av forskjellige dokumenter?

Veien videre

Tidlig 2019 begynte vi å lete etter eksisterende løsninger: Vi gjorde søk etter egnede verktøy ute i markedet, men fant ingen som dekket våre behov. Noen verktøy var uten tvil gode, men fellesnevneren var ofte at de enten krevde for høy kompetanse, var for dyre, eller var primært store og tunge compliance-verktøy. Jeg probet litt internt etter å få utviklingsmidler, men det virket umulig da det var trange tider i IT avdelingen. Vi begynte å se etter andre muligheter.