Open in app

Sign in

Write

Sign in

Problemforståelse i cybersikkerhet

Gaute Wangen
7 min readAug 16, 2021

Dette essayet diskuterer ulike problemtyper i cyber og hvilke verktøy vi har til å adressere disse. Essensen av informasjonssikkerhet er risikoer og tiltak: Vi identifiserer og vurderer førstnevnte, og hvis risikoen er uakseptabel så kontrollerer vi den med sistnevnte. Alt er risikoer og tiltak, men må vi egentlig berettige alle tiltakene med grundige risikoanalyser og kostnyttevurderinger? I flere tilfeller står vi overfor problemer med opplagte løsninger. Vi trenger egentlig ikke en risikoanalyse for å argumentere for at f.eks. tofaktorautentisering og brannmurer er gode ideer. Når vi forstår problemet, kjenner risikoen og har løsningen klar er det vel ikke nødvendig med ytterligere risikoanalyse og argumentasjon?

Risikovurderinger handler mye om å bygge bevis og argumentasjon

Jeg tror det er viktig å forstå at faget risikovurdering i stor grad handler om å argumentere for eller imot tiltak. Argumentasjonen bygger på de bevisene vi har for en risiko: Bevisene kan være forskning, beste praksis eller komparative analyser, men risikoanalyser står ofte sentralt i dette. Vi stabler bevisene våre for og imot hypotesen (risikoen) og argumenterer f.eks. at risikoen er uakseptabel og at tiltak må iverksettes sammen med en diskusjon av hvilke nye risikoer som introduseres av tiltakene. Sammen med nyttekostnadsanalysen er dette det viktigste i beslutningsgrunnlaget.

Cynefin for cybersikkerhet

Noen ganger kommer vi over ideer, rammerverk og metoder som gir mening og passer inn i verdensbildet vårt. Ett av disse tilfellene for meg var da jeg så Cynefin-rammeverket for problemkategorisering av Dave Snowden. Cynefin-rammeverket gjenkjenner at forskjellige situasjoner krever ulike handlingsmønster og kommer med forskjellige krav. Cynefin bygger på forskning i systemteori, kompleksitetsteori, nettverksteori og lærteorier. Det som er særegent med Cynefin er at den er direkte anvendelig for problemkategorisering i informasjonssikkerhet og dikterer når vi skal anvende de forskjellige verktøyene vi har til disposisjon. Dette gir oss også en ny tilnærming til problemstillinger som angår risiko i cyber-domenet. Cynefin definerer opp seks handlingsmåter å tilnærme problemer på:

Hvordan man benytter disse handlingsmåtene avhenger av hva slags problem man står overfor. Cynefin har fire beslutningskontekster og grunnleggende problemkategoriseringer for situasjoner: Opplagt, komplisert, kompleks, og kaotisk. I midten råder uorden. Rammeverket anerkjenner at forskjellige problemstillinger krever forskjellige måter å navigere på. Hver kvadrant har ulike verktøy for å manøvrere:

Opplagt (Obvious) — Beste praksis:

Har du tenkt over hva beste praksis egentlig er for noe? Det er kjente problemer med kjente og velprøvde løsninger. Vi kjenner både årsaken(e) og virkningen(e) til problemet. I slike situasjoner kan vi for eksempel direkte anvende beste praksis sikkerhetskontroller (eks. ISO 27002 / NSM Grunnprinsipper) for å løse problemet uten videre analyse. Her identifiserer vi problemet, kategoriserer det, og responderer. I klartekst: Hvis risikoen angår passordsikkerhet så har problemet vært løst mange ganger før. Vi vet at gode passordmekanismer i kombinasjon med tofaktorautentisering er løsningen på problemet. Trenger vi egentlig noe dypere analyse eller argumentasjon for å innføre tiltaket?

Komplisert (Complicated) — God praksis:

For problemer i denne kategorien så kreves det analyse for å avdekke sammenhenger mellom årsaker og virkninger. Her må vi for eksempel grave i forskning, konsultere eksperter eller gjennomføre våre egne analyser for å finne en god praksis-løsning. Her identifiserer vi problemet, analyserer det og responderer. Typiske eksempler for informasjonssikkerhet er kompliserte systemer der vi må konsultere mange kilder for å få oversikt over risiko og finne gode tiltak. Årsak og virkning er påviselig av eksperter eller gjennom undersøkelser. Kjennetegnet er at vi fortsatt er innenfor kjent terreng og kan prøve og feile med eksisterende løsninger.

Kompleks (Complex) — Fremvoksende praksis:

Her er forholdet mellom årsak og virkning ukjent og kan bare avdekkes i etterkant. Det finnes ikke beste praksis for komplekse problemer. All praksis i dette domenet blir å regne som fremvoksende praksis ettersom løsningene til problemene blir utviklet. Her sonderer vi problemet med gjentatte eksperimenter ved å utforske og designe nye løsninger, evaluere resultatet og respondere. Typisk eksempel her er komplekse og egenutviklede systemer som skal settes i drift: Her det ukjente ukjente som som er vanskelige å forutsi før de blir satt i drift og man kan evaluere resultatet. Hvis det oppstår en ny og uforutsett risiko håndteres denne med gjerne innovative løsninger og ny kontroller. Årsaker og virkninger er kjente bare i etterpåklokskap.

Kaotisk (Chaotic) — Nybrotsverk:

Her befinner problemet seg i kaotiske og lite oversiktlige situasjoner. Typiske eksempler på slike situasjoner er store sikkerhetshendelser, kriser eller katastrofer hvor “alt” står i brann og beslutninger må tas innenfor en trangt tidsrom basert på ufullstendig informasjon. Fokuset må være å komme seg igjennom helskinnet og “stoppe blødningen”. Her er det vurderinger og handlinger som dominerer beslutningsprosessen, og når vi er ute av fare kan vi prøve å flytte problemet inn i det komplekse domenet ved å opparbeide forståelse for problemet. Her er det ukjent årsak og virkning.

Uorden — Uvitende:

Dette er det midterste området i figuren hvor man engang ikke vet hvilket av domenene man er i. Veldig skummelt ettersom enhver beslutning her sannsynligvis er feil. Vi holder dette området utenfor fokus i dette innlegget.

Spar tid ved å bruke Cynefin i cybersikkerhet

Anvendelsen blir da slik at førsteprioritet er å forstå kvadranten problemet befinner seg i basert på Cynefin. Hvis du står i en Åpenbar-situasjon handler det i praksis om å bla opp i relevant litteratur, finne løsningen og implementere denne. Min påstand er at i denne kvadranten er dype risikovurderinger i stor grad bortkastet tid. Argumenter ut i fra manglende beste praksis og hva det kan medføre, for det vet vi godt.
I en Komplisert situasjon vil det kanskje måtte gjøres ekstra forskning, ekspertkonsultasjon eller risikoanalyse for å finne en løsning. Her må vi gjerne se litt på hva andre har gjort for å finne den beste løsningen.
I en Kompleks situasjon må vi utarbeide nye løsninger og måle effekten av disse i etterkant. Og i Kaotiske situasjoner handler det mest om å komme seg igjennom og opparbeide kunnskap om problemet i etterkant.

Det handler altså om å finne ut hvor problemet befinner seg og verktøykassa vår for de forskjellige kvadrantene blir seende ca. slik ut:

Cynefin for Cybersikkerhet, fritt etter Phil Huggins

Utvikling av sikkerhetsmekanismer til beste praksis

Selv om beste praksis nok oppstår på mange forskjellige måter, gir Cynefin oss et verktøy for å forstå hvordan beste praksis kan oppstå. Et nytt problem blir oppdaget og definert, eksperimentelle løsninger blir utviklet og utprøvd, ettersom mer kunnskap blir generert om problemet vil det bevege seg gjennom kvadrantene i CYNEFIN. Når det eksisterer nok kunnskap om både problemet og den beste løsningen, f.eks. passordsikkerhet og tofaktor, vil det være en kjent løsning på et kjent problem, og det vil bli definert som beste praksis: Kjent problem med kjent løsning.
Fra nybrottsarbeid — fremvoksende — god — til beste praksis.

Noen tanker om modenhet — Hvor feiler vi?

Når vi arbeider med sikkerhetssertifisering, arbeider vi i stor grad med å kartlegge i hvor stor grad organisasjonen har kontroll på det Opplagte i cybersikkerhet. ISO-standarder, NIST CSF og CIS er alle eksempler på beste praksis med løsninger på kjente problemer. Det går fint an å arbeide i flere av Cynefin-kvadrantene på samme tid, men for de fleste Norske bedrifter dreier faktisk cybersikkerhet seg om å få kontroll på beste praksis. Det er tre årsaker som står for sikkert godt over 90% av alle sikkerhetsbrudd:

  1. Dårlig passordsikkerhet
  2. Phishing og sosial manipulasjon
  3. Tekniske sårbarheter (patching) og angrepsflate (mange tjenester eksponert på nett)

Alle disse tre kan kontrolleres med beste praksis, altså dette er opplagt. Men å implementere beste praksis i cybersikkerhet er utfordrende fordi det både er tid- og ressurskrevende. Jeg ser for meg at Cynefin anvendt som foreslått også beskriver en slags modenhet og strategisk tilnærming for cybersikkerhetsarbeidet:

  1. [Beste praksis] Ta kontroll de mest basale risiko vha beste praksis. Dette MÅ være på plass for at det skal gi mening å bygge videre i sikkerhetsarbeidet. (Baseline)
  2. [God praksis] Når baseline er på plass tar vi steget videre og begynner å arbeide med mer kompliserte problemstillinger hvor vi trenger mer analysekapasitet.
  3. [Fremvoksende praksis]For komplekse problemstillinger må vi arbeide med robusthet. Med robusthet mener jeg at hvis ukjente risikoer inntreffer så har organisasjonen god evne til å håndtere hendelsen uten store tap. Robusthet er avhengig av kapasitetene som er bygget i steg 2.
  4. [Banebrytende praksis]Kaotiske situasjoner er i praksis krisehåndtering. Da blir det kriseplanlegging og øving for å håndtere det ukjente.

Avslutningsvis mener jeg som sagt at argumentasjon er en viktig del av risikostyring. Problemforståelsen vi får ved å anvende Cynefin hjelper oss på vei når vi skal velge tilnærming og bygge bevis for eller imot sikkerhetstiltak. Cynefin-tankegangen henger også tett sammen med konseptene som ble gjort populære av tidligere forsvarsminister i USA, Donald Rumsfeld:

Opplagt: Kjente kjente — ting vi vet at vi vet.
Komplisert: Ukjente kjente — ting vi vet at vi ikke vet. Kjenner problemet, men ikke løsningen
Kompleks: Ukjente ukjente — ting vi ikke vet at vi ikke vet
Kaotisk: Ting vi ikke kan vite.

Interessert i risikostyring og vurdering? Besøk oss på https://www.diri.ai

Kilder:
CYNEFIN av Dave Snowden
CYNEFIN Wikipedia
Phil Huggins artikkel “Making sense of cyber”

Cynefin Framework
Risk Assessment
Risk Management
Cybersecurity
Norsk

--

--

Gaute Wangen

Written by Gaute Wangen

13 Followers

Co-founder and inventor at Diri AS. Ph.D. cyber risk management and associate professor in information security. #cybersheriff

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams