Riskanalysens mörka hemlighet -- del 2

I förra delen diskuterade vi konsekvensproblemet; nästa problem med riskanalyser är sannolikhetsproblemet.

Sannolikhetsproblemet
Det vi vill göra med faktorn SANNOLIKHET är att avgöra hur mycket vi behöver bry oss om en KONSEKVENS. Kommer konsekvensen att påverka oss ofta? Kommer den att inträffa överhuvudtaget? En lindrig konsekvens som påverkar väldigt ofta kan ju, åtminstone teoretiskt, vara värre än en allvarlig konsekvens som slår sällan. Det är lite som, vad är värst: att bli träffad av en tennisboll i huvudet 30-40 gånger per dag eller att bli knivhuggen var 70:e år?

Det finns de som är väldigt bra på sannolikheter; Transportstyrelsen har t ex en rätt god uppfattning om hur vanligt det är att personbilar krockar i rondeller jämfört med fyrvägskorsningar. Tyvärr handlar det om fel sorts säkerhet, det är olyckor, inte attacker. Polisen då? De arbetar ju med att förhindra attacker (fast de kallar det för brott). I programmet Efterlyst har t ex Leif GW Persson lärt oss att det i en klar majoritet av fallen är en manlig bekant som är ansvarig när en kvinna har blivit misshandlad.


För polisen, vars verksamhet i stor utsträckning kretsar kring utredningar after-the-fact, är kunskaper om sådana sannolikheter av stort värde. Det passar dock inte oss. Vi är mer i läget där vi vill veta hur stor sannolikheten är att en familjemedlem blir misshandlad, inte hur stor sannolikhet det är att det skulle vara en manlig bekant som är förövare.

(Varning för fabricerade citat och påhittad statistik nedanför.)

"Men", säger Leif GW, "det är enkelt, det beror ju på vad det är för familjemedlem. Din son löper t ex större risk att bli misshandlad än din dotter eftersom män blir misshandlade oftare än kvinnor." Här är vi något på spåren. Vetskapen att sonen är utsatt för större risk än dottern kan vara värdefull men det är inte vad vi är ute efter, vi vill veta hur stor risk sonen är utsatt för. "Äsch", svarar Leif GW, "man brukar väl säga att män i snitt blir misshandlade var 26:e år. Yngre män i tjugoårsåldern får väl spö dubbelt så ofta men det finns andra faktorer som väger in också."

Så ju mer vi vet om analysobjektet (sonen) desto mer rättvisande sannolikhet kan Leif GW ge oss. Nu är vi verkligen något på spåren.

Anta att vi är föräldrar och har enäggstvillingar. Vi vill veta hur stor risk de löper att bli misshandlade. Med hjälp av brottsstatistikoraklet Leif GW kan vi analysera situationen:
  • Tvillingarna är män och borde därför bli misshandlade, i snitt, var 26:e år.
  • Tvillingarna är män och mellan 20 och 30 år gamla och borde därför misshandlade var 13:e år.
  • Tvillingarna är män, 20-30 år gamla och är ofta inne i stan på natten. De blir därför misshandlade var åttonde år.
  • Tvillingarna är män, 20-30 år gamla, tillbringar mycket tid inne i stan och har flera kompisar som är kriminella. Det borde innebära att de blir misshandlade var tredje år.
  • Den ena tvillingen har 200 000 kr i spelskulder till maffian. Han blir hotad och misshandlad flera gånger i veckan.
  • Den andra tvillingen doktorerar i konflikthantering och blir nästan aldrig misshandlad.
Vår sannolikhetsbedömning beror på hur mycket vi vet. I det här fallet, ju mer vi lär känna tvillingarna desto större risk visar det sig att de är utsatta för. Om vi hade nöjt oss med att det var två unga män hade vi konstaterat att båda skulle bli angripna var 13:e år. När vi grävde djupare visade det sig dock att de, tvillingskapet till trots, löpte totalt olika risk för misshandel. Teoretiskt, om vi gräver vidare, skulle vi ju kunna hitta fler detaljer som förändrar den bild vi har. Någonstans måste vi dock stanna.

Det är ju smått fantastiskt var man kan komma med lite analys. Men don't get your hopes up, inom IT-säkerhet har vi det långt ifrån lika förspänt som Polisen har. Sannolikhetsproblemet är att vi sällan är säkra på vad som påverkar sannolikheten och att vi inte har någon aning om hur sannolikheten påverkas.

I klartext betyder det här att vi i regel inte vet vad som påverkar sannolikheten att ett system blir hackat. Samtidigt, om vi nu skulle ha det, har vi definitivt ingen aning om i vilken utsträckning det påverkar.

Vi sitter och tittar på ett arkitekturdokument, konstaterar att konsekvenserna av att en angripare får kontroll över ett reverse-proxy är rätt stora och behöver bilda oss en uppfattning om hur sannolikt det är att det händer. Vår sannolikhetsbedömning här avgör huruvida det hamnar högst upp på listan eller om det hamnar under något-att-bry-sig-om-strecket. Spelar det roll att det är Apache 2 på Windows? Hur stor roll spelar det?

Epilog
Vi har ingen Transportstyrelse, vi har inget Brottsförebyggande råd, våra angripare är för intelligenta och de tekniska förutsättningarna för både oss och angriparna ändras för snabbt. Vi har inte år av samlad statistik att luta oss tillbaka mot. Förutsättningarna är såpass dåliga att man undrar om de ens är värda att försöka sammanställa. Vi är beroende av aktuell kunskap och erfarenhet hos individer när det gäller att bedöma risker, utstuderade metoder som resulterar i värden erbjuder ingen genväg.

Vanligen är försvaret mot sådana här anklagelser något i stil med "man behöver ju inte vara helt exakt, det viktiga är ju att man försöker". Ja, på sätt och vis. Värdet av att olika personer samlas och gnuggar geniknölarna kring det här är stort men man kanske ska nöja sig med en konsekvensanalys och hålla tungan rätt i mun när (om) sannolikheten ska bedömas. Sannolikheter rörande säkerhet som påverkar våra verkliga liv kan vara enkla att bedöma. Vår värld inom IT-säkerhet är mycket svårare, de flesta av oss har en dåligt utvecklad intution.

--
Stefan Pettersson

Kommentarer
Postat av: Michael Geller

Flera spekulationer/resonemang:

Eftersom både sannolikhet och konsekvens är svåra att hantera för oss dödliga, speciellt när vi inte har god statistik att luta oss tillbaka mot så får man nog räkna med att alla sådana resultat slår en del. Säg att man bedömer sannolikhet och konsekvens efter en femgradig skala, då är det inte orimligt att tänka sig att varje bedömning slår med minst +/-1 steg i skalan och ibland även +/- 2 steg. Detta kan förvandla ett allvarligt hot till ett obetydligt och tvärtom [katastrofalt, mycket allvarligt, allvarligt, betydligt, obetydligt].



Gör det att en riskanalys inte fyller sin funktion?



Jag tycker inte det, det finns alltid fördelar med att sätta sig ner och tänka igenom svagheter och problem med i ett projekt, riskanalysens metod uppmuntrar detta och tar oftast bort eventuella hämningar som kommer med att man inte vill säga emot chefer, hålla tidplan eller verka vara besvärlig. Så om man träffar ungefär rätt +/- 1 får duga.

2011-03-25 @ 11:02:12
Postat av: Stefan Pettersson

Vad är det för funktion riskanalysen ska fylla då?



Om syftet blott är fördelarna med att "sätta sig ner och tänka igenom svagheter och problem" samt att formaliseringen med skalor, en formel och att det resulterar i ett eller flera dokument gör att man kan lura projektledare/beställare att tillåta det. Då har du rätt.



Jag tror inte att det är ett effektivt utnyttjande av tiden det tar om syftet är säkerhet.

2011-03-25 @ 11:27:15
URL: http://highperformance.blogg.se/

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0