När man arbetar med cybersäkerhet och ska segmentera sina system i säkerhetszoner är det en god idé att använda sig av riskanalys.
På detta sätt undviker man att säkerhetsarbetet blir utfört enligt en odefinierad ”ad hoc”-metod och dessutom blir det oftast enklare att förklara och motivera de investeringar man vill göra om man kan redogöra för vilka risker man åtgärdar eller reducerar.
Standarden IEC 62443 är en bra metod att använda när man gör sin riskbaserade zonindelning.
I denna text förklarar vi vad som är viktigt att tänka på när man baserar sin zonindelning på riskanalys enligt IEC 62443.
Varför gör man en zonindelning baserad på riskanalys?
För att kunna veta åt vilket håll man ska gå i sitt cybersäkerhetsarbete måste man utvärdera verksamheten så som den ser ut idag – genom att göra en analys av de risker som finns i nuläget i verksamhetens system.
I en initial, enkel riskanalys identifierar man det värsta som kan hända idag utan att ha introducerat några riskreducerande åtgärder. Senare görs en detaljerad riskanalys för separata zoner och flöden. Detta steg tar man först när man gjort indelningarna av zoner och flöden som baserats på den initiala riskanalysen.
Målet med dessa riskanalyser är att i slutändan kunna applicera rätt riskreducerande åtgärder och skapa en säkrare verksamhet där krutet läggs på rätt ställen.
Hur gör man sin zonindelning med hjälp av riskanalys?
I den initiala, enkla riskanalysen tittar man på ett worst case-scenario, alltså det värsta som kan hända i verksamheten. Här räknar man med att man inte vidtagit några åtgärder för att reducera de risker som finns. Man behöver en del input i denna fas, så som:
- Övergripande systemarkitektur – man behöver veta vilka system som ingår för att systematiskt kunna gå igenom dem.
- Riskkriterier och riskmatris med tolererbar risk – vilka risker kan vi acceptera och vad måste vi åtgärda? Hur mäter vi risk?
- Befintliga riskanalyser – har vi gjort någon slags riskanalys tidigare och kan använda oss av delar därifrån?
- Information om hotbild – vad skulle kunna hända? Vilka hot finns gentemot organisationen?
Utifrån denna input kan man alltså räkna ut en worst case-risk som de olika delarna i systemet blir utsatta för utan säkerhetsfunktioner eller segmentering. Det man ska fråga sig är vilken påverkan en cyberattack som medför att systemen sätts ur spel får på verksamheten? Hur stor blir spridningseffekten? Hur stora geografiska områden påverkas och hur många människor påverkas? Om eldistributionen skulle stängas av kan många människor påverkas. Finns det kritisk verksamhet (t.ex. sjukhus) som är beroende av eltillförsel? I den initiala riskanalysen är man bara intresserad av konsekvensen och antar då att sannolikheten är ’ofta’.
Genom att definiera våra olika worst-case scenarion och koppla dessa till de olika systemen kan vi göra en initial zonindelning där systemen placeras i zoner tillsammans med andra system med samma nivå av skyddsvärde.
När man gjort sin indelning av zoner och dataflöden brukar man behöva göra en detaljerad riskanalys. Enligt IEC 62443 gör man en detaljerad riskanalys om den initiala risken överskrider den acceptabla risken. I den detaljerade riskanalysen gör man en riskanalys per zon och flöde och utgår från samma riskmatris som för den initiala riskanalysen. I den detaljerade riskanalysen utgår man från ett antal steg:
- Identifiera hot och hotaktörer mot zoner och flöden
- Identifiera sårbarheter som kan utnyttjas
- Bedöm omitigerad konsekvens, sannolikhet och risk
- Inför riskreducerande åtgärder
- Bedöm reducerad konsekvens, sannolikhet och risk
- Är den reducerade risken OK? Om inte, inför fler åtgärder