26 juni 2017

Svårt att beskriva och bedöma hot mot IT-system

Att göra korrekta bedömningar av sannolik­heter och konsekvenser för hot mot IT-system är en stor utmaning. En studie vid FOI har lett fram till flera viktiga slutsatser om vad Försvars­makten bör tänka på i sina bedömningar.

väg med skylt kurvig väg

Foto: Johan Bengtsson/FOI.

För att kunna ta fram effektiva skydd mot IT-attacker måste Försvarsmakten utgå från bedömningar av de hot som finns mot det aktuella systemet. Men i en ny rapport från FOI konstateras att det är svårare än vad många tror att bedöma sannolikhet och konsekvens för hot mot IT-system.

– När försäkringsbolag bedömer sannolikhet och konsekvens av att skada inträffar har de omfattande statistik att utgå ifrån.

Motsvarande underlag för att bedöma sannolikheter och konsekvenser för hot mot IT-system saknas, berättar Jonas Hallberg, FOI, en av tre forskare som står bakom rapporten.

– Försvarsmakten måste därför istället förlita sig på experter för dessa bedömningar. Samtidigt vet man att bedömningar av hot varierar med vem som gör dem, fortsätter han.

Kunskap och erfarenhet är två viktiga påverkans­faktorer. Forskarna har också undersökt om tillgången till, och utformningen av, underlag för bedömningen har betydelse för samstämmigheten mellan olika personer. I ett experiment fick ett antal experter hotbeskrivningar dels i form av strukturerade tabeller, dels som löpande text.

Skillnaderna i samstämmighet blev inte så stora beroende på underlaget. Däremot kunde forskarna dra slutsatsen att tabeller verkar vara det bästa alternativet när erfarna personer ska göra sannolikhets- och konsekvensbedömningar, medan naturligt språk passar bättre för icke-experter.

Ett annat experiment som ingick i studien handlade om att jämföra olika metoder för bedömning av hot. Experimentet visade att dagens bedömningssätt, där varje hot bedöms individuellt, passar bättre för noviser medan parvisa jämförelser av hot lämpar sig mer vid expertbedömningar.

För att minska personberoendet, och öka förutsättningarna för samstämmiga bedömningar, bör Försvarsmakten tydligt specificera hur hot mot IT-system ska beskrivas.

– Det är väldigt viktigt att man lägger ner energi på att ta fram tydliga hotbeskrivningar som kan ligga till grund för arbetet med IT-systemens säkerhet, säger Jonas Hallberg.

I rapporten framgår även att Försvarsmakten noga bör specificera vilka avgränsningar som gäller för bedömningar, som till exempel omfång och tid. Precisionen bör också vara beroende av hur resultaten ska användas.

– Vi vill hitta förenklingar och ett bättre stöd så att de som har i uppgift att göra olika bedömningar får bättre förutsättningar att uträtta ett bra jobb, konstaterar Jonas Hallberg.