Risico's toegelicht
Als er gesproken wordt over informatiebeveiliging, komt al gauw het woord risico aan bod. Risico's moeten in kaart worden gebracht, worden beoordeeld en te hoge risico's moeten vooral worden aangepakt. Om dit alles te kunnen doen is het nuttig om het begrip risico goed te begrijpen.
Kans × impact
Risico is de kans dat een dreiging leidt tot een incident, gecombineerd met de impact van het incident. De verkorte schrijfwijze daarvan is dat risico gelijk is aan kans × impact. Als we die twee factoren plaatsen in de tijd, dan beschrijft de kans de van invloed zijnde zaken tot aan het moment van optreden van een incident en beschrijft de impact alles dat voortvloeit vanuit dat incident.
Meerdere zaken kunnen van invloed zijn op de kans. Als het gaat om een kwaadwillende actor, dan zijn dat het kennisniveau, de beschikbare middelen en de bereidheid van de actor. Bij niet-kwaadwillende actoren, zoals medewerkers, gaat het om kennisniveau, alertheid en interesse. Ook is de kwaliteit van de betreffende informatiesystemen en de mate van toegepaste beveiligingsmaatregelen zeer bepalend voor de kans.
Zaken die van invloed kunnen zijn op de impact zijn de mate waarin een organisatie afhankelijk is van de getroffen informatie, de omvang van het incident, de tijdsduur van het incident en de mate waarin de organisatie imagoschade kan oplopen. De impact is waar de bekende termen beschikbaarheid, integriteit en vertrouwelijkheid een rol spelen.
De risicomatrix
Om de factoren kans en impact visueel weer te geven wordt gebruik gemaakt van een risicomatrix. De invulling van de kans in die matrix is in veel gevallen min of meer hetzelfde, bijvoorbeeld zoals die in onderstaande matrix. De impact is echter voor iedere organisatie anders. Een schadepost van bijvoorbeeld €20.000 kan voor een eenmanszaak groot tot desastreus zijn, terwijl het voor een multinational waarschijnlijk klein of zelfs niet merkbaar is. Daarom wordt voor impact vaak een abstracte term gekozen, die iedere organisatie voor zichzelf concreet moet maken.
Naast de assen van de matrix is het ook interessant om de verschillende hoeken ervan nader te bekijken. Welk soort risico's vinden we terug in de verschillende hoeken?
Linksonder: De risico's helemaal linksonder in de matrix zijn lastig te benoemen. Ze komen bijna nooit voor, omdat het vaak situatie-specifieke gevallen zijn. Omdat ze daarnaast een niet merkbare impact hebben, liggen we er niet wakker van en zijn we ze ook weer snel vergeten. De kans is ook groot dat we dit soort incidenten niet eens merken, omdat we hier geen monitoring voor hebben ingericht. Deze hoek kunnen we dus negeren.
Rechtsboven: De risico's die zich in de rechterbovenhoek bevinden zijn de risico's die wij in Nederland gelukkig niet kennen. Risico's die maandelijks tot dagelijks je organisatie grote tot desastreuze schade kunnen opleveren, vind je vooral in oorlogsgebieden of gebieden waar terreurgroepen actief zijn. Een situatie waarbij een organisatie al haar bedrijfskritische informatie op een ongepatchte Windows 2000 server plaatst en deze direct op het internet aansluit, hoort ook thuis in deze hoek, maar dit soort extreme uitzonderingen laat ik buiten beschouwing. Ook deze hoek kunnen we dus negeren.
Linksboven: In de hoek linksboven tot midden-boven zitten de risico's waar ICT-afdelingen regelmatig mee te maken krijgen en de zaken waarvan iedereen weet dat het niet hoort, maar we toch doen. Gezien de hoge kans leiden dit soort risico's vaak tot daadwerkelijke incidenten. Bijvoorbeeld phishing e-mails, wachtwoorden die gedeeld worden, vertrouwelijke informatie verstuurd naar een verkeerde persoon, vertrouwelijke informatie naar huis mailen om thuis te kunnen werken, malware-besmettingen, et cetera. We kunnen ze niet negeren, omdat ze vaak genoeg voorkomen en/of omdat ze een serieuze impact hebben. Dat we aandacht hebben voor dit soort risico's, wil natuurlijk niet zeggen dat we dit allemaal op orde hebben. Voor veel organisaties vormen dit soort risico's helaas nog een grote uitdaging. Voor de organisaties die wel goed omgaan met deze risico's, zit het risico dat dan overblijft meer in de linkeronderhoek.
Rechtsonder: Rechtsonder zitten de interessante risico's. De bijbehorende incidenten zien we in het nieuws verschijnen. Het zijn tevens de lastigste risico's om aandacht voor te krijgen bij directies. Het zijn o.a. de risico's waarbij het scenario Hollywood-achtig aandoet. Wie zou je geloven als je vertelt dat het mogelijk is dat een aanvaller het netwerk van een leverancier van boekhoudsoftware binnendringt en malware vermomt als update voor die software? Dat deze aanvaller zodoende het netwerk van een buitenlandse vestiging infecteert die deze software gebruikt en deze malware via een koppeling tussen het lokale netwerk en het netwerk van die buitenlandse vestiging alle lokale systemen platlegt? Waarschijnlijk niet veel mensen. En toch is dat wat er in 2017 gebeurde in de Rotterdamse haven en zodoende voor honderden miljoenen euro's schade zorgde.
Ook zitten hier risico's waarvoor de maatregelen heel erg duur kunnen zijn. Hoe ga je uitleggen dat enkele miljoenen euro's moeten worden geïnvesteerd om de gevolgen van een incident te kunnen opvangen waardoor de organisatie failliet kan gaan, maar waarbij het niet heel waarschijnlijk is dat zo'n incident zich daadwerkelijk zal voordoen. Managers schuiven dat soort lastige beslissingen graag door naar hun opvolger. Raden van Bestuur spreken directies daar niet op aan en ook aandeelhouders lopen niet warm voor dat soort investeringen. Hoe meer we dus van linksboven/-midden naar rechtsonder gaan, hoe lastiger het wordt om aandacht te krijgen voor dat risico en het goed aan te pakken, terwijl de ernst van het risico min of meer gelijk blijft.
Risico-inschatting in de praktijk
Als adviseur informatiebeveiliging heb ik vele risicoanalyses uitgevoerd. Ook spreek ik regelmatig met anderen over risico's, hoe risico's ingeschat worden en hoe daar vervolgens mee omgegaan wordt. Uit dit alles heb ik een beeld gevormd over hoe in de praktijk tegen risico's wordt aangekeken. Dit beeld is dat de risico's waarvan men vindt dat dat men daar nog wat mee moet, zich bevinden in dat deel van de risicomatrix zoals aangegeven door de blauwe cirkel in onderstaande grafiek.
Dat vind ik best opmerkelijk. De risico's waarvan we vinden dat we daar nog wat aan moeten doen, hebben dus een kleine tot gemiddelde impact. Zoals in de vorige blog al aangegeven, kunnen we de risico's uit de hoeken linksonder en rechtsboven negeren. We krijgen regelmatig te maken met de risico's uit de ruime linkerbovenhoek, die zijn daardoor voor ons bekend. De risico's die overblijven en waar we ons dus onvoldoende druk om maken, zijn die in de hoek rechtsonder. Dat wijkt dus af van wat ik constateer uit de risicoanalyses. Waarom is dat? Zijn we niet creatief genoeg om voor die risico's de bijbehorende scenario's te verzinnen? Vinden we die scenario's niet reëel genoeg? Vergeten we die risico's liever omdat we de aanpak te duur of te ingewikkeld vinden? Incidenten als Diginotar, NotPetya, de 112-storing en de €19 miljoen CEO-fraude bij Pathé laten zien dat ze niet onmogelijk zijn. Dus wat is hier precies aan de hand?
Omgaan met risico's
Is een risico eenmaal inzichtelijk gemaakt, dan is de volgende stap: besluiten hoe we met dat risico omgaan. Daarvoor zijn vier aanpakken mogelijk.
Verweren: maatregelen nemen die de impact van een incident verlagen. Als een incident zich voordoet, zijn we beter voorbereid op de gevolgen ervan. Het risico verschuift daardoor naar links in de risicomatrix.
Ontwijken: maatregelen nemen die de kans op een incident verlagen. Dus voorkomen dat we in een situatie terecht komen dat een risico zich manifesteert als een incident. Het risico verschuift daardoor naar beneden in de risicomatrix.
Beheersen: maatregelen nemen die zowel de kans op een incident als de gevolgen daarvan verkleinen. Dus een combinatie van verweren en ontwijken. Het risico verschuift daardoor naar linksonder in de risicomatrix.
Accepteren: Er worden geen maatregelen genomen om het risico te verkleinen. We doen niks extra om een incident te voorkomen en de gevolgen van een incident worden geaccepteerd.
Sommige risicobeschrijvingen benoemen ook 'overdragen' als mogelijk aanpak. Daarbij besteed je bijvoorbeeld de werkzaamheden, en mogelijk daarmee de verantwoordelijkheden, uit aan een derde partij of verzeker je jezelf tegen een digitale aanval. Het is goed om je te realiseren dat dit eigenlijk alleen maar gaat om verweren op financieel vlak. Immers, zaken als imagoschade en de schade voor betrokkenen (incident met persoonsgegevens) neem je daar niet mee weg. Ik zie overdragen dus als een gecombineerde vorm van verweren en accepteren.
Om te bepalen wat de juiste aanpak is, is het verstandig goed te kijken naar het risico zelf en waar dit zich binnen de matrix bevindt. Neem bijvoorbeeld een externe dienst waar een organisatie in grote mate van afhankelijk is. Zo'n dienst heeft vaak een hoge mate van beschikbaarheid. De SLA's benoemen percentages van minimale beschikbaarheid. Dit alles om incidenten te voorkomen. Maar wat als, ondanks alle maatregelen, de dienst toch niet beschikbaar is? Welk probleem heb je dan? Heb je dan een groot probleem? Met andere woorden: zit dat risico rechtsonder in de matrix? Uit de matrix is op te maken dat het voor dat soort risico's het meest efficiënt is om de impact te verlagen. Desondanks wordt er soms na een dergelijk incident onder het mom van 'dit nooit meer' voor gekozen om de kans nog verder te verlagen. Hoewel dat een begrijpelijke reactie is, is de vraag of dat risico-technisch gezien de juiste keuze is.
Los van welke aanpak je kiest voor de risico's uit de hoek rechtsonder, het is goed om deze risico's te benoemen en bespreekbaar te maken. Uitspreken dat je niet weet wat de juiste aanpak is, is niet erg. Alleen moet dat niet een reden zijn om de risico's te negeren.
Afhankelijkheid
Als een dienst een hoge beschikbaarheid biedt, klinkt dat heel mooi. Echter, in die lage-kans schuilt dus ook een gevaar. Hoe hoger de mate van daadwerkelijke beschikbaarheid, hoe meer we daar ook vanuit gaan en hoe slechter we, naar mijn idee, voorbereid zijn op een verstoring. Dat doet me denken aan het 'shared space' concept uit de verkeersveiligheid. In zo'n shared space-gebied zijn minder tot geen verkeersborden en wegmarkeringen aangebracht. Omdat er voor weggebruikers dan minder zekerheid is, gaan ze bewuster handelen door bijvoorbeeld snelheid te minderen en beter uit te kijken. Door zelf minder maatregelen te nemen om de kans te verlagen, creëer je meer aandacht voor de impact, waardoor de kans alsnog kleiner wordt. Het argument 'als ik me aan de regels houd, dan valt mij niks te verwijten' vervalt daar namelijk mee. Er is dus wat voor te zeggen om de beschikbaarheid van belangrijke diensten bewust wat lager te houden, zodat we beter gaan nadenken over onze afhankelijkheid daarvan en we onszelf beter voorbereiden op het niet beschikbaar zijn van die dienst, waardoor we een robuustere samenleving krijgen.