NIS2 - Så arbetar du med riskhantering

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

03/25/2024 |

NIS2 är tydlig i att arbetet med informationssäkerhet ska vara riskbaserat, men vad betyder det och hur ska man definiera och arbeta med risk?

Vi ser alla olika på detta med risk, det en person ser som en risk kan en annan se som en möjlighet, för att förenkla kan man ta exempel med ekonomisk risk. Handel med aktier medför alltid en risk att förlora pengar samtidigt som det medför möjlighet att tjäna pengar, det gör att vissa ser det som en risk medan andra ser det som en möjlighet. Likväl är det, i vår tekniska värld, det som anses risk i vissa fall ger en stor affärsmöjlighet.

Hur definieras risk?

NE´s uppslagsverk definierar risk i tekniska sammanhang väl, där essensen av definitionen är:

“I teknisk bemärkelse kan risk definieras som sannolikheten för att en specificerad omständighet (riskkälla) leder till en specificerad oönskad händelse eller effekt under en angiven tidsperiod.”

Där den oönskade effekten för NIS2 är att leverans av samhällskritisk funktion inte kan genomföras i den kapacitet som behövs för att inte påverka samhället negativt.

Risk behöver därför två komponenter, dels en händelse och dels en negativ effekt. Dessa två komponenter tillsammans bildar den bedömda risken.

ISO 31000 har en bredare syn på risk där en risk både kan ge positiva och negativa effekter, vilket skiljer sig då andra ramverk för risk endast hanterar de negativa effekterna.

Hur definierar vi sannolikhet?

Hur sannolikt något är behöver estimeras, detta görs utifrån den information man har tillgänglig, dels från egen erfarenhet i verksamheten men även annan publik information från likvärdig verksamhet eller likvärdig lokalisering.

Estimeringen behöver göras i en numerisk skala för att kunna vara del i beräkning av risk, här är det viktigt att den numeriska skalan är väl definierad i riskhanteringspolicyn. Granulariteten för skalan behöver vara hanterbar, exempelvis kan en skala på 1-3 kan vara för snål, medan en skala på 1-50 kan leda till att det är mer diskussion om sannolikheten är var tredje månad eller var fjärde månad, detta på bekostnad av att diskutera hur en risk ska hanteras.

En skala på 1-5 kan exempelvis vara stigande skala från att det inträffar var tionde år till att det inträffar flera gånger per år. Där det senare skulle innebära 5 i sannolikhet.

Hur definierar vi effekten?

Effekten, eller som ofta sägs konsekvensen, behöver också bedömas utifrån en definierad skala för att kunna vara del i beräkning av risk. Även här är det en bedömning utifrån tillgänglig information, både intern och extern. Normalt är det att man har likvärdig skala som sannolikhet.

Den direkta effekten kan ofta beräknas relativt enkelt, dels genom information om förlorad omsättning vid driftstörningar, men även publik information om vad exempelvis kostnader för insatser vid ransomware brukligen kostar för företag.

Den indirekta effekten kan vara desto svårare att beräkna, där indirekt effekt bl.a är försämrat rykte som kan leda till minskad försäljning, svårare att behålla och rekrytera anställda eller andra mer svårkopplade ekonomiska effekter.

Sett till NIS2 är det den direkta effekten på leveransen av samhällsviktiga tjänster som är den primära aspekten att hantera.

En skala på 1-5 kan exempelvis vara en stigande skala från ekonomisk förlust på 50 000 kronor till 10 miljoner kronor, där 10 miljoner kronor skulle innebära stora svårigheter att fortsätta verksamheten. Medan det för större företag kan vara ekonomiska förluster på 1 miljoner till 300 miljoner kronor i skalan, eller ännu större belopp beroende på företagets ekonomiska förutsättningar.

För NIS2 behöver man bedöma om skalan även ska beakta dessa aspekter, det kan vara så att en den ekonomiska skadan är begränsad för företaget men samhällsskadan är desto större om de kritiska tjänsterna inte kan levereras.

Hur beräknas risken?

Utifrån sannolikheten och effekten kan ett riskvärde beräknas, normalt definieras detta som “R = S * K”, dvs Risken är produkten av faktorerna sannolikhet och konsekvens (effekt). Vilket för ett exempel med en sannolikhet på 5 och konsekvens på 3 resulterar i en risk på 15.

Hur hanteras risk?

En risk kan hanteras på flertalet sätt, antingen accepteras den och ingen ytterligare åtgärd genomförs. Alternativt tittar man på om det antingen går att minska sannolikheten eller konsekvensen. Tar vi exemplet med ransomware är det möjligt att minska båda genom tekniska insatser, dels genom att försvåra att ransomware kommer in i företagets IT miljö, men även att försvåra spridningen av ransomware internt inom bolaget om en enskild enhet blir infekterad.

Att helt ta bort en risk innebär oftast att man behöver sluta med viss aktivitet, detta leder då oftast till negativ påverkan på företaget, men kan vara nödvändig om risken är större än vad som kan accepteras och åtgärder för att minska sannolikhet och konsekvens är för kostsamma.

Vem kan acceptera en risk?

Lämpligast är det om styrelse och ledning sätter en acceptabel risknivå, utifrån denna kan sedan verksamheten konsolidera alla risker och identifiera om man som helhet överstigen accepterad risknivå. I det fall man överstiger accepterad risknivå behöver det hanteras antingen genom åtgärder eller att beslut lyfts till styrelse och ledning att ändra accepterad risknivå.

Det är dock viktigt att förstå att risker inte skall accepteras blint så länge man ligger under den accepterade risknivån. Det finns många åtgärder som kan sänka både sannolikheten och effekten som är enkla att implementera och därav inte bör undvikas även om man är under acceptabel risknivå.

Vad mer kan man göra?

Det som beskrivs i denna text är en enkel modell för riskhantering, den är lämplig att börja med för att identifiera risker och arbeta med dessa. Mer avancerade metoder finns för beräkning av kostnaden för risker och koppla detta till “return of security investment (RoSI)”. Detta är dock inget krav i NIS2.

Cegal och riskhantering

Cegals konsulter inom informations- och cybersäkerhet har erfarenhet att etablera ledningssystem för informationssäkerhet för regelefterlevnad både för NIS och andra regulatoriska regelverk. I detta ingår att etablera styrning inom riskhantering.

Våra konsulter har även erfarenhet av att leda risk-workshops för att identifiera och dokumentera de risker som finns för din verksamhet, detta i samverkan med din verksamhet.