Den nye digitale hverdagen og det endrede risikobildet vi møter er vår nye virkelighet. Risikobildet påvirkes i stor grad av økt bruk av tjenesteutsetting og tjenestekjøp. For å møte disse utfordringer er det viktig å ha forståelse for kompleksiteten i virksomhetens databehandlingsprosesser.
Utvikling i digitale tjenester – hva skjer med kontroll?
Digitalisering gjør verden stadig mindre. Teknologi og infrastruktur blir stadig mer sammenflettet og selskaper knyttes tettere sammen gjennom ulike digitale løsninger. Denne utviklingen, som skaper nye mulighetsrom, fører også med seg nye utfordringer for den enkelte organisasjon eller selskap. Den stadig økende bruk av digitale tjenester innebærer blant annet at brukere blir mer mobile og bruken av skybaserte tjenester øker. Denne utviklingen gir fordeler, men fører også til økt kompleksitet ved at data og applikasjoner blir distribuert til flere enheter og lokasjoner, og således øker avhengighet til ulike tredjeparter.
Risikoen øker for at feilkilder ikke oppdages hos virksomheten når deres informasjonsverdier strekker seg ut over egen virksomhet. I dette landskapet finnes nye typer risikoer som må tas stilling til. Grenser hviskes ut og avhengigheten av de ulike IKT-systemene gjør selskaper sårbare. Hvordan kan vi møte slike utfordringer i en kontrollkontekst?
Metodikk for sikkerhetsstyring og risikovurdering har hvilt på forestillingen om tydelig avgrensning, kontroll og ansvar. Man har hatt som utgangspunkt at ulike risikoer må oversettes til kontrollerbare størrelser, og noen må eie risikoen. Hva om de nye digitale systemene og deres sårbarheter er grenseløse, eller hva om ingen eier dem? Dette kan være sårbarheter som er ukjente av flere årsaker; de kan være ignorert, glemt, aldri tenkt på, umulig å identifisere, feiloppfattet eller underestimert.
Det nye risikobildet
Gjennom de siste årene har flere offentlige og private bedrifter opplevd hendelser hvor man av ulike årsaker har endt opp i en situasjon hvor eksterne aktører har fått tilgang til bedriftssensitiv informasjon. Rotårsaksanalysen har stort sett kommet frem til samme konklusjon ved hendelsene;
I mange av tilfellene lå ikke sårbarheten hos organisasjonen selv, men andre steder i verdikjeden og ofte utenfor organisasjonens definerte scope for systemgrenser og risikoanalyser. Sårbarheten som ble utnyttet for å få tilgang til data var ukjent for beslutningstagere og risikoeiere.
Akademia har de siste årene fokusert på at man må anerkjenne de nye risikoene gjennom å godta at nåværende risikotilnærminger kan komme til kort. Denne type utfordringer, hvor de «gamle» definerte systemgrensene ikke lenger eksisterer krever ny tenkning og nye tilnærminger til risiko og sårbarhet. Man må rette oppmerksomheten mot komplekse landskap av risiko, som involverer flere systemer som kan generere, overføre og omplassere risiko. Man må åpne for at scenarier griper inn i hverandre – med muligheter for overføring og eskalering. Dette kan defineres som et «sårbarhets- og trussellandskap». Et landskap som involverer flere systemer i samspill. Stadig flere peker på perspektiver som kan utfordre dagens risikoerkjennelse.
Et sentralt spørsmål er hvordan man kan hjelpe risikoanalytikere og beslutningstakere til å se de skjulte, dynamiske truslene og kompleksiteten i dem. Forskning har sett på denne utfordringen i et samfunnsperspektiv. Man har sett på hvordan sette sammen sektororienterte trusselbilder til større bilder som kan gjenspeile koblinger og avhengigheter mellom sektorer og dermed også få frem underliggende koblinger og sårbarheter. Forskningen har vist at denne type komplekse risikobilder på tvers av sektorer ikke normalt fanges opp. Det er derfor et behov for å stille flere spørsmål omkring hvilke uforutsette hendelser som kan inntre som følge av dagens tette digitale koblinger.
Så hvordan treffer denne problemstillingen den enkelte organisasjons evne til å kunne oppdage og håndtere egen risiko?
Et eksempel er hvordan dataviruset NoPetya medførte at selskapet Mærsk fikk et faktisk tap på mellom 250 og 300 millioner dollar som følge av virusangrepet. Mærsk har tidligere fortalt at skadevaren ble distribuert gjennom en programvare kalt MeDoc, som blir brukt for å levere skattemeldinger i Ukraina. Det er ikke kjent i hvilken grad selskapet faktisk hadde fanget opp avhengigheten mellom et enkelt IT-system i Ukraina og selskapets samlede logistikksystem, men eksemplet illustrerer hvilke konsekvenser denne type avhengigheter kan ha.
Tjenesteutsetting og tjenestekjøp
Økt digitalisering utfordrer de tradisjonelle forutsetningene rundt kontroll og ansvar. Digitale tjenester er ikke lenger en plattform som eies og forvaltes av organisasjonen selv. Det er en økende trend at private og offentlige virksomheter velger å tjenesteutsette hele eller deler av sin IKT- portefølje.
Ifølge Statistisk sentralbyrå (SSB) har andelen norske virksomheter med ti eller flere ansatte som kjøper skytjenester, økt fra 40 til 48 prosent bare fra 2016 til 2017. Tjenesteutsetting, inkludert skytjenester, er av de mest betydningsfulle trendene innen digitaliseringen av samfunnet. Digitalisering er en viktig faktor for at organisasjoner skal sikre nødvendig innovasjon og konkurransekraft. Tjenesteutsetting er også ett av virkemidlene for å holde følge med teknologiutviklingen, men med denne utviklingen kommer også utfordringen knyttet til å ha oversikt over risikoene de allerede komplekse verdikjeder innfører.
En annen trend som øker kompleksiteten ytterligere, er hvordan markedet i
større grad tilbyr tjenestekjøp. Tjenester som før ble levert av en intern infrastruktur, blir nå levert som tjenester. Tjenester som gjerne tilbys som virtuelle skytjenester tilgjengeliggjort over internett. Dette gjør at den gamle «systemgrensen» blir visket ut og man får en situasjon hvor man i stor grad arver risiko fra sine ulike partnere og underleverandører. I dette markedet ser man ofte at kontrakter som regulerer ulike IT-tjenestekjøp stiller krav til opptid for å sikre stabile leveranse. Gjennom ulike kontrakter stilles det krav til for eksempel opptid på 99.75%.
Kontrakten vil også ofte regulere ulike sanksjoner som inntreffer hvis det kontraktfestede oppetidskravet ikke innfris. Til tross for dette inneholder kontrakten veldig sjelden faktiske krav til hvordan leverandørens infrastruktur skal understøtte oppetidskravet. Dette medfører i ytterste konsekvens at underleverandøren står fritt til å ta så mye risiko de ønsker for å levere på kontraktens oppetidskrav.
Vil det i dette digitale landskapet være mulig å definere en systemgrense?
Systemgrense er en ramme som historisk sett er brukt for å plassere ansvaret for risikoaksept. Jeg tror at svaret på spørsmålet er nei. Man vil ikke på samme måte som tidligere kunne definere tydelige systemgrenser som definerer både ansvar men også omfanget av risikoaksept. Tidligere har risikometodikk definert løsningen gjennom en grundige verdi- og risikovurderinger, som i sin tur danner grunnlag for å etablere de riktige tiltakene. Utfordringen kommer når man ikke er i stand til å forstå de ulike IKT avhengighetene som visker ut grensene mellom tjenester og systemer.
Prosesskartlegging
For at risikovurdering faktisk skal kunne vurderes som relevant og korrekt må man evaluere hvordan omfang og scope er definert og hvordan denne prosessen har blitt gjennomført. Det er kritisk at det gjennomføres en god prosess for å identifisere og kartlegge leveranser, verdikjeder, funksjoner og ressurser som kan ha innvirkning på risiko og valg av risikoreduserende tiltak i forbindelse med beskyttelse av virksomhetens IKT-miljø og tjenesteleveransen.
Den «grenseløse digitale infrastrukturen» vil kreve en dynamisk tilnærming. Det å kjenne sin egen virksomhet er viktig for å drive effektivt og levere gode tjenester. Dersom virksomheten ikke har identifisert, prioritert og satt fokus på å beskytte sine viktigste prosesser og funksjoner, kan mange av de viktigste verdiene og understøttende ressurser være eksponert for aktører med onde hensikter eller utilsiktede hendelser. Dersom en virksomhet ikke har oversikt over hele verdikjeden for sine viktigste leveranser kan enkelte deler være godt sikret, mens andre vitale deler kan være åpent eksponert og sårbare for tilfeldige og målrettede angrep. I tillegg til sikring av konfidensialitet og integritet, vil det for de fleste virksomheter være like viktig å ivareta behovet for tilgjengelighet av sine kritiske leveranser.
Konklusjon
En løpende og dynamisk kartlegging av leveranser og tjenester vil ha som mål at viktige verdikjeder, informasjon og avhengigheter blir kartlagt og prioritert. Kartlegging må også inkludere sikkerhetsdesign, soneinndeling, tilgangsstyring, konfigurasjon, logging og sikkerhetsovervåkning. Det er viktig å hensynta alle komponenter som påvirker hvordan risiko kan «bevege» seg mellom ulike digitale løsninger og tjenester. I tillegg må man se på avhengigheter til leveranser og tjenester fra samarbeidspartnere, tjenesteleverandører eller underleverandører. Kunnskapen om leveranser og verdikjeder må forvaltes dynamisk over tid, noe som kan være krevende i en hektisk hverdag. Men tiden der kunnskap lagres i permer er forbi, og det krever at det fokuseres på digitalisering og automatisering for å sikre et løpende bilde av faktisk risiko.
Vil det i dette digitale landskapet være mulig å definere en systemgrense?
Det korte svaret er nei.
1 Tor Olav Grøtan SINTEF: New Strains of Society:
Hidden, Dynamic ad emergent Vulnerabilitie
