Vi må tenke nytt om digital sikkerhet

Tradisjonelle risikovurderinger alene er ikke tilstrekkelig når kompleksiteten i digitale systemer eksploderer. Vi trenger helhetlig risiko- og sikkerhetsstyring basert på et bredt kunnskapsgrunnlag der risikovurderinger suppleres med strategier for økt motstandsdyktighet, redundans og tilpasningsevne.

Av: Monica Endregard og Kjell Olav Nystuen, Forsvarets Forskningsinstitutt

Det moderne samfunnet er digitalt. Vi bruker, direkte og indirekte, infrastrukturer og tjenester basert på informasjons- og kommunikasjonsteknologi i nær sagt alle aktiviteter både på jobb og i fritiden. Stadig mer komplekse digitale infrastrukturer og systemer er en integrert del og en forutsetning for virksomheters prosesser og resultater. Å sette ut deler eller hele verdikjeden knyttet til en digital tjeneste til profesjonelle tilbydere blir mer og mer vanlig. Digitale infrastrukturer som elektronisk kommunikasjon, satellitt-tjenester og energiforsyning er grunnlaget for verdiskapning, velferd og sikkerhet, ja hele samfunnsmaskineriet, inkludert kritiske funksjoner som helse- og omsorgstjenester, lov og orden, redningstjeneste, transport, finansielle tjenester og mat- og vannforsyning. Industri og landbruk kjennetegnes av økende automatisering og styring gjennom operasjonell teknologi. Smarttelefonen med alle dens apper er blitt så og si uunnværlig for oss. I sum blir vi stadig mer avhengige av disse infrastrukturene og systemene, og dermed stiger også behovet for å vurdere sårbarheter og håndtere risiko for å sørge for god nok sikkerhet. Men hvordan gjør vi det?

Kompleksiteten og kunnskapsbehovet øker

Kompleksiteten øker gjennom stadig tettere *avhengigheter og koblinger, lange og uoversiktlige verdikjeder nasjonalt og internasjonalt, rask innføring av ny og moderne teknologi og dermed høyt endringstempo. Kunstig intelligens, tingenes internett, skytjenester og infrastrukturene der slike teknologier implementeres slik som 5G, energi- og transportsektorene øker kompleksiteten ytterligere. Moderne virksomheter skaper verdi sammen i form av blant annet kjøp av tjenester i markedet, sammenslåing og oppkjøp, allianser av kort og lengre varighet, fellesforetak, lisensiering, franchise og crowd sourcing. Verdiskapning er med andre ord dynamisk samarbeid og partnerskap med alt fra enkeltpersoner til universiteter i Asia. Dette betyr at både de digitale systemene i seg selv er komplekse, og vår bruk og avhengighet av systemene er kompleks.

Men hva er kompleksitet? Med kompleksitet mener vi at det ikke er mulig å etablere en nøyaktig prediksjonsmodell for et system basert på kunnskap om de spesifikke funksjonene og tilstandene for systemets enkeltkomponenter. Kjennetegn ved et komplekst system er at det består av sub-systemer og sub-aktiviteter som er koblet på kjente og ukjente måter, at systemet er dynamisk, i endring og ikke-lineært. Det vil forekomme overraskelser om hvordan systemet oppfører seg både i vanlig drift og ved påkjenninger. Følgende spørsmål er viktige, men mer og mer vanskelig å besvare:

  • Hvem bruker tjenestene og infrastrukturene, og til hva?

  • Hvem eier og er ansvarlig for ulike komponenter i de digitale infrastrukturene og tjenestene?

  • Hvor er kommunikasjonsveiene og servere

  • lokalisert?

  • Hvordan blir ulike typer teknologier tatt i bruk i digitale systemer?

  • Hvem programmerer funksjonene som inngår i systemene?

Den kunnskap som er nødvendig blir stadig vanskeligere å tilegne seg. I en slik virkelighet, hvordan kan vi gjøre gode og risikobaserte valg for innretting av de digitale tjenestene og infrastrukturene og vår bruk av dem? Hvordan vurdere hvilke konsekvenser bortfall og forstyrrelser kan få og mulighetene for at det kan skje? Hvordan definere et forsvarlig sikkerhetsnivå og velge egnede sikkerhetstiltak for å oppnå dette?

Helhetlig tilnærming til risiko- og sikkerhetsstyring er nødvendig

I henhold til etablerte standarder består risikostyring av følgende elementer: En beskrivelse av omfang, kontekst og kriterier og deretter en risikovurdering som består av både å identifisere, analysere og evaluere risiko. Denne inngår i beslutningsgrunnlaget for å håndtere risiko, det vil si virksomhetens beslutning om hvilke risikoer som er akseptable og hvilke som må reduseres gjennom ulike sikkerhetstiltak.

- Hva er verdiene? Det er viktig at virksomhetene gjør helhetlige vurderinger knyttet til verdiskapningen de bidrar til. Hvilke kriterier skal ligge til grunn for forsvarlig sikkerhet knyttet til verdiene?

- Hvilke digitale systemer og infrastrukturer inngår i verdiskapningen og hvordan kan de beskrives? Selv om en virksomhet leverer fysiske varer eller ulike former for tjenester er disse nesten alltid avhengig av avanserte digitale systemer. Dette kan være basert på både programvare og maskinvare som er kjøpt og driftet eksternt,

samtidig som at en del av avhengighetene vil være helt utenfor virksomhetens kontroll. Samlet kan det innbefatte komplekse infrastrukturer som det er vanskelig å beskrive.

- Hvordan knyttes en virksomhets verdier til de digitale systemene og infrastrukturene? Dette innebærer blant annet at sårbarhetene kan kobles til verdiene, slik at man kan gjøre konsekvensvurderinger.

- Hvordan ser trusselbildet ut? Et slikt bilde vil være dynamisk, og selv om det er utenfor virksomhetens kontroll, er det viktig å ha en oppdatert oversikt over dette.

- Hvordan kan den samlede risikoen beskrives og kommuniseres, inkludert den kompleksiteten og usikkerheten som opplagt er til stede? Hvilke tiltak anbefales for å oppnå forsvarlig sikkerhet?

- Hvordan skal en virksomhet vurdere hva som er et forsvarlig sikkerhetsnivå sett opp mot risikoen, og basert på dette iverksette nødvendige tiltak?

Dette er ikke trivielt på grunn av det kunnskapsbehovet som kreves, og fordi risikovurderingen vil være beheftet med en rekke kilder til usikkerhet.

Usikkerhet er en grunnleggende utfordring

En grunnleggende usikkerhet i risikovurderinger er at vi ikke kjenner fremtiden. Trusselbildet er dynamisk og kan endre seg raskt på grunn av ytre faktorer slik som politisk klima, trusselaktørers intensjoner og evner og nye sårbarheter som kan utnyttes. Denne usikkerheten presenteres gjerne i form av sannsynligheter for hva som kan skje og tilhørende konsekvenser.

Det er usikkerhet knyttet til kunnskapsgrunnlaget for analysen. Relevant informasjon er historiske data og erfaringer og eksperimenter og modelldata i eksempelvis konsekvensvurderinger. Kilder til usikkerhet ligger i selve datagrunnlaget, men også at modeller eller data ikke er tilgjengelig. I mange tilfeller inngår eksperters vurderinger. Det kan være større eller mindre grad av enighet mellom ekspertene, og subjektive ekspertvurderinger kan være påvirket av menneskelige faktorer, partiskhet og gruppedynamikk. Som nevnt tidligere, lar komplekse systemer seg ikke beskrive ved enkeltkomponenter og oversiktlige sammenhenger mellom dem. Dette gir usikkerhet knyttet til systemforståelsen og interne og eksterne avhengigheter og sammenkoblinger, der også tid er en kritisk faktor. På grunn av kompleksitet kan det være nødvendig å gjøre antakelser og avgrensninger som representerer til dels sterke forenklinger. Samlet sett kan disse usikkerhetsfaktorene gi et kunnskapsgrunnlag som er ufullstendig og skjevt. En systematisk vurdering av usikkerhet og hvor godt kunnskapsgrunnlaget er, må inngå og kommuniseres overfor beslutningstakerne.

Integrert risiko- og sikkerhetsstyring

For moderne digitale systemer og infrastrukturer vil kompleksitet og usikkerhet bidra til store utfordringer i å beskrive og evaluere risiko for å beslutte sikkerhetstiltak. Å håndtere risiko og sikkerhet i slike omgivelser krever integrert og dynamisk risiko- og sikkerhetsstyring der alle relevante former for kunnskap tas med. Tilnærmingen bør være helhetlig og top-down og ta utgangspunkt i virksomhetens verdier og prosesser. Både interne og eksterne avhengigheter med tilhørende usikkerhet bør beskrives i den grad det er mulig.

Tradisjonelle risikovurderinger alene er ikke et tilstrekkelig grunnlag for risikohåndtering og sikkerhetstiltak når kompleksiteten eksploderer. Risikovurderinger bør komplementeres med nye dynamiske tilnærmingsmåter. Det betyr å heve blikket og supplere den risikoinformasjonen som risikovurderinger gir, med informasjon basert på andre strategier for eksempel prinsipper basert på resiliens og føre-var tankegang.

Kompleksitet og usikkerhet tilsier at det bør legges økt vekt på resiliens, det vil si å iverksette tiltak for å heve digitale systemers motstandsdyktighet, redundans og tilpasningsevne for å redusere sårbarheter. Dersom usikkerhetene er meget høye, samtidig som konsekvensene potensielt er meget alvorlige, kan risikohåndtering innebære en føre-var-tankegang eller det som kalles et forsiktighetsprinsipp. Dersom bortfall av en digital infrastruktur eller tjeneste kan være kritisk for en virksomhet, kan en føre-var-beslutning innebære å ikke gjøre seg avhengig av denne eller å sørge for alternativer. Både vurderinger knyttet til resiliens og forsiktighet, er vurderinger som bør argumenteres for og dokumenteres i helhetlig risiko- og sikkerhetsstyring på lik linje med risikovurderingene. Strukturerte metoder og rammeverk for slik helhetlig risiko- og sikkerhetsstyring mangler i dag og må utvikles.