3 Risikonivåer

Offentlige virksomheter gjennomfører risiko- og sårbarhetsanalyser ved etablering av nye elektroniske tjenester eller samhandling og ved revidering av eksisterende. Virksomheten må da vurdere hvilke konsekvenser forskjellige uheldige hendelser kan få, for brukere av tjenesten, den offentlige virksomheten selv og offentlig sektor som helhet. Deretter må virksomheten vurdere sannsynligheten for at identifiserte konsekvenser vil inntreffe. Produktet av identifisert konsekvens og sannsynligheten for at den inntreffer blir i dette dokumentet beskrevet som et risikonivå.

Her defineres fire felles risikonivåer for offentlig sektor. Offentlige virksomheter skal på bakgrunn av risiko- og sårbarhetsanalyser kunne plassere egne tjenester/samhandling iht. disse felles risikonivåene. Dette skal igjen gi grunnlag for å finne riktig sikkerhetsnivå i neste kapittel, slik at man på bakgrunn av sikkerhetsbehov, og funksjonelle behov, kan velge en egnet løsning for autentisering eller uavviselighet.  Den valgte løsning bør gjøre det såpass vanskelig å misbruke tjenesten at den resterende risikoen skal kunne anses som forholdsmessig akseptabel. 
Felles risikonivåer er dermed det første steget for å legge til rette for felles løsninger og gjenbruk av løsninger for autentisering og uavviselighet.

 

 

3.1 Sannsynlighet

 

Sannsynlighet beskrives i dette rammeverket ved hjelp av følgende parametere:

Frekvens

Hvor ofte en sårbarhet historisk blir forsøkt utnyttet.

Kapasitet

En uautoriserts evne til å utnytte en sårbarhet. Hvor vanskelig det er å utnytte sårbarheten og hvor lett det er å skalere, dvs. øke omfanget av, et angrep.

Motivasjon/Vinning    

Hvor interessant det er å utnytte en sårbarhet.

        

I dette rammeverket vurderes sannsynlighet kun på bakgrunn av parametrene frekvens (historisk) og motivasjon. Dette fordi en uautorisert persons kapasitet til å utnytte autentiserings- eller uavviselighetsløsningen, først kan vurderes etter den er valgt, og denne vurderingen av risiko gjøres jo nettopp for å velge en slik løsning. Det anbefales imidlertid å gjennomføre en full risikovurdering etter valg av løsning for autentisering eller uavviselighet, der sannsynlighetsberegningen også kan inkludere kapasitet. Da kan virksomheten vurdere om den resterende risiko er blitt såpass liten at den kan anses som forholdsmessig akseptabel for virksomheten.

 

På bakgrunn av frekvens og motivasjon vurderes sannsynligheten for at en hendelse inntreffer å være til stede, eller ikke. Enten er sannsynligheten for at en konsekvens inntreffer tilstrekkelig stor - og konsekvensen inkluderes i vurdering av risikonivå, eller den vurderes som så usannsynlig at konsekvensen ekskluderes. (Sannsynligheten settes lik 1 eller 0).

 

Motivasjonen for å utnytte sårbarheter i en løsning for autentisering eller uavviselighet er større dersom løsningen dekker flere elektroniske tjenester, fordi det er mer innhold og større funksjonalitet som kan utnyttes. Det kan lede til større konsekvenser. Der konsekvensene ved utnyttelse er store vil motivasjonen også kunne være stor. På et moderat nivå vil konsekvensene være av en slik art at selv om man samler mye innhold og stor funksjonalitet, vil motivasjonen som regel fortsatt være begrenset.

 

3.2 Konsekvens


Konsekvens er resultatet av at en sårbarhet blir utnyttet eller en uheldig hendelse inntreffer, uavhengig av sannsynligheten for at dette skal skje (iboende risiko). Med andre ord “worst case scenario”. Det er viktig at den offentlige virksomheten i sin risikovurdering av en tjeneste, vurderer konsekvenser for alle parter, brukere av tjenesten (privatpersoner og næringsliv), den offentlige virksomheten selv og offentlig sektor som helhet.

 

Følgende sett med konsekvenser er benyttet for å definere risikonivåene i dette rammeverket:

  • Konsekvenser for liv eller helse
  • Økonomisk tap/ merarbeid/ økte kostnader
  • Tap av renommé (anseelse, tillit og integritet)
  • Hindring i straffeforfølgelse
  • Uaktsomt bidrag til lovbrudd
  • Bryderi/ulempe

Det er viktig å presisere at alle disse typer konsekvenser kan gjelde for alle målgrupper – sluttbrukere (personer, virksomheter), offentlige virksomheter og offentlig sektor som helhet. Den offentlige virksomheten som vurderer konsekvenser, må derfor vurdere alle disse konsekvenstypene for hver målgruppe.

 

Det er viktig å huske på de krav sentrale lover og spesiallovgivningen setter for den virksomheten som bedrives. Disse kravene har stor betydning i forhold til vurdering av konsekvenser.
Listen over er ikke uttømmende, så det kan skje konsekvenser som ikke påvirker de felles definerte risikonivå.

 

3.3 Risikonivåer


Risikonivåene i rammeverket beskrives i form av konsekvenser. Dette kan gjøres fordi sannsynligheten vurderes binært (1 eller 0, dvs. enten til stede eller ikke til stede). Risikoen, som er produktet av sannsynlighet og konsekvens, blir dermed beskrevet som konsekvenser som er inkludert eller ekskludert avhengig av sannsynligheten.

 

Det er definert følgende fire risikonivåer i tabellen under. Teksten i tabellen beskriver høyest risiko godkjent på et gitt risikonivå for den type konsekvens.

 

 

Risikonivå 1
ingen

Risikonivå 2
liten

Risikonivå 3
moderat

Risikonivå 4
stor

Konsekvenser for liv eller helse

Det kan ikke forekomme fare for tap av liv og/ eller helseskader

Det kan forekomme mindre helseskader

Det kan forekomme mindre helseskader

Det kan forekomme tap av liv og/ eller store helseskader

Økonomisk tap/ merarbeid/ økte kostnader

Intet økonomiske tap/ merarbeid/ økte kostnader

Det kan føre til et mindre økonomisk tap/ merarbeid/ økte kostnader

Brudd kan føre til moderat økonomisk tap/ merarbeid/ økte kostnader

Brudd kan medføre store økonomiske tap/ merarbeid/ økte kostnader

Tap av renommé (anseelse, tillit og integritet)

Ingen skade på renommé

Eventuelle skader på renommé anses bagatellmessige

Renommé kan bli noe svekket i et kortere tidsrom

Renommé kan bli svekket i et lengre tidsrom, eventuelt varig

Hindring i straffe-forfølgelse

Ingen bidrag til hindring av straffe-forfølgning

Minimalt bidrag til hindring av straffe-forfølgning

Moderat bidrag til hindring av straffe-forfølgning

Det kan forekomme hindringer i straffe-forfølgning

Uaktsomt bidrag til lovbrudd

Det kan ikke forekomme uaktsom bistand til lovbrudd

Det kan ikke forekomme uaktsom bistand til lovbrudd

Det kan ikke forekomme uaktsom bistand til lovbrudd

Brudd kan bidra til uaktsom bistand til lovbrudd

Bryderi/ ulempe

Ingen ulempe eller bryderi

Det kan forekomme noe ulempe eller bryderi

Ikke relevant

Ikke relevant

 

”Risikonivå 1 – ingen”, er beregnet på åpen informasjon. Funksjoner og informasjonsutveksling i tilknytning til informasjon som er konfidensiell, taushetsbelagt eller personsensitiv, må legges på de andre risikonivåene iht. hvilke sannsynlige konsekvenser som kan oppstå hvis uheldige hendelser finner sted.

Nedenfor er det eksemplifisert uheldige hendelser som kan lede til konsekvenser i tabellen over:

  1. Uautorisert endring av pasientdata.
  2. En persons sykdomsdiagnose blir kjent for uvedkommende.
  3. Omsetningstall lekker ut før kvartalsrapportering.
  4. Feil i utbetalingsgrunnlag av trygd.
  5. Feil i utbetalingsgrunnlag for MVA.
  6. Uautorisert endring for å påvirke offentlige utbetalinger.
  7. Offentlig etat taper renommé etter oppslag i media om datainnbrudd.
  8. Bevismateriell blir ødelagt eller kommer på avveie, på grunn av operatørfeil.
  9. Uautorisert endring av personadresse som ledd i identitetstyveri.


     
    Til toppen