Beskyttelse av samfunnet 5: Sårbarhet i kritiske IKT-systemer - sluttrapport
Abstract
BAS5 har vært et samarbeidsprosjekt mellom flere forskningsinstitusjoner, akademia, myndigheter og offentlige og private virksomheter. Prosjektets hovedtema har vært metoder for analyser av samfunnskritiske IKT-systemer.
Det er BAS5-prosjektets oppfatning at arbeidet med IKT-sikkerhet blir best dersom det legges strukturerte arbeidsprosesser med klare rammebetingelser til grunn for arbeidet, uavhengig av om arbeidet gjøres på nasjonalt -, sektor- eller virksomhetsnivå. Viktige steg i slike prosesser er å konkretisere hvilket ambisjonsnivå sikkerhetsarbeidet skal ha, spesifisere hva slags roller ulike aktører skal ha og å utvikle gode metoder som kan understøtte arbeidet.
BAS5 har i første rekke sett på det siste punktet: å utvikle metoder med relevans for IKT-sikkerhetsarbeidet i Norge. Målgruppen for de utviklede metodene er dels myndigheter som arbeider med nasjonal IKT-sikkerhet, dels virksomheter som eier og drifter samfunnskritiske IKT-systemer.
Det metodiske arbeidet i BAS5 har vært gjennomført for å understøtte tre hovedmål i prosjektet:
1.
Utvikle og anvende metodikk for identifisering og rangering av kritiske samfunnsfunksjoner og IKT-systemer.
2.
Utvikle og anvende metodikk for risikoanalyse av samfunnskritiske IKT-systemer.
3.
Utvikle og anvende metodikk for effektivitetsvurderinger av tiltak som kan redusere sårbarheter i IKT-systemer.
Knyttet til det første målet har prosjektet utviklet en metodikk og en prosess for identifisering og prioritering. Denne er foreløpig ikke testet ut, men det anbefales at dette gjøres i etterkant av prosjektet.
Knyttet til det andre målet har prosjektet utviklet en prosess for risikoanalyser av samfunnskritisk IKT som ivaretar både tilsiktede og ikke-tilsiktede hendelser, et rammeverk som understøtter valg av analysemetoder og en veileder for støtte til personer som skal gjennomføre risikoanalyser.
Det tredje målet er i hovedsak koblet til prosjektets doktorgradsarbeid, som foreløpig ikke er avsluttet. De innledende arbeidene er likevel presentert som et vedlegg til denne rapporten.
Prosjektet har ikke har foreslått konkrete kostnads- og effektivitetsberegnede tiltak for det nasjonale sikkerhetsarbeidet, men pekt på behovet for nytenkning rundt det offentliges rolle i IKT-sikkerhetsarbeidet. Historisk sett har det ikke vært mangel på forslag til tiltak innen IT-sikkerhetsområdet, men heller manglende rammebetingelser for at tiltak kan utvikles og inngå i en helhetlig og kontinuerlig arbeidsprosess. Et forslag til nødvendige avklaringer og overordnede tiltak er derfor presentert som en del av denne rapporten. BAS5 has been a project of collaboration between several research and academic institutions, public authorities and private and public enterprises. The primary goal of the project has been to develop methodologies for analysis of information systems critical to society.
The participants in this project is clear in its opinion that the work with information security will benefit greatly from structured work processes with specific frame conditions, regardless of whether the work is to be done on a national, sector or local level. Important conditions for the security work are specific objectives, clear roles for all involved and solid methodologies to support the work.
BAS5 has primarily worked with methodological issues. Possible users of the methodologies include public authorities and enterprises operating information systems critical to society.
The project has focused on three main areas:
1.
Develop and apply methodologies to identify and prioritise critical societal functions and information systems.
2.
Develop and apply methodologies for risk analysis of critical information systems.
3.
Develop and apply methodologies for measurements of effectiveness of information security measures
Related to the first goal, the project has developed a methodology and a process for identification and prioritisation. The methodology has not been formally tested, and it is recommended that such tests are done subsequently to this project.
To meet the second goal, the project has developed a process for risk analysis of critical information systems addressing both intentional and non-intentional events, a framework supporting the process of choosing the methodological approach for a given analysis, and a user-guide for persons who will perform risk analyses.
The third goal is mainly related to a PhD-study in the project. This study is not yet finished, but the preliminary work is presented in the report.
BAS5 has not proposed measures with cost and effectiveness calculations associated. Instead, the project points to the need for new approaches in the public authorities work with national information security. Historically, several information security measures have been proposed in Norway, but a key problem is to allow such measures to be developed as a part of a holistic, continuous work process. Suggestions and recommendations for necessary clarifications and principal measures for the national work with information security are presented as part of the report