Als je van beren leren kan: hoe dijk je potentiële IT-risico’s in?
In de wereld van informatiebeveiliging zijn er tools die ons helpen om weloverwogen beslissingen te nemen. Als we kijken naar potentiële risico’s, denken we in termen van problemen die kunnen voorkomen en daarmee een impact hebben op onze business. Eerst en vooral moeten we begrijpen wat er mogelijk kan gebeuren door te kijken naar de impact van een mogelijk gevaar. Als ik bijvoorbeeld geen ijsblokjes heb op een warme zomerdag, kan ik m’n drankje niet koel houden. Maar het gebrek aan ijs is niet het enige risico bij warme temperaturen. Heb ik zonnecrème of een hoofddeksel voorhanden? En wat als het toch regent? Het is een goed idee om deze problemen (risico’s) en potentiële slechte resultaten (impact) op te schrijven (risk register).
Eens alle mogelijke risico’s genoteerd, merk je dat bepaalde risico’s erger zijn dan andere. Zo is een zonneslag kwalijker dan bijvoorbeeld het gebrek aan ijsblokjes. Sommige problemen zijn meetbaar (kwantificeerbaar), terwijl andere meer gaan over hoe jij je daarbij voelt (kwalificeerbaar). Gelijk welke aanpak is geldig, afhankelijk van de data en de beslissingen die je wilt maken. Maar je moet er wel voor zorgen dat dezelfde maatstaf gehanteerd wordt zodat de analyse consistent is.
Wil je weten hoe erg bepaalde zaken zijn, denk er dan over na in de volgende drie dimensies.
- Confidentieel: zorgt dit probleem ervoor dat iemand iets kan zien wat niet gezien mag worden?
- Beschikbaarheid: zorgt dit probleem ervoor dat gegevens niet kunnen worden geraadpleegd door personen die dat wel zouden moeten kunnen?
- Integriteit: zorgt dit probleem ervoor dat data gewijzigd wordt op een manier die niet zou mogen?
Een andere factor om in beschouwing te nemen, is de waarschijnlijkheid dat het probleem daadwerkelijk voorvalt. Zo is bijvoorbeeld de kans dat je tijdens het zwemmen in de Noordzee een haai tegenkomt vrij klein. Ook deze zaken kunnen worden geplot op het risk register.
Een ingevuld risk register, met de waarschijnlijkheid en de impact van het al dan niet hebben van ijsblokjes, een zonneslag krijgen en het bezoek van een haai.]
Ik voeg nog een ander dier toe om een beter beeld te schetsen van gevaar en kwetsbaarheid, en wat de impact daarvan is. Stel dat een bruine beer je kampeerplaats vindt (gevaar) en een pistolet opeet (risico) nadat hij een gat heeft gemaakt in de omheining rond je tent (kwetsbaarheid).
Risico = gevaar x kwetsbaarheid
Nu komen we op het punt dat wetenschap en wiskunde helpen bij je beslissing, namelijk met ‘SLE’ (single loss expectancy): wat kost het als dit één keer voorvalt?
Even terug naar onze hongerige beer. We zijn één pistolet armer, dat is niet zo erg. Maar wat als het dagelijks gebeurt? Dan kijk je naar het risico in termen van ‘annualized rate of occurrence’ (ARO). Dagelijks is een hoge waarschijnlijkheid (100 procent). Met deze twee gegevens kunnen we de ‘annual loss expectancy’ (ALE) berekenen.
ALE = SLE x ARO
In ons voorbeeld is dat één pistolet (eventueel aangevuld met berenspray en een nieuwe omheining) maal 365 dagen. Dan worden het natuurlijk al meteen een hele stapel pistolets en beleg.
Je investeert dus best in maatregelen: berenspray, stevige omheining en brooddozen om de pistolets in te bewaren. Dat kost je, ruw geschat, enkele tientallen euro’s per jaar. Dan is het tijd om te evalueren, zodat we het juiste bedrag investeren – in vergelijking met de return.
KOST_van_de_Maatregelen = ALE_ORIGINAL – ALE_NOW
Idealiter geef je niet meer geld uit dan wat het volgens jou waard is (al zijn veiligheid en het niet overtreden van de wet natuurlijk onbetaalbaar). Het is dus mogelijk dat het voordeliger is om te stoppen met je (risicovolle) activiteit.
Er bestaan verschillende technieken voor het noteren van alle potentiële risico’s en kunnen op vier manieren worden aangepakt:
- Je kan het probleem proberen op te lossen, maar dat kan duur uitvallen (een elektrische omheining waar beren niet over of doorheen kunnen).
- Je kan het probleem kleiner maken (herstel het gat in de omheining waardoor de beer harder moet proberen om erdoor te geraken).
- Verplaats het probleem naar iemand anders (ruil van kampeerplaats).
- Aanvaard het probleem en leer leven met het risico (sluit vriendschap met bruintje).
Het is onmogelijk om alle risico’s te elimineren. Ook al probeer je ze op te lossen, er kunnen andere factoren opduiken waar je nog geen weet van had. Of je hebt onvoldoende budget/tijd om het probleem volledig op te lossen.
In de praktijk
Beren en ijsblokjes, allemaal goed en wel. Maar hoe vaar jij er nu wel bij? Met Red Hat Product Security geven we jou duidelijke, feitelijke data. Zo weet je hoe groot de beren zijn, hoe snel haaien zwemmen en welke temperatuur het is. Zo ben je gewapend om bijvoorbeeld te weten hoeveel ijs je nodig hebt voor koele drankjes. Red Hat helpt je begrijpen wat kwetsbaarheden zijn en geeft je opties om die aan te pakken. Maar uiteindelijk ben jij degene die weet hoe jouw pistolet moet smaken. Je buurman heeft misschien liever meer mayonaise terwijl jij altijd voor de light-variant gaat.
Vanaf het moment dat alle embargo’s zijn opgeheven, maakt Red Hat zijn beveiligingsgegevens en -statistieken openbaar. Elk beveiligingslek wordt duidelijk aangegeven dankzij gestandaardiseerde tools en metingen, zoals Common Vulnerabilities and Exposures (CVE), Common Weakness Enumeration (CWE) en Common Vulnerability Scoring System (CVSS). Die gegevens publiceren we zowel in human-readable als in machine-readable formats: Open Vulnerability and Assesment Language (OVAL) en Common Vulnerability Reporting Framework (CVRF).
We beschrijven een probleem en geven onze beoordeling van de ernst ervan door er een extra impact-score aan te koppelen – bijvoorbeeld een CVSS-score. Elke fout wordt bekeken uit het oogpunt van onze producten op basis van de componenten en hoe die pakketjes worden gebruikt en geconfigureerd. We weten wanneer een fout iets kleins is, maar ook wanneer het echt groteske vormen aanneemt en dus je dag verknalt. Bovendien zorgt het interne Customer Security Awareness-programma voor extra data, context en tools, zodat bedrijven snel kunnen beslissen en reageren. Als de beer dan nog eens langskomt of je zit zonder ijsblokjes, dan weet je wat je te doen staat.
Christopher Robinson is Product Security Program Manager bij Red Hat, ‘s werelds toonaangevende leverancier van opensource-softwareoplossingen.