Hoten mot våra IT-system blir större och mer komplexa, men att investera ihjäl sig i säkerhet är ingen lösning. Det handlar om att ha koll på sin riskbild och fokusera på rätt saker. Säkerhetskonsulten Magnus Andersson berättar om vad risk egentligen är och hur riskhantering kan hänga ihop med utvecklingsprocessen.

1. pratar alla om risker?
hur man gör i praktiken
magnus andersson

2. om mig
säkerhetskonsult
projektledare
konsultchef
cissp
civ.ing. KTH

3. plötsligt händer det…

4. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

7. Vulnerability in HTTP.sys Could
Allow Remote Code Execution
(MS15-034)
A remote code execution vulnerability in the HTTP protocol
stack (HTTP.sys) that is caused when HTTP.sys improperly
parses specially crafted HTTP requests.
An attacker who successfully exploited this vulnerability
could execute arbitrary code in the context of the System
account.
Ex DOS-attack
”Blue screen of death”

8. risk
en sannolikhet för skada, ansvar, förlust eller
annan negativ händelse
orsakad av
externa eller interna sårbarheter
och som kan
undvikas genom förebyggande åtgärder

9. risk
en sannolikhet för skada, ansvar, förlust eller
annan negativ händelse
orsakad av
externa eller interna sårbarheter
och som kan
undvikas genom förebyggande åtgärder

10. kuriosa
om händelsen inte är negativ?
chans

11. vem äger en risk?
ägaren till den tillgång som hotas
ägaren tar beslut om vilka förebyggande
åtgärder som ska göras

12. vad vill man undvika?
skadat förtroende
(indirekt skada)
förlorade tillgångar
(direkt skada)

13. tappat förtroende
”Nej fy, till den tänker jag inte ge
pengar / rösta på / jobba för / eller nåt…!”

14. leder till
ingen vill ha det vi gör
vilket leder till
avveckling

15. förlora tillgångar
sänker förmågan
och därmed konkurrenskraft

16. riskhantering - steg
1. riskidentifiering
2. riskanalys
3. riskåtgärder

17. riskidentifiering
inventera:
vad kan drabbas?
på vilket sätt kan det drabbas?
vad är relevant?

18. riskanalys
sannolikhet
x
konsekvens
=
riskvärde

19. riskanalys
kvalitativ
eller
kvantitativ
eller (vanligast)
semi-kvantitativ

20. kvalitativ
expertbedömning
tex du
grov bedömning
hög/låg
ställer risker i relation till varandra

21. semi-kvantitativ
grova mått på sannolikhet och konsekvens
tex 1-5 eller exponentiell
ger mått på risker som bara funkar inom
modellen

23. kvantitativ
”riktiga” värden
ofta statistik som underlag
ofta svårt att vara exakt
vanligt i tex processindustri

24. kostnader då?
kostnadsuppskatta konsekvenserna
x sannolikhet
riskkostnader
väldigt lämpligt att ha med sig till
riskåtgärderna

25. riskåtgärder
förebygger framtida skada
åtgärda risker med högst riskvärde
förutsatt att
riskåtgärden inte kostar mer än
beräknad riskkostnad
jmfr med försäkring

26. exempel #1
vanligt scenario:
”affären” vill ha ny lösning för ny affär
asap!
(affärsrisker)
projektrisker
processrisker
teknikrisker
säkerhetsrisker
kompetensrisker
m.fl.

27. exempel #2
ny exploit blir känd
(CVE-2015-1635)
patch finns
normalt patchfönster inom en månad
vilka risker har vi om vi väntar till dess?

28. Vulnerability in HTTP.sys Could
Allow Remote Code Execution
(MS15-034)
A remote code execution vulnerability in the HTTP protocol
stack (HTTP.sys) that is caused when HTTP.sys improperly
parses specially crafted HTTP requests.
An attacker who successfully exploited this vulnerability
could execute arbitrary code in the context of the System
account.
Ex DOS-attack
”Blue screen of death”

29. exempel 3
webbapplikation ska hantera persondata
publikt åtkomlig
inloggning och sökning
hur säkerställer vi att resultatet uppfyller
kraven?

30. riskanalys! 
jag förväntas bygga det här
vilka hot finns det?
hur sannolikt är det?
vad händer om det händer?
vad kostar det att förebygga?

31. svårt?
ja om blankt papper,
men det går att minska dina möjliga hot med
bra metodik,
kravhantering,
tester,
kompetenta utvecklare m.m.

32. riskminimering
förstå ”affären”
lämpade och
beprövade metoder
best practice
använd

33. DDS

34. Utmaningar
• Svårast:
– Få Business att svara på vilka kostnader de
dragit på sig…
– Få Operations att göra detsamma…
• Statistiska kostnader kan bara användas
för ett fåtal incidenter