Ga direct naar inhoud

Risico’s toegelicht – deel 2

Expertblogs

Weblogbericht | 19-12-2019 | NCSC

In een eerdere blog gaf ik een nadere uitleg over het begrip risico. In deze blog beschrijf ik mijn beeld van hoe in de praktijk tegen risico’s wordt aangekeken en hoe je met risico om kan gaan.

Risico-inschatting in de praktijk

Als adviseur informatiebeveiliging heb ik vele risicoanalyses uitgevoerd. Ook spreek ik regelmatig met anderen over risico’s, hoe risico’s ingeschat worden en hoe daar vervolgens mee omgegaan wordt. Uit dit alles heb ik een beeld gevormd over hoe in de praktijk tegen risico’s wordt aangekeken. Dit beeld is dat de risico’s waarvan men vindt dat dat men daar nog wat mee moet, een kleine tot gemiddelde impact hebben.

Vergroot afbeelding
De risico matrix wordt gebruikt om risico's in te schatten

Risico matrix

Dat vind ik best opmerkelijk. Zoals in de vorige blog al aangegeven, kunnen we de risico’s die minder dan jaarlijks voorkomen met lage impact en risico's die dagelijks voorkomen en desastreus zijn negeren. We krijgen regelmatig te maken met de laatstgenoemde risicogroep, die zijn daardoor voor ons bekend. De risico’s die overblijven en waar we ons dus onvoldoende druk om maken, zijn die minder dan jaarlijks voorkomen met een lage impact. Dat wijkt dus af van wat ik constateer uit de risicoanalyses. Waarom is dat? Zijn we niet creatief genoeg om voor die risico’s de bijbehorende scenario’s te verzinnen? Vinden we die scenario’s niet reëel genoeg? Vergeten we die risico’s liever omdat we de aanpak te duur of te ingewikkeld vinden? Incidenten als Diginotar, NotPetya, de 112-storing en de €19 miljoen CEO-fraude bij Pathé laten zien dat ze niet onmogelijk zijn. Dus wat is hier precies aan de hand? Ik heb hier zelf wat ideeën over, maar ik ben benieuwd naar die van jullie. Laat je ideeën of andere zaken die je hierover kwijt wil achter via een reactie op deze blog.

Omgaan met risico’s

Is een risico eenmaal inzichtelijk gemaakt, dan is de volgende stap: besluiten hoe we met dat risico omgaan. Daarvoor zijn vier aanpakken mogelijk.

Verweren: maatregelen nemen die de impact van een incident verlagen. Als een incident zich voordoet, zijn we beter voorbereid op de gevolgen ervan. Het risico verschuift daardoor naar links in de risicomatrix.

Ontwijken: maatregelen nemen die de kans op een incident verlagen. Dus voorkomen dat we in een situatie terecht komen dat een risico zich manifesteert als een incident. Het risico verschuift daardoor naar beneden in de risicomatrix.

Beheersen: maatregelen nemen die zowel de kans op een incident als de gevolgen daarvan verkleinen. Dus een combinatie van verweren en ontwijken. Het risico verschuift daardoor naar linksonder in de risicomatrix.

Accepteren: Er worden geen maatregelen genomen om het risico te verkleinen. We doen niks extra om een incident te voorkomen en de gevolgen van een incident worden geaccepteerd.

Sommige risicobeschrijvingen benoemen ook ‘overdragen’ als mogelijk aanpak. Daarbij besteed je bijvoorbeeld de werkzaamheden, en mogelijk daarmee de verantwoordelijkheden, uit aan een derde partij of verzeker je jezelf tegen een digitale aanval. Het is goed om je te realiseren dat dit eigenlijk alleen maar gaat om verweren op financieel vlak. Immers, zaken als imagoschade en de schade voor betrokkenen (incident met persoonsgegevens) neem je daar niet mee weg. Ik zie overdragen dus als een gecombineerde vorm van verweren en accepteren.

Om te bepalen wat de juiste aanpak is, is het verstandig goed te kijken naar het risico zelf en waar dit zich binnen de matrix bevindt. Neem bijvoorbeeld een externe dienst waar een organisatie in grote mate van afhankelijk is. Zo’n dienst heeft vaak een hoge mate van beschikbaarheid. De SLA’s benoemen percentages van minimale beschikbaarheid. Dit alles om incidenten te voorkomen. Maar wat als, ondanks alle maatregelen, de dienst toch niet beschikbaar is? Welk probleem heb je dan? Heb je dan een groot probleem? Met andere woorden: zit dat risico rechtsonder in de matrix? Uit de matrix is op te maken dat het voor dat soort risico’s het meest efficiënt is om de impact te verlagen. Desondanks wordt er soms na een dergelijk incident onder het mom van ‘dit nooit meer’ voor gekozen om de kans nog verder te verlagen. Hoewel dat een begrijpelijke reactie is, is de vraag of dat risico-technisch gezien de juiste keuze is.

Los van welke aanpak je kiest voor de risico’s uit de hoek rechtsonder, het is goed om deze risico’s te benoemen en bespreekbaar te maken. Uitspreken dat je niet weet wat de juiste aanpak is, is niet erg. Alleen moet dat niet een reden zijn om de risico’s te negeren.

Afhankelijkheid

Als een dienst een hoge beschikbaarheid biedt, klinkt dat heel mooi. Echter, in die lage-kans schuilt dus ook een gevaar. Hoe hoger de mate van daadwerkelijke beschikbaarheid, hoe meer we daar ook vanuit gaan en hoe slechter we, naar mijn idee, voorbereid zijn op een verstoring. Dat doet me denken aan het ‘Shared space’ concept uit de verkeersveiligheid. In zo’n shared space-gebied zijn minder tot geen verkeersborden en wegmarkeringen aangebracht. Omdat er voor weggebruikers dan minder zekerheid is, gaan ze bewuster handelen door bijvoorbeeld snelheid te minderen en beter uit te kijken. Door zelf minder maatregelen te nemen om de kans te verlagen, creëer je meer aandacht voor de impact, waardoor de kans alsnog kleiner wordt. Het argument ‘als ik me aan de regels houd, dan valt mij niks te verwijten’ vervalt daar namelijk mee.

Als afsluiter heb ik een leuke stelling: ‘Door de beschikbaarheid van belangrijke diensten bewust wat lager te houden, gaan we beter nadenken over onze afhankelijkheid daarvan en onszelf beter voorbereiden op het niet beschikbaar zijn van die dienst, waardoor we een robuustere samenleving krijgen’. Ik ben benieuwd naar jullie reactie.

Hugo Leisink

Meer weblogberichten

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

  • Waarom die aandacht in het midden aan de onderkant en niet aan de rechterkant?

    Ik mis de inventarisatie van de maatregelen welke genomen moeten worden. De algemene voorkeur gaat uit naar niet te grote veranderingen. Als niet te grote veranderingen oververtegenwoordigd zijn bij onder midden dan zal dat ook de meeste aandacht krijgen.

    Het vermijden van grote veranderingen zal dan samen gaan met de wat er nodige is om de risico's met grote impact te vermijden.

    Het is een omgekeerde houding en ongewenst resultaat met wat je met een risico impact analyse probeert te bereiken.

    Het bewust inperken van een service/dienst met beschikbaarheid en betrouwbaarheid enkel voor bepaalde periodes afspreken zou kunnen helpen.

    Van: J.A.Karman | 06-01-2020, 17:12

  • Reactie op de stelling:

    De risicoaanpak hierbij is overdracht van risico. Door als verantwoordelijk beheerder duidelijk zichtbaar de maatregelen die je neemt te beperken, dwing je de gebruiker zelf de risico's te beheersen, verweren en ontwijken kunnen beide toegepast worden. Dit is vooral interessant als de beheerder uiteindelijk risiconemend gedrag van de gebruiker niet kan inperken. In jouw voorbeeld: Veilige 'shared space' nodigt uit tot te hard rijden, omdat de gebruiker zich veilig voelt.

    Van: Lex Borger | 01-01-2020, 09:33

  • Waarom maken we ons onvoldoende druk over de risico's in de hoek rechtsonder?

    Wanneer we op de risicomatrix langs de diagonaal van linksboven naar rechtsonder zakken, en de scenario's bekijken die we op die plaats gezet hebben bij risicoinschatting, dan gaan we van risico's die goed statistisch te analyseren zijn en in dashboards weer te geven zijn naar risico's die zo zelden voorkomen dat je alleen wat nieuwsberichten hebt om aan te geven hoe incidenten fout kunnen lopen.

    Bij de eerste groep weten we door de analyses en eigen observaties en gesteund door informatie uit vele raamwerken en methodes goed hoe we de risico's kunnen ontwijken. Preventie is troef.

    Als we de risico's in de tweede groep beschouwen, zien we dat we niet duidelijk weten wat de goede risicobeheersingsmaatregelen zijn in deze gevallen. Hier komen we in het werkgebied van BCM, business continuity management. De risicoaanpak wordt verwerend. Hierbij gaan we de aanpak generaliseren om de gevolgen van mogelijke zware tot catastrofale incidenten te beperken. Het is niet nodig om specifieke incidenten, zoals het 'NotPetya' scenario voor Mearsk tot in detail te analyseren, beperk het scenario tot een grootse malware aanval in het bedrijf en verweer je daartegen. Detectie en respons worden troef om incidenten in wording te kunnen spotten voordat ze groot worden en een catastrofale impact onafwendbaar is geworden.

    Dat gezegd hebbend, het gebruiken van een consistente en hadzame set risico scenario's bij risicoanalyses. Te vaak zie ik dat we bedolven raken onder de veelheid van scenario's of dat er ter plekke scenario's bijverzonnen moeten worden. Hierbij kun je niet zeker zijn dat je een representatieve selectie scenario's hebt, waartegen je jouw risico's meet. Dan is de hele risicoanalyse niet meer betrouwbaar.

    Van: Lex Borger | 01-01-2020, 09:32

  • Het spiral proces model wat zijn de risico's, wat is de kans, wat kost dat risico, wat zijn de kosten om het risico te verkleinen spelen een rol. De ham vraag; kan je het probleem inzichtelijk maken. Dat laatste is lastig. Voorbeeld: gebruik nooit een USB stick van een derde. Verwijder je harddisk als je met je pc naar ... gaat. De vraag is welk gevaar loop je of de organisatie voor wie je werkt als jouw pc weer op het netwerk komt? Tijd om in ieder geval dit soort expertise ook bij het bestuur te hebben. Want ook daar geen uitzicht zonder inzicht.

    Van: Dino Seelig | 20-12-2019, 16:00