ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΜΗΧΑΝΙΚΩΝ Η/Υ ΤΟΜΕΑΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΚΑΙ ΥΠΟΛΟΓΙΣΤΩΝ ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ιπλωµατική εργασία του Γεωργίου Νικήτα υπό την επίβλεψη του καθηγητή Γεωργίου Πάγκαλου του γενικού τµήµατος Σεπτέµβριος 2004

Ευχαριστίες Ευχαριστώ πολύ τον καθηγητή µου Γεώργιο Πάγκαλο για την ιδέα εκπόνησης της εργασίας αυτής και την πολύτιµη βοήθεια του καθ όλη την διάρκεια της συγγραφής της, καθώς και τους καθηγητές µου Γεώργιο Χασάπη και Μήτκα Περικλή για την συµµετοχή τους στην εξέταση της. Επίσης ευχαριστώ την καθηγήτρια µου Άσπα Συννεφάκη για την καθοδήγηση που µου έδωσε κατά την επιλογή διπλωµατικής εργασίας. Τέλος, ευχαριστώ όλους τους φίλους και συναδέλφους µου για την βοήθεια και συµπαράσταση τους 2

Σύνοψη (Abstract) Καθώς οι περισσότεροι οργανισµοί βασίζουν πλέον ένα µεγάλο µέρος της λειτουργίας τους σε πληροφοριακά συστήµατα, η ανάγκη για κατάλληλη ασφάλεια αυξάνεται. υστυχώς, είναι δύσκολο να γίνει επιλογή των µέτρων ασφαλείας που χρειάζονται για να επιτευχθεί ικανοποιητική ασφάλεια. Αυτή η διπλωµατική εργασία ασχολείται µε την ανάλυση κινδύνων, µια διαδικασία που αναγνωρίζει τα προβλήµατα ασφαλείας, τα ταξινοµεί µε βάση την σηµαντικότητα τους και τέλος προτείνει λύσεις για την επίλυση τους. Παρουσιάζονται οι διαφορετικοί τρόποι ανάλυσης κινδύνων, οι κυριότερες µέθοδοι που χρησιµοποιούνται σήµερα, τα πακέτα λογισµικού που κυκλοφορούν στην αγορά και τελικά γίνεται µια πρακτική εφαρµογή ανάλυσης κινδύνων στο Κέντρο Υποστήριξης Τεχνολογιών Πληροφορικής (ΚΥΤΠ) µε την µέθοδο CRAMM και το ανάλογο λογισµικό. 3

Περιεχόµενα ΕΥΧΑΡΙΣΤΙΕΣ...2 ΣΥΝΟΨΗ (ABSTRACT)...3 ΠΕΡΙΕΧΟΜΕΝΑ...4 ΜΕΡΟΣ Α A.1. Η ΣΗΜΑΣΙΑ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ...7 1.1 ΕΙΣΑΓΩΓΗ...7 1.2 ΠΡΟΒΛΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ...7 1.3 ΟΙΚΟΝΟΜΙΚΕΣ ΑΠΩΛΕΙΕΣ ΑΠΟ ΠΡΟΒΛΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ...9 1.4 ΑΝΤΙΜΕΤΩΠΙΣΗ...10 Α.2. ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΩΝ ( RISK ANALYSIS)...11 2.1 ΕΙΣΑΓΩΓΗ...11 2.2 ΟΡΙΣΜΟΙ...11 2.3 Ο ΤΥΠΟΣ BPL...12 2.4 ΒΑΣΙΚΗ ΜΕΘΟ ΟΛΟΓΙΑ ΤΗΣ ΑΝΑΛΥΣΗΣ ΚΙΝ ΥΝΩΝ...12 2.5 ΟΦΕΛΗ ΤΗΣ ΑΝΑΛΥΣΗΣ ΚΙΝ ΥΝΩΝ...15 2.6 ΤΕΧΝΙΚΕΣ ΑΝΑΛΥΣΗΣ ΚΙΝ ΥΝΟΥ...16 2.7 ΥΠΟΛΟΓΙΣΜΟΣ ΑΞΙΑΣ...17 Α.3 ΠΟΣΟΤΙΚΗ ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΩΝ (QUANTITATIVE RISK ANALYSIS)...20 3.1 ΕΙΣΑΓΩΓΗ...20 3.2 ΠΑΡΑ ΕΙΓΜΑ ΠΟΣΟΤΙΚΗΣ ΑΝΑΛΥΣΗΣ...20 3.3 ΣΥΜΠΕΡΑΣΜΑΤΑ...22 Α.4 ΠΟΙΟΤΙΚΗ ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΩΝ (QUALITATIVE RISK ANALYSIS)...23 4.1 ΕΙΣΑΓΩΓΗ...23 4.2 ΠΟΙΟΤΙΚΗ ΑΝΑΛΥΣΗ ΣΕ 10 ΒΗΜΑΤΑ...23 4.3 ΜΕΘΟ ΟΣ FRAP (FACILITATED RISK ANALYSIS PROCESS)...29 4.4 ΜΕΘΟ ΟΣ OCTAVE (OPERATIONALLY CRITICAL THREAT, ASSET, AND VULNERABILITY EVALUATION)...35 Α.5 ΛΟΓΙΣΜΙΚΟ ΓΙΑ ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΩΝ...41 5.1 ΕΙΣΑΓΩΓΗ...41 5.2 ΤΕΧΝΟΛΟΓΙΑ ΛΟΓΙΣΜΙΚΟΥ ΑΝΑΛΥΣΗΣ ΚΙΝ ΥΝΩΝ...41 5.3 CALLIO SECURA 17799...44 5.4 COBRA...46 5.5 CRAMM...46 5.6 EZRISK...47 5.7 RISKWATCH FOR INFORMATION SYSTEMS & ISO 17799...47 ΒΙΒΛΙΟΓΡΑΦΙΑ...48 4

ΜΕΡΟΣ Β Β.1. ΕΙΣΑΓΩΓΗ...50 1.1 ΣΚΟΠΟΣ ΤΗΣ ΑΝΑΛΥΣΗΣ...50 1.2 ΕΜΒΕΛΕΙΑ ΤΗΣ ΑΝΑΛΥΣΗΣ...50 1.3 ΜΕΘΟ ΟΣ ΚΑΙ ΕΡΓΑΛΕΙΑ...50 1.4 ΕΥΧΑΡΙΣΤΙΕΣ...50 Β.2. ΕΠΕΞΗΓΗΣΗ ΤΗΣ ΜΕΘΟ ΟΥ CRAMM (ΠΕΡΙΛΗΨΗ)...51 Β.3. Β.4. Β.5. ΠΕΡΙΟΥΣΙΑΚΑ ΣΤΟΙΧΕΙΑ (ASSETS)...52 3.1 ΜΕΘΟ ΟΛΟΓΙΑ...52 3.2 ΑΝΑΓΝΩΡΙΣΗ ΤΩΝ ΠΕΡΙΟΥΣΙΑΚΩΝ ΣΤΟΙΧΕΙΩΝ ΣΤΟ ΚΥΤΠ...53 3.3 ΜΟΝΤΕΛΟ ΣΥΣΧΕΤΙΣΗΣ...54 3.4 ΑΞΙΟΛΟΓΗΣΗ ΠΕΡΙΟΥΣΙΑΚΩΝ ΣΤΟΙΧΕΙΩΝ ΤΟΥ ΚΥΤΠ...56 ΑΠΕΙΛΕΣ ΚΑΙ ΕΥΠΑΘΕΙΕΣ...57 4.1 ΜΕΘΟ ΟΛΟΓΙΑ...57 4.2 ΑΝΑΓΝΩΡΙΣΗ ΤΩΝ ΑΠΕΙΛΩΝ ΣΤΟ ΚΥΤΠ...58 4.3 ΑΞΙΟΛΟΓΗΣΗ ΤΩΝ ΑΠΕΙΛΩΝ ΚΑΙ ΤΩΝ ΕΥΠΑΘΕΙΩΝ ΣΤΟ ΚΥΤΠ...63 ΥΠΟΛΟΓΙΣΜΟΣ ΤΟΥ ΚΙΝ ΥΝΟΥ (RISK)...65 5.1 ΜΕΘΟ ΟΛΟΓΙΑ...65 5.2 ΥΠΟΛΟΓΙΣΜΟΣ ΤΟΥ ΚΙΝ ΥΝΟΥ ΤΟΥ ΚΥΤΠ...65 5.3 ΣΧΟΛΙΑΣΜΟΣ ΤΩΝ ΑΠΟΤΕΛΕΣΜΑΤΩΝ...67 Β.6. ΑΝΤΙΜΕΤΡΑ...68 Β.7. 6.1 ΜΕΘΟ ΟΛΟΓΙΑ...68 6.2 ΑΝΤΙΜΕΤΡΑ ΓΙΑ ΤΟ ΚΥΤΠ ΠΟΥ ΠΑΡΑΧΘΗΚΑΝ ΑΠΟ ΤΟ CRAMM...68 6.3 ΕΚΤΙΜΗΣΗ ΤΩΝ ΑΝΑΓΚΩΝ ΑΣΦΑΛΕΙΑΣ ΣΤΟ ΚΥΤΠ...69 ΕΠΙΛΟΓΟΣ...71 ΠΑΡΑΡΤΗΜΑ Α ΠΑΡΑΡΤΗΜΑ Β 5

ΜΕΡΟΣ Α Ανάλυση Κινδύνων 6

A.1. Η σηµασία της ασφάλειας πληροφοριακών συστηµάτων 1.1 Εισαγωγή Στην σύγχρονη εποχή, η χρήση πληροφοριακών συστηµάτων είναι δεδοµένη για κάθε οργανισµό. H επανάσταση της συνδεσιµότητας είναι πλέον γεγονός. Η ελεύθερη ροή πληροφοριών, οι ευκολίες που παρέχει το Internet καθώς και το ηλεκτρονικό εµπόριο έχουν ωθήσει µέχρι και τις µικρότερες επιχειρήσεις να επενδύσουν στην χρήση πληροφοριακών συστηµάτων και διαδικτυακών εφαρµογών. Σαν αποτέλεσµα, στο µεγαλύτερο ποσοστό των οργανισµών η χρήση των πληροφοριακών συστηµάτων είναι απολύτως αναγκαία για την επίτευξη των στόχων και της βασικής λειτουργικότητας τους. Έτσι, η παραµικρή δυσλειτουργία, διακοπή ή παράνοµη διείσδυση στα συστήµατα αυτά µεταφράζεται σε κόστος, είτε από άµεσες οικονοµικές απώλειες, είτε από την αδυναµία του οργανισµού να λειτουργήσει αποδοτικά. Εκτός από τις οικονοµικές επιπτώσεις όµως, τα προβλήµατα ασφαλείας πληροφοριακών συστηµάτων γίνονται ακόµα πιο αισθητά σε συστήµατα που περιέχουν ευαίσθητα δεδοµένα ή επιτελούν «ευαίσθητες» και σηµαντικές λειτουργίες. ιάφορα παραδείγµατα τέτοιων συστηµάτων είναι: Συστήµατα µε απόρρητα στρατιωτικά δεδοµένα Συστήµατα ελέγχου εναέριας κυκλοφορίας Συστήµατα µε ευαίσθητα ιατρικά δεδοµένα Συστήµατα που περιέχουν ευαίσθητα προσωπικά δεδοµένα Είναι φανερό ότι η ρήξη της ασφάλειας τέτοιων πληροφοριακών συστηµάτων µπορεί να προκαλέσει σοβαρότατα προβλήµατα που απειλούν άµεσα την ανθρώπινη ζωή και την ασφάλεια σε τοπικό, εθνικό αλλά και σε παγκόσµιο επίπεδο. εν υπάρχει λοιπόν αµφιβολία ότι η ασφάλεια των πληροφοριακών συστηµάτων έχει τεράστια σηµασία στην σύγχρονη κοινωνία και πρέπει να παίζει πρωτεύον ρόλο κατά την σχεδίαση, συντήρηση και χρήση τους. 1.2 Προβλήµατα ασφάλειας Στην δεκαετία του 80, όταν τα πληροφοριακά συστήµατα άρχισαν σιγά σιγά να διεισδύουν στις µεσαίες και µεγάλες επιχειρήσεις, οι άνθρωποι που ήξεραν να τα χειρίζονται ήταν λίγοι και εξειδικευµένοι. Τα φαινόµενα παραβίασης της ασφάλειας ήταν σχεδόν ανύπαρκτα. Κατά την διάρκεια της δεκαετίας του 90 και µέχρι σήµερα, οι νέες τεχνολογίες οδήγησαν σε ευρεία χρήση των ηλεκτρονικών υπολογιστών µε αποτέλεσµα ο αριθµός των παραβιάσεων ασφαλείας να ακολουθεί µια συνεχή εκθετική αύξηση. Παρακάτω φαίνονται τα κρούσµατα παραβίασης ασφάλειας που καταγράφηκαν από τον διεθνή οργανισµό CERT κατά την διάρκεια των ετών 1988-2003: 7

Παραβιάσεις Ασφάλειας 160000 140000 120000 100000 80000 60000 40000 20000 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Έτος 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Παραβιάσεις 6 132 252 406 773 1334 2340 2412 2573 2134 3734 9859 21756 52658 82094 137529 Παράλληλα, η ταχύτητα ανάπτυξης της επιστήµης της πληροφορικής αναγκάζει τις εταιρίες ανάπτυξης λογισµικού και προϊόντων πληροφορικής να βγάζουν προϊόντα στην αγορά στον ελάχιστο δυνατό χρόνο ώστε να προλαβαίνουν τις τελευταίες εξελίξεις στον χώρο. Λόγω της πίεσης χρόνου, τα προϊόντα αυτά περιέχουν πολλά σφάλµατα στην υλοποίηση τους (bugs). Επίσης, τις περισσότερες φορές οι εταιρίες δεν υπολογίζουν καν τα θέµατα ασφαλείας µε αποτέλεσµα τα προϊόντα που παράγουν να µην παρέχουν καµία απολύτως λειτουργία ασφάλειας. Παρόµοια σφάλµατα όµως κάνουν και οι εταιρίες που χρησιµοποιούν τα υπολογιστικά συστήµατα για την εσωτερική τους λειτουργία. Για λόγους κόστους, χρόνου αλλά και άγνοιας σε θέµατα ασφαλείας, παραβλέπουν την ασφάλεια κατά την εγκατάσταση νέων υπολογιστικών συστηµάτων και κατά την λειτουργία τους. Έτσι αφήνουν τα συστήµατα τους ευπαθή σε διάφορους τύπους επιθέσεων. Παρακάτω φαίνονται οι ευπάθειες που αναφέρθηκαν σε συστήµατα και καταγράφηκαν από τον διεθνή οργανισµό CERT κατά την διάρκεια των ετών 1995-2003: 8

Ευπάθειες που αναφέρθηκαν 4500 4000 3500 3000 2500 2000 1500 1000 500 0 1995 1996 1997 1998 1999 2000 2001 2002 2003 Έτος 1995 1996 1997 1998 1999 2000 2001 2002 2003 Ευπάθειες 171 345 311 262 417 1090 2437 4129 3784 Σηµείωση: Τα νούµερα από τις δύο παραπάνω καταγραφές δεν είναι παρά µόνο δείγµα των συνολικών κρουσµάτων και θα πρέπει να χρησιµοποιούνται για να δούµε τις τάσεις και όχι σαν απόλυτα νούµερα. 1.3 Οικονοµικές απώλειες από προβλήµατα ασφαλείας Οι οικονοµικές απώλειες που οφείλονται σε προβλήµατα ασφαλείας πληροφοριακών συστηµάτων είναι πολύ µεγάλες και σηµειώνουν αυξητικό χαρακτήρα κατά τα τελευταία χρόνια. Οι απώλειες µπορεί να οφείλονται σε απάτη µε σκοπό το κέρδος, σε κακόβουλες πράξεις που αποσκοπούν την ζηµίωση ή και σε τυχαία γεγονότα όπως για παράδειγµα η καταστροφή δεδοµένων από ιούς. Τα αποτελέσµατα µπορεί να είναι καταστροφικά και στις τρεις περιπτώσεις. Σε έρευνα που έγινε στις ΗΠΑ το 2002 από το Computer Security Institute (CSI) µε την συνεργασία του FBI και µε συµµετοχή 503 ειδικών ασφαλείας από εταιρίες, κρατικούς οργανισµούς, οικονοµικούς οργανισµούς, νοσοκοµεία και πανεπιστήµια, το 80% των ερωτηθέντων αναγνώρισαν οικονοµικές απώλειες λόγω προβληµάτων ασφαλείας. Οι 223 από αυτούς µπόρεσαν να υπολογίσουν τις απώλειες που ανήλθαν σε $455,848,000. Οι µεγαλύτερες οικονοµικές απώλειες προήλθαν από κλοπή ιδιωτικών δεδοµένων ($170,827,000) και από οικονοµική απάτη ($115,753,000). Σε παρόµοια έρευνα που έγινε το 2003 παρατηρήθηκε σηµαντική µείωση των απωλειών σε $201,797,340, αλλά ο αριθµός των παραβιάσεων παρέµεινε ο ίδιος. Στις ίδιες έρευνες αποκαλύφθηκε ότι οι επιθέσεις προέρχονται και από το εσωτερικό της επιχείρησης αλλά και από το Internet. Παρ όλα αυτά, για 4 η χρονιά στη σειρά, το µεγαλύτερο µέρος των ερωτηθέντων (73%) αναφέρει το Internet σαν συχνό σηµείο επίθεσης παρά τα εσωτερικά τους συστήµατα (36%). Βέβαια όλα τα παραπάνω στοιχεία είναι µόνο ένα µικρό κοµµάτι των απωλειών παγκοσµίως. Ειδικοί αναλυτές για θέµατα ασφαλείας υπολογίζουν τις απώλειες σε παγκόσµιο επίπεδο σε πολλά δισεκατοµµύρια δολάρια ετησίως. Αξίζει να αναφερθεί ότι ο ιός Mydoom που 9

εµφανίστηκε πρόσφατα υπολογίζετε ότι κόστισε συνολικά γύρω στα 38 δισεκατοµµύρια δολάρια, συµπεριλαµβάνοντας τις απώλειες από αδυναµία λειτουργίας, µείωση παραγωγικότητας, συµφόρηση δικτύων, κόστος επαναφοράς και αναβαθµίσεις λογισµικού. Το µέγεθος των απωλειών είναι αρκετά µεγάλο ώστε να καταστρέψει ολόκληρες εταιρίες και οργανισµούς ή να θέσει εκτός ανταγωνισµού όσους αρνούνται να δουν τα θέµατα ασφαλείας των υπολογιστικών συστηµάτων ως σηµαντικό ρίσκο της λειτουργίας ενός οργανισµού. 1.4 Αντιµετώπιση Η αντιµετώπιση των προβληµάτων ασφαλείας, παρότι δεν είναι απλή υπόθεση, πρέπει να λαµβάνεται σοβαρά υπόψη. Η εισαγωγή πληροφοριακών συστηµάτων σε ένα περιβάλλον µπορεί µεν να αυξάνει κατακόρυφα την παραγωγικότητα και το κέρδος, αλλά εισάγει νέους κινδύνους που αυξάνουν σηµαντικά το ρίσκο και εποµένως πρέπει οπωσδήποτε να αναγνωριστούν και να αντιµετωπιστούν ανάλογα. Ο κλάδος της ασφάλειας πληροφοριακών συστηµάτων έχει να προσφέρει ευτυχώς µια πληθώρα από αντίµετρα (εργαλεία, µεθόδους, έλεγχους, πολιτικές ασφαλείας) για την αντιµετώπιση κάθε είδους προβλήµατος. Η ενσωµάτωση όµως όλων αυτών σε κάθε οργανισµό δεν είναι καθόλου απλή υπόθεση. Αντιθέτως, ο διαφορετικός τρόπος λειτουργίας καθώς και η διαφορετική ανάθεση πόρων για θέµατα ασφαλείας δηµιουργούν εντελώς διαφορετικές συνθήκες, µοναδικές για κάθε οργανισµό. Η ενσωµάτωση της ασφάλειας λοιπόν δεν πρέπει να θεωρηθεί ως µια απλή διαδικασία, καθώς πρέπει κάθε φορά να λαµβάνονται υπόψη όλοι οι παράγοντες ώστε η ασφάλεια να µην γίνετε εµπόδιο στην λειτουργία του οργανισµού αλλά να τον υπηρετεί. Λύση στο πρόβληµα αυτό δίνει η ανάλυση κινδύνων (risk analysis). Η ανάλυση κινδύνων έχει ως σκοπό την αξιολόγηση των περιουσιακών στοιχείων του οργανισµού και την αναγνώριση όλων των κινδύνων και των ευπαθειών που τα απειλούν. Θα πρέπει στο σηµείο αυτό να αναφερθεί ότι µε τον όρο «περιουσιακά στοιχεία» δεν εννοούνται µόνο τα καθαρά οικονοµικά µεγέθη. Αντιθέτως, συµπεριλαµβάνονται και αξίες όπως προσωπικά δεδοµένα, στοιχεία που η παραβίαση τους µπορεί να οδηγήσει στην απώλεια ανθρώπινης ζωής, η εικόνα ενός οργανισµού προς τα έξω κτλ. Με τα δεδοµένα αυτά υπολογίζεται το ρίσκο που εισάγει η χρήση κάθε πληροφοριακού συστήµατος στην λειτουργία του οργανισµού. Έτσι, µπορούν να υπολογιστούν µε ικανοποιητική ακρίβεια ποια αντίµετρα συµφέρει να εγκατασταθούν και σε ποιες περιπτώσεις είναι προτιµότερη η αποδοχή του ρίσκου. Επιπρόσθετα, η ανάλυση κινδύνων θέτει προτεραιότητες στα αντίµετρα που µπορούν να εγκατασταθούν, µε αποτέλεσµα να µπορεί να γίνει µια πιο ορθή επιλογή στις περιπτώσεις που ο προϋπολογισµός δεν επιτρέπει αρκετούς πόρους ώστε να καλυφθούν όλες οι ανάγκες για θέµατα ασφαλείας. Ιδιαίτερα σήµερα που η παγκόσµια οικονοµία βρίσκεται σε ύφεση και οι περισσότερες επιχειρήσεις και οργανισµοί αναγκάζονται να κάνουν περικοπές σε όλους τους τοµείς, η ανάλυση κινδύνων έρχεται να παίξει ουσιαστικό ρόλο στην σωστή αντιµετώπιση των προβληµάτων ασφαλείας µε οργανωµένο και αποτελεσµατικό τρόπο. 10

Α.2. Ανάλυση Κινδύνων ( Risk Analysis) 2.1 Εισαγωγή Στο παρελθόν το πληροφοριακό σύστηµα ενός οργανισµού βρισκόταν συγκεντρωµένο κεντρικά σε ένα σηµείο λόγω τις χρήσης mainframe συστηµάτων. Η ασφάλεια του ήταν πολύ πιο απλή και εύκολα εφαρµόσιµη. Σήµερα όµως το περιβάλλον των πληροφοριακών συστηµάτων είναι πολύ διαφορετικό. Τα δεδοµένα και οι πληροφορίες είναι διασκορπισµένες σε τοπικά δίκτυα και διαφορετικά συστήµατα τµηµάτων, που ήρθαν να αντικαταστήσουν την συγκεντρωµένη λογική των mainframe. Τα κατανεµηµένα συστήµατα και η εκτεταµένη δικτύωση δηµιουργούν πολύ πιο πολύπλοκες συνθήκες διαχείρισης και ασφάλειας. Για να µπορέσει να υπολογιστεί ικανοποιητικά η πιθανότητα να συµβεί ένα ανεπιθύµητο γεγονός και το µέγεθος του, πρέπει να υπάρχει µια γνώση των στοιχείων που απαρτίζουν τον κίνδυνο καθώς και των συσχετίσεων µεταξύ τους. Με καλή γνώση του κινδύνου µπορεί κάποιος να αποφασίσει ευκολότερα και σωστότερα για το αν θα αποδεχτεί τον κίνδυνο έτσι όπως έχει αποτιµηθεί ή αν θα προβεί σε ενέργειες που θα τον αποτρέψουν ή θα τον µειώσουν σε αποδεκτά επίπεδα. Αυτός µε λίγα λόγια είναι ο σκοπός της ανάλυσης κινδύνων (risk analysis). 2.2 Ορισµοί Για καλύτερη κατανόηση δίνονται παρακάτω οι βασικοί ορισµοί που χρησιµοποιούνται ευρέως στην ανάλυση κινδύνων: Απειλή: Ένα µη επιθυµητό γεγονός που µπορεί να προκαλέσει µη διαθεσιµότητα του συστήµατος και των υπηρεσιών, τυχαία ή µε πρόθεση µετατροπή των δεδοµένων, καταστροφή των δεδοµένων ή του συστήµατος και τέλος µη εξουσιοδοτηµένη αποκάλυψη ευαίσθητων πληροφοριών. Ευπάθεια: Μια αδυναµία ή σχεδιαστική ατέλεια σε ένα σύστηµα, εφαρµογή ή υποδοµή που µπορεί να γίνει αιτία για την παραβίαση της ασφάλειας και της ακεραιότητας του συστήµατος. Κίνδυνος: Η πιθανότητα µια συγκεκριµένη απειλή να εκµεταλλευτεί µια συγκεκριµένη ευπάθεια. Εναλλακτικά ο κίνδυνος, ο οποίος εκφράζει το ενδεχόµενο για απώλεια, µπορεί να εκφραστεί καλύτερα µε την απάντηση των 4 παρακάτω ερωτήσεων: 1. Τι θα µπορούσε να συµβεί; (Απειλή) 2. Πόσο κακό θα µπορούσε να είναι; (Συνέπειες) 3. Πόσο συχνά µπορεί να συµβαίνει; (Συχνότητα) 4. Τι σιγουριά υπάρχει για τις απαντήσεις στις 3 παραπάνω ερωτήσεις; (Βαθµός αβεβαιότητας) 11

Αντίµετρο: Μέτρο που λαµβάνεται για την προστασία του πληροφοριακού συστήµατος και την αντιµετώπιση των απειλών. Το µέτρο µπορεί να ενεργεί ανιχνεύοντας, προλαµβάνοντας ή µειώνοντας την απώλεια που σχετίζεται µε την εµφάνιση µιας απειλής ή κατηγορίας απειλών. Ανάλυση κινδύνων: Ανάλυση κινδύνων ενός πληροφοριακού συστήµατος είναι η διαδικασία αναγνώρισης και αξιολόγησης των κινδύνων ασφαλείας που εισάγει το σύστηµα στην λειτουργία ενός οργανισµού, καθώς και το κόστος των απωλειών που θα προκληθούν σε περίπτωση που δηµιουργηθεί πρόβληµα ασφαλείας. Έτσι προσδιορίζεται ο βαθµός κινδύνου του πληροφοριακού συστήµατος και οι απαιτήσεις ασφαλείας που υπάρχουν. Υπολογίζεται επιπλέον και το κόστος πρόληψης κάθε απώλειας ώστε να είναι δυνατή µια σωστή αντιµετώπιση των κινδύνων µε ορθολογιστικά κριτήρια. 2.3 Ο τύπος BPL Ένας βασικός τύπος που αποτελεί την καρδιά της ανάλυσης κινδύνων είναι ο τύπος B>P*L Τα τρία στοιχεία του τύπου BPL είναι: Β = Το κόστος για την πρόληψη µιας απώλειας P = Η πιθανότητα να συµβεί µια απώλεια L = Το συνολικό κόστος µιας απώλειας Το νόηµα του τύπου είναι ότι όταν το κόστος της πρόληψης µιας απώλειας είναι µεγαλύτερο από το γινόµενο του κόστους της απώλειας επί την πιθανότητα να συµβεί αυτή τότε η υλοποίηση του µέτρο πρόληψης κρίνεται ως υπερβολική. Στην αντίθετη περίπτωση το µέτρο πρόληψης συµφέρει να υλοποιηθεί. Συνήθως τα µεγέθη υπολογίζονται σε ετήσιες απώλειες και ετήσια πιθανότητα να συµβεί ένα γεγονός. Ο τύπος αυτός αντικατοπτρίζει την κεντρική ιδέα πίσω από κάθε ανάλυση κινδύνων, όχι µόνο για πληροφοριακά συστήµατα. Την ιδέα του υπολογισµού της πιο συµφέρουσας λύσης. Ωστόσο ο υπολογισµός του τύπου και η πρακτική του εφαρµογή βρίσκει σηµαντικές δυσκολίες. Συγκεκριµένα, ο ακριβής υπολογισµός των τιµών των πιθανοτήτων και του κόστους πρόληψης ή απώλειας δεν είναι πάντα εύκολος ή δυνατός. Για παράδειγµα η αντιστοίχηση των απωλειών µε οικονοµικά νούµερα δεν είναι πάντα δυνατή διότι πολλές φορές στην ανάλυση κινδύνων αξιολογούνται απώλειες απροσδιόριστες όπως η εικόνα ενός οργανισµού και η εµπιστοσύνη που έχουν οι «πελάτες» του σε αυτόν. Ακόµα και αν δεν χρησιµοποιείται όµως άµεσα, όλες οι µέθοδοι της ανάλυσης κινδύνων βασίζονται πάνω στην λογική του τύπου BPL. 2.4 Βασική µεθοδολογία της ανάλυσης κινδύνων Προκειµένου οι διαχειριστές να πάρουν σωστές αποφάσεις για την αποδοχή, αποτροπή ή µείωση των κινδύνων και την υλοποίηση αποδοτικών οικονοµικά (cost effective) λύσεων ασφαλείας, είναι αναγκαία η υιοθέτηση µιας µεθοδολογίας που θα αντιµετωπίζει τα θέµατα µε βάση το κόστος και το όφελος. Με τον καιρό έχει δηµιουργηθεί µια πληθώρα διαδικασιών που ήρθαν να καλύψουν διαφορετικές ανάγκες για ανάλυση κινδύνων. Αν και υπάρχουν πολλές διαφορετικές διαδικασίες, η βασική µέθοδος παραµένει η ίδια. 12

Ο κίνδυνος στον οποίο εκτίθεται ένα πληροφοριακό σύστηµα είναι συνάρτηση: Της αξίας των περιουσιακών στοιχείων Των ευπαθειών του Των πιθανών απειλών και της φύσης τους Των επιπτώσεων που µπορεί να προκύψουν Στο παρακάτω σχήµα φαίνονται οι σχέσεις µεταξύ των παραπάνω καθώς και η σχέση του κινδύνου µε τα αντίµετρα που τελικά επιλέγονται. Περιουσιακά Στοιχεία Έχουν Ευπάθειες Εκµεταλλέυονται Απειλές Οδηγούν σε Επιπτώσεις Υπολογίζεται Αντίµετρα Μειώνουν ΚΙΝ ΥΝΟΣ Η βασική µεθοδολογία της ανάλυσης κινδύνων περιλαµβάνει τα παρακάτω βήµατα: 1. Καθορισµός του σκοπού και της εµβέλειας της ανάλυσης: Στο βήµα αυτό καθορίζεται τι ακριβώς θα περιληφθεί στην ανάλυση κινδύνων και ποια αποτελέσµατα αναµένεται να παραχθούν από αυτήν. 2. Αναγνώριση και αξιολόγηση των περιουσιακών στοιχείων του πληροφοριακού συστήµατος: Υπάρχουν πολλά περιουσιακά στοιχεία σε έναν οργανισµό, πολλά από τα οποία δεν είναι εύκολα αναγνωρίσιµα. Σε αυτό το βήµα γίνεται προσπάθεια αναγνώρισης τους και προσδιορισµός της αξίας τους προς τον οργανισµό. 13

3. Ανάλυση των απειλών προς τα περιουσιακά στοιχεία και των επιπτώσεων που µπορεί να έχουν: Για κάθε κατηγορία περιουσιακών στοιχείων υπάρχουν και µια σειρά από απειλές. Στο βήµα αυτό αναγνωρίζονται οι απειλές για κάθε περιουσιακό στοιχείο, ο τρόπος µε τον οποίο το απειλούν και οι επιπτώσεις που θα επιφέρει η κάθε απειλή. 4. Ανάλυση των ευπαθειών: Ένα περιουσιακό στοιχείο µπορεί να είναι λιγότερο ευπαθής προς µια απειλή και περισσότερο προς µια άλλη. Στο βήµα αυτό διευκρινίζεται η ευπάθεια του κάθε περιουσιακού στοιχείου προς κάθε απειλή ξεχωριστά. Η ευπάθεια µπορεί να οριστεί και µε την εξής συνάρτηση: Ευπάθεια = Πιθανότητα να συµβεί µια απειλή x Πιθανότητα να είναι επιτυχής 5. Υπολογισµός του κινδύνου: Ο βαθµός του κινδύνου υπολογίζεται ξεχωριστά για κάθε απειλή προς κάθε περιουσιακό στοιχείο. Είναι συνάρτηση όλων των παραπάνω, δηλαδή: - Των επιπτώσεων µιας απειλής (που έχουν σχέση µε την αξία του περιουσιακού στοιχείου) - Της ευπάθειας του περιουσιακού στοιχείου ως προς την απειλή 6. Επιλογή τρόπων αντιµετώπισης των κινδύνων: Υπάρχουν 3 τρόποι αντιµετώπισης του κινδύνου: α) Αποφυγή του κινδύνου µε πλήρη απόσυρση από µια συγκεκριµένη δραστηριότητα β) Αποδοχή του κινδύνου γ) Μείωση του κινδύνου µε χρήση αντιµέτρων (µέτρων ασφαλείας) Με τα αντίµετρα µπορούν να επιτευχθούν τα εξής: - Μεταφορά κινδύνου, πχ. αγορά ασφάλειας - Μείωση ευπάθειας: Μείωση πιθανότητας να συµβεί µια απειλή - πχ. απαγορεύοντας το κάπνισµα σε µια ευαίσθητη περιοχή Μείωση πιθανότητας µια απειλή να είναι επιτυχής - πχ. χρήση κρυπτογράφησης, χρήση firewall - Μείωση αντίκτυπου, πχ. σύστηµα πυρόσβεσης - Μέτρα ανάνηψης (επαναφοράς), πχ. backup Κατά το βήµα αυτό αναγνωρίζονται τα πιθανά αντίµετρα που µπορούν να εφαρµοστούν και επιλέγονται αυτά που συµφέρουν περισσότερο στον οργανισµό. 7. Τα επόµενα βήµατα: Η ανάλυση κινδύνων και η ασφάλεια των πληροφοριακών συστηµάτων γενικότερα είναι µια συνεχόµενη διαδικασία. Μετά την επιλογή των τρόπων αντιµετώπισης και την εφαρµογή τους στον οργανισµό πρέπει να υπάρχει µια συνεχής παρακολούθηση των κινδύνων. Τα δεδοµένα σε ένα πληροφοριακό σύστηµα αλλάζουν συνεχώς, εισάγονται νέες απειλές, νέες ευπάθειες, νέες επιπτώσεις κτλ. Τα αντίµετρα που έχουν επιλεχθεί ελέγχονται συνεχώς για την αποτελεσµατικότητα τους. Πολλά από αυτά µε τον καιρό σταµατούν να συµφέρουν στον οργανισµό και πρέπει να καταργηθούν ή να αντικατασταθούν από νέα αντίµετρα. 14

2.5 Οφέλη της ανάλυσης κινδύνων Παρακάτω αναφέρονται τα πιο σηµαντικά οφέλη που αποκοµίζονται από την ανάλυση κινδύνων πληροφοριακών συστηµάτων. Γενική βελτίωση της ασφάλειας του πληροφοριακού συστήµατος Η ανάλυση κινδύνων βοηθάει στην γενική βελτίωση της ασφάλειας του πληροφοριακού συστήµατος αναγνωρίζοντας και αντιµετωπίζοντας τους σηµαντικότερους κινδύνους που το απειλούν. Στόχευση της ασφάλειας Η ασφάλεια πρέπει να στοχεύει κατάλληλα και άµεσα στις πιθανές επιπτώσεις, απειλές και υπάρχουσες ευπάθειες. Η αποτυχία να γίνει αυτό µπορεί να οδηγήσει σε υπερβολικές και µη αναγκαίες δαπάνες. Η ανάλυση κινδύνων προάγει πολύ καλύτερη στόχευση που βοηθά στην εξάλειψη των άσκοπων δαπανών και στην πιο αποτελεσµατική αντιµετώπιση των πραγµατικών προβληµάτων ασφαλείας. Βελτίωση της κατανόησης του συστήµατος Κατά την διαδικασία της ανάλυσης κινδύνων βελτιώνεται η γνώση και η κατανόηση του συστήµατος ως προς θέµατα ασφαλείας. Καταρχάς αναγνωρίζονται οι διάφορες απειλές και φανερώνονται οι ευπάθειες του. Επίσης κατανοείται η πραγµατική αξία των επιµέρους συστηµάτων που αποτελούν το πληροφοριακό σύστηµα. Κατανόηση της αναγκαιότητας της ασφάλειας Η συµµετοχή στην διαδικασία της ανάλυσης κινδύνων διαµορφώνει µια καλύτερη κατανόηση των προβληµάτων ασφαλείας καθώς και των επιπτώσεων που µπορεί να έχουν αυτά. Με αυτό τον τρόπο επιτυγχάνεται καλύτερη επιλογή αντιµέτρων αλλά και µεγαλύτερη αποδοχή των αντιµέτρων που προτείνονται από τους χρήστες. Η κατανόηση της αναγκαιότητας της ασφάλειας έχει ως αποτέλεσµα την αντιµετώπιση των θεµάτων ασφαλείας µε την σοβαρότητα που τους αρµόζει. ικαιολόγηση δαπανών για την ασφάλεια Η εισαγωγή ασφάλειας σε ένα πληροφοριακό σύστηµα σχεδόν πάντα σηµαίνει επιπλέον κόστος. Επειδή όµως δεν οδηγεί άµεσα σε αύξηση των κερδών µιας επιχείρησης, πρέπει να δικαιολογείται οικονοµικά. Η ανάλυση κινδύνων δηµιουργεί την κατάλληλη δικαιολόγηση για την αναγκαιότητα της ασφάλειας που προτείνεται και του κόστους που αυτή προσθέτει. 15

2.6 Τεχνικές ανάλυσης κινδύνου Υπάρχει ένας πολύ µεγάλος αριθµός από τεχνικές ανάλυσης κινδύνων. Αυτό οφείλεται στις διαφορετικές ανάγκες που χρειάζεται να καλύψουν. Γενικά όµως υπάρχουν δύο µεγάλες κατηγορίες για ανάλυση κινδύνων: Η ποσοτική(quantitative) και η ποιοτική (qualitative). Ποσοτική ανάλυση: Η ποσοτική ανάλυση προσπαθεί να προσδιορίσει αντικειµενικές αριθµητικές τιµές (πχ. χρηµατικά ποσά) για κάθε συνιστώσα της ανάλυσης κινδύνων. Για παράδειγµα προσπαθεί να υπολογίσει την χρηµατική αξία των απωλειών ή την πιθανότητα (σε νούµερο) να συµβεί ένα περιστατικό. Στην περίπτωση που «ποσοτικοποιηθούν» όλες οι συνιστώσες (αξία περιουσιακών στοιχείων, συχνότητα απειλών, αποτελεσµατικότητα αντίµετρων, κόστος αντίµετρων, αβεβαιότητα και πιθανότητα) τότε η ανάλυση ονοµάζεται πλήρως ποσοτική. Πλεονεκτήµατα: Τα αποτελέσµατα έχουν το κύρος της µαθηµατικής απόδειξης Τα αποτελέσµατα µπορούν να εκφραστούν σε γλώσσα κατανοητή από τους διαχειριστές (managers) του οργανισµού Η ανάλυση κόστους/όφελους (cost/benefit) είναι πιο εύκολη και άµεση. Η αξία των περιουσιακών στοιχείων του πληροφοριακού συστήµατος (όσον αφορά την εµπιστευτικότητα, ακεραιότητα και διαθεσιµότητα) γίνεται καλύτερα κατανοητή όταν εκφράζεται σε χρηµατικά ποσά. Αυτό βοηθάει στην µεγαλύτερη αποδοχή της ασφάλειας. Μειονεκτήµατα: Οι υπολογισµοί µπορεί να είναι πολύπλοκοι Η ανάλυση χρειάζεται πολύ χρόνο για να ολοκληρωθεί Χρειάζεται µεγάλη ποσότητα προκαταρτικής εργασίας Η καθοδήγηση των συµµετεχόντων στην ανάλυση δεν µπορεί να γίνει εύκολα. Έτσι συνήθως χρειάζεται η συµµετοχή έµπειρων στην ποσοτική ανάλυση ατόµων. Ιστορικά, η ποσοτική ανάλυση λειτουργεί καλά µόνο µε την χρήση κάποιου αυτοµατοποιηµένου εργαλείου συνδεδεµένου µε µια γνωστική βάση (knowledge base). Ιστορικά, η ποσοτική ανάλυση ήταν η πρώτη που χρησιµοποιήθηκε για την ανάλυση κινδύνων πληροφοριακών συστηµάτων. Οι πρώτες προσπάθειες όµως συνάντησαν σηµαντικές δυσκολίες λόγω της µεγάλης ποσότητας των δεδοµένων και τις πολυπλοκότητας των υπολογισµών. Έτσι, ενώ πολλοί σχεδίασαν εργαλεία και αυτόµατες διαδικασίες για την υποβοήθηση της ποσοτικής ανάλυσης, άλλοι κατέφυγαν στην δηµιουργία πιο ποιοτικών µεθόδων ανάλυσης οι οποίες τελικά έγιναν και οι πιο διαδεδοµένες. Ποιοτική ανάλυση: Η ποιοτική ανάλυση δεν προσπαθεί να δώσει ακριβείς αριθµητικές τιµές στις συνιστώσες της ανάλυσης κινδύνου. Αντιθέτως αρκείται να τις χαρακτηρίζει µε εκφράσεις όπως πχ. µεγάλο, µέτριο, µικρό ή να δίνει τιµές από µια προαποφασισµένη κλίµακα. Με την λογική αυτή παρακάµπτονται οι πολύπλοκοι υπολογισµοί. Αν και οι κίνδυνοι δεν υπολογίζονται επακριβώς, επιτυγχάνεται η ταξινόµηση τους και εποµένως η προτεραιότητα για την αντιµετώπιση τους. Η ποιοτική ανάλυση βασίζεται στην εµπειρία των ανθρώπων που συµµετέχουν για τον προσδιορισµό των κινδύνων. Πρόκειται προφανώς για µια υποκειµενική µέθοδος. Προσπαθεί να εκµεταλλευτεί την γνώση των ατόµων που 16

συµµετέχουν ώστε να φτάσει σε αποδεκτά προσεγγιστικά αποτελέσµατα στον ελάχιστο δυνατό χρόνο και µε την ελάχιστη προσπάθεια, παρακάµπτοντας το πολύπλοκο µαθηµατικό κοµµάτι της ανάλυσης. Έχει αποδειχτεί µε τον καιρό ότι η ποιοτική ανάλυση παράγει ικανοποιητικά αποτελέσµατα όταν τα άτοµα που συµµετέχουν έχουν την απαιτούµενη γνώση και εµπειρία για το πληροφοριακό σύστηµα που εξετάζεται. Πλεονεκτήµατα: Αποφεύγονται πολύπλοκοι υπολογισµοί εν είναι απαραίτητος ο αριθµητικός υπολογισµός της αξίας των περιουσιακών στοιχείων Είναι ευκολότερη η συµµετοχή ατόµων που δεν έχουν σχέση µε την ασφάλεια και την πληροφορική. Η ποιοτική ανάλυση χρειάζεται λιγότερο χρόνο και λιγότερους πόρους σε σχέση µε την ποσοτική Η διαδικασία της ανάλυσης είναι πιο ευέλικτη Μειονεκτήµατα: Είναι υποκειµενικής φύσεως εν γίνεται µεγάλη προσπάθεια για την αναγνώριση της αντικειµενικής αξίας των περιουσιακών στοιχείων. Έτσι, η αντίληψη της αξίας µπορεί να µην αντικατοπτρίζει την πραγµατική αξία κατά τον υπολογισµό του κινδύνου. Η ποιότητα των αποτελεσµάτων βασίζεται εξ ολοκλήρου στην γνώση και την εµπειρία των ατόµων που συµµετέχουν στην ανάλυση Η ανάλυση κόστους/όφελους (cost/benefit) δεν βασίζεται σε µαθηµατική απόδειξη Στην πραγµατικότητα οι περισσότερες τεχνικές που χρησιµοποιούνται σήµερα είναι µια µίξη ποσοτικής και ποιοτικής ανάλυσης. Τον χαρακτηρισµό ποιοτική ή ποσοτική ανάλυση την παίρνουν ανάλογα µε ποια ανάλυση προσεγγίζουν καλύτερα. 2.7 Υπολογισµός αξίας Ένα από τα πιο δύσκολα και σηµαντικά βήµατα της ανάλυσης κινδύνων πληροφοριακών συστηµάτων είναι ο υπολογισµών της αξίας των περιουσιακών στοιχείων. Σε διάφορες µεθόδους υπολογίζεται η ολική αξία των περιουσιακών στοιχείων και έπειτα το ποσοστό έκθεσης τους στους διάφορους κινδύνους ενώ σε άλλες υπολογίζονται απευθείας οι απώλειες που µπορούν να προκληθούν στα περιουσιακά στοιχεία από κάθε κίνδυνο. Όποια µέθοδος και να χρησιµοποιηθεί όµως, ο υπολογισµός της αξίας αντιµετωπίζει σηµαντικές δυσκολίες. Αυτό συµβαίνει διότι η αξία δεν µπορεί πάντα να εκφραστεί µε χρηµατικά ποσά. Πολλές φορές εκφράζει αφηρηµένα µεγέθη όπως πχ. η εµπιστοσύνη των πελατών ενός οργανισµού σε αυτόν. Η ποσοτικές µέθοδοι αποτυγχάνουν να δώσουν ακριβείς λύσεις στο πρόβληµα αυτό. Ίσως αυτός να είναι και ο σηµαντικότερος λόγος που οι πιο ποιοτικές µέθοδοι (υβριδικές) επικρατούν σήµερα. Οι ποιοτικές µέθοδοι αντιµετωπίζουν τα αφηρηµένα µεγέθη µε τον ίδιο ακριβώς τρόπο που αντιµετωπίζουν και τα συγκεκριµένα. ηλαδή «εµπιστεύονται» τους ανθρώπους που συµµετέχουν στην ανάλυση στην βαθµολόγηση και ταξινόµηση των αξιών µε βάση την εµπειρία και την γνώση τους. Βέβαια αυτός ο τρόπος είναι καθαρά υποκειµενικός και µπορεί να οδηγήσει σε εσφαλµένα αποτελέσµατα, για αυτό το λόγο η ποιότητα των συµµετεχόντων στην ανάλυση είναι ανάλογη της συνολικής ποιότητας της ανάλυσης. 17

Τα περιουσιακών στοιχείων ενός οργανισµού µπορεί να είναι: Υλικά: κτίρια, υπολογιστές, δίκτυα κτλ Λογικά: δεδοµένα, εφαρµογές, υπηρεσίες κτλ Αφηρηµένα: εµπιστοσύνη πελατών, δηµόσια εικόνα, ηθικά θέµατα, ηθικό προσωπικού κτλ Η αξία των περιουσιακών στοιχείων (η οποία πολλές φορές εκφράζεται µέσα από τις απώλειες) µπορεί να εκφράζεται σε: Χρηµατικά ποσά, ανθρωποώρες, απώλεια κερδών, απώλεια ανταγωνιστικότητας, απώλεια παραγωγικότητας, αξία για τους ανταγωνιστές, απώλειες από νοµικά προβλήµατα, προσωπική ασφάλεια (πχ. από απειλές για την ανθρώπινη ζωή), αξία προσωπικών δεδοµένων, απώλεια εµπιστοσύνης, προβλήµατα ηθικού του προσωπικού κτλ. Στις ποιοτικές αναλύσεις για την αξιολόγηση των περιουσιακών στοιχείων δηµιουργούνται κατάλληλες κλίµακες µε βάση των οποίων γίνεται η βαθµολόγηση. Επειδή όπως αναφέρθηκε παραπάνω υπάρχουν διαφορετικά είδη αξιών, δηµιουργούνται και ανάλογες κλίµακες. Η οµάδα που κάνει την ανάλυση αποφασίζει και κατασκευάζει τις κατάλληλες κλίµακες ανάλογα µε τις ανάγκες του οργανισµού και τις ανάλυσης. Είναι σηµαντικό να γίνεται κατανοητή η έννοια της κάθε βαθµίδας της κλίµακας ώστε τα µέλη της οµάδας να µπορούν να αξιολογούν µε βάση την ίδια έννοια. Παραδείγµατα από πιθανές κλίµακες που θα µπορούσαν να χρησιµοποιηθούν δίνονται παρακάτω. Κλίµακα χρηµατικής αξίας(απώλειας) Χρηµατική αξία Βαθµός κλίµακας Ως 1.000 1 Μεταξύ 1Κ και 5Κ 2 Μεταξύ 5Κ και 15Κ 3 Μεταξύ 15Κ και 50Κ 4 Μεταξύ 50Κ και 150Κ 5 Μεταξύ 150Κ και 300Κ 6 Μεταξύ 300Κ και 1Μ 7 Μεταξύ 1Μ και 3Μ 8 Πάνω από 3Μ 9 Αξίζει να παρατηρηθεί ότι η κλίµακα δεν είναι γραµµική αλλά βασίζεται στα οικονοµικά µεγέθη του οργανισµού για τον οποίο γίνεται η ανάλυση και αντικατοπτρίζει το βαθµό ανησυχίας που µπορεί να προκληθεί για κάθε βαθµίδα της κλίµακας. Ένας καλός τρόπος για να βρεθούν τα πάνω και κάτω όρια της κλίµακας είναι να απαντηθούν οι εξής ερωτήσεις: Κάτω όριο: Ποιο είναι το µικρότερο ποσό για το οποίο ο οργανισµός µπορεί να αισθανθεί ότι χρειάζεται να κάνει κάποια παρέµβαση ή διόρθωση; Πάνω όριο: Για τι ποσό ο οργανισµός θα αντιµετωπίσει πάρα πολύ σοβαρό πρόβληµα; 18

Κλίµακα δηµόσια εικόνας ηµόσια εικόνα Βαθµός κλίµακας Αρνητική εικόνας ενός προϊόντος ή υπηρεσίας 2 Αρνητική εικόνα µιας οµάδας προϊόντων ή 4 υπηρεσιών Αρνητική εικόνα που επηρεάζει ολόκληρο τον 5 οργανισµό Αρνητικός σχολιασµός του οργανισµού από τα 6 µέσα µαζικής ενηµέρωσης Αρνητική επίπτωση στην τιµή της µετοχής στο 8 χρηµατιστήριο Όπως φαίνεται παραπάνω, η κλίµακα δεν είναι απαραίτητο να είσαι συνεχής. Σκοπός είναι οι κλίµακες να είναι ανάλογες µεταξύ τους. ηλαδή αν ένα περιουσιακό στοιχείο έχει βαθµό 5 στην κλίµακα δηµόσιας εικόνας, έχει µεγαλύτερη αξία από ένα περιουσιακό στοιχείο µε βαθµό 4 στην κλίµακα χρηµατικής αξίας και πρέπει να προστατευτεί καλύτερα. Με την ίδια λογική µπορούν να κατασκευαστούν κλίµακες για όλα τα είδη «αξιών» που έχουν σηµασία για έναν οργανισµό. 19

Α.3 Ποσοτική Ανάλυση Κινδύνων (Quantitative Risk Analysis) 3.1 Εισαγωγή Η ποσοτική ανάλυση αν και είναι ιδιαίτερα διαδεδοµένη σε άλλους κλάδους, στο κλάδο της ασφάλειας πληροφοριακών συστηµάτων δεν έχουν αναπτυχθεί µέθοδοι που να βρουν ευρεία αποδοχή. Λόγω της «αφηρηµένης» φύσης της αξίας της πληροφορίας οι πιο γνωστές µέθοδοι ανήκουν στην κατηγορία των ποιοτικών µεθόδων. Για λόγους πληρότητας όµως, σε αυτό το κεφάλαιο θα δοθεί ένα µικρό παράδειγµα ποσοτικής ανάλυσης. 3.2 Παράδειγµα ποσοτικής ανάλυσης Σε αυτό το παράδειγµα θα αναλύσουµε τον κίνδυνο ενός υπολογιστή που περιέχει µια βάση δεδοµένων από την απειλή ηλεκτρονικής βλάβης (αποτυχίας) του εξοπλισµού. Αρχικά υπολογίζουµε την αξία του περιουσιακού στοιχείου: Αξία υπολογιστή: 10.000 Απώλεια κερδών από την µη διαθεσιµότητα µέχρι την αποκατάσταση: 6.000 Αξία δεδοµένων που χάνονται από το πιο πρόσφατο backup µέχρι την καταστροφή: 4000 Απώλεια ανθρωποωρών για την αποκατάσταση της βάσης µε τα backup: 1.000 Συνολικά αξία: 21.000 Έπειτα προσπαθούµε να βρούµε την ετήσια συχνότητα αποτυχίας του εξοπλισµού. Από στατιστικά στοιχεία που υπάρχουν σε γνωσιακές βάσεις (knowledge bases) ή από στοιχεία που κρατούνται από τον ίδιο τον οργανισµό υπολογίζουµε ότι η συχνότητα είναι 0,9 φορές τον χρόνο. Το επόµενο βήµα είναι ο υπολογισµός του βαθµού έκθεσης του συστήµατος στην συγκεκριµένη απειλή. Ο βαθµός έκθεσης δείχνει πόσο ευάλωτο είναι ένα περιουσιακό στοιχείο σε µια συγκεκριµένη απειλή και κυµαίνεται από 0 (είναι απρόσβλητο) µέχρι 1 (ολική καταστροφή). Για το συγκεκριµένο παράδειγµα επιλέγουµε 0,3 που χοντρικά σηµαίνει ότι η πιθανότητα να συµβεί ολική καταστροφή είναι 30% ή ότι αναµένουµε 30% καταστροφή του συστήµατος κατά µέσο όρο. Η αναµενόµενη απώλεια από ένα µεµονωµένο περιστατικό (single loss expectancy) είναι: SLE = Αξία * Βαθµός έκθεσης = 21.000 * 0,3 = 6.300 Υπολογίζουµε την αναµενόµενη ετήσια απώλεια (Annualized Loss Expectancy): ALE = SLE * ετήσια συχνότητα = 6.300 * 0,9 = 5.760 20

Μετά τον υπολογισµό της ετήσιας αναµενόµενης απώλειας αναζητούµε αντίµετρα για την αντιµετώπιση του κινδύνου: Ετήσια Προληπτική Τεχνική Συντήρηση Η ετήσια συντήρηση του συστήµατος ελέγχει προληπτικά και αντικαθιστά «φθαρµένα» εξαρτήµατα του συστήµατος µε αποτέλεσµα την µείωση της συχνότητας αποτυχίας σε 0,4 Αρχικό κόστος = 0 Ετήσιο κόστος = 1.000 Ανάλυση κόστους / οφέλους: Για να υπολογίσουµε κατά πόσο συµφέρει η υιοθέτηση του µέτρου αυτού, υπολογίζουµε την νέα ετήσια αναµενόµενη απώλεια: ALE = Αξία * βαθµός έκθεσης * ετήσια συχνότητα = 21.000 * 0,3 * 0,4 = 2.520 To όφελος από την υιοθέτηση του µέτρου είναι ALE ALE = 5.760 2.520 = 3.240 Παρατηρούµε ότι το ετήσιο κόστος του µέτρου είναι αρκετά µικρότερο από το όφελος, οπότε συµφέρει. Εγκατάσταση συστήµατος RAID Το σύστηµα RAID αφορά τους σκληρούς δίσκους του συστήµατος και προσφέρει ανεκτικότητα σε βλάβες. Συγκεκριµένα, υπάρχουν περισσότεροι από ένας σκληρός δίσκος µε τα ίδια δεδοµένα, οπότε σε περίπτωση σφάλµατος το σύστηµα συνεχίζει να λειτουργεί κανονικά µε τους υπόλοιπους. Το σύστηµα RAID κατορθώνει να µειώσει σηµαντικά τον βαθµό έκθεσης σε 0,08. Αρχικό κόστος = 3.000 Ετήσιο κόστος = 0 Ανάλυση κόστους / οφέλους: Υπολογίζουµε την νέα ετήσια αναµενόµενη απώλεια: ALE = Αξία * βαθµός έκθεσης * ετήσια συχνότητα = 21.000 * 0,08 * 0,9 = 1512 To όφελος από την υιοθέτηση του µέτρου είναι ALE ALE = 5.760 1.512 = 4.248 Παρατηρούµε ότι το όφελος του µέτρου αυτού είναι πολύ µικρότερο του κόστους του και αναµένεται να γίνει απόσβεση του αρχικού κόστους σε λιγότερο από ένα χρόνο. Σε σύγκριση µε το προηγούµενο µέτρο, η εγκατάσταση συστήµατος RAID συµφέρει περισσότερο και προτείνεται. Άραγε συµφέρει ακόµα η υιοθέτηση της Ετήσιας Προληπτικής Συντήρησης µετά την εγκατάσταση του συστήµατος RAID; Μετά την εγκατάσταση του RAID η ετήσια αναµενόµενη απώλεια είναι 1512 Η νέα αναµενόµενη ετήσια απώλεια µε την υιοθέτηση του µέτρου θα είναι: ALE = Αξία * βαθµός έκθεσης * ετήσια συχνότητα = 21.000 * 0,08 * 0,4 = 672 To όφελος από την υιοθέτηση του µέτρου είναι ALE ALE = 1.512 672 = 840 Παρατηρούµε ότι το κόστος του µέτρου (1000 το χρόνο) είναι µεγαλύτερο από το όφελος που προσφέρει (840 το χρόνο) οπότε η υλοποίηση του κρίνεται υπερβολική και µη συµφέρουσα. 21

3.3 Συµπεράσµατα Από τα παραπάνω φαίνεται ότι για την ανάλυση ενός µεµονωµένου περιουσιακού στοιχείου προς µια και µόνο απειλή απαιτεί µεγάλη προσπάθεια και αρκετό χρόνο. Σε πιο περίπλοκα συστήµατα όπου είναι αναγκαία η εγκατάσταση πολλών αντιµέτρων, κάθε ένα από τα οποία αντιµετωπίζει πολλές απειλές, γίνεται φανερό ότι οι υπολογισµοί δεν µπορούν να γίνουν µε το χέρι. Για τον σκοπό αυτό χρησιµοποιούνται ειδικά εργαλεία λογισµικού που κάνουν αυτή την εργασία. Παρά όλες τις δυσκολίες όµως, τα αποτελέσµατα της ανάλυσης εκφράζονται σε χρηµατικά ποσά και είναι πιο κατανοητά και αποδεκτά. 22

Α.4 Ποιοτική Ανάλυση Κινδύνων (Qualitative Risk Analysis) 4.1 Εισαγωγή Η ποιοτική ανάλυση κινδύνων είναι φανερά η πιο διαδεδοµένη σήµερα στον τοµέα της ασφάλειας πληροφοριακών συστηµάτων. Έχουν αναπτυχθεί πολλές µέθοδοι ποιοτικής ανάλυσης κατά καιρούς, µερικές από τις οποίες τις έχουν αναπτύξει µεγάλες εταιρίες για δική τους εσωτερική χρήση. Πολλές όµως είναι πιο γενικές και έχουν αναπτυχθεί από πανεπιστήµια, ειδικούς στην ασφάλεια πληροφοριακών συστηµάτων ή ακόµα και υπηρεσίες ασφαλείας κυβερνήσεων. Αν και βασίζονται στην ίδια λογική, έχουν αρκετές διαφορές µεταξύ τους ώστε να καλύπτουν συνολικά διαφορετικούς τύπους αναγκών. Μερικές από αυτές αναλύονται παρακάτω σε αυτό το κεφάλαιο. 4.2 Ποιοτική ανάλυση σε 10 βήµατα Η ποιοτική ανάλυση κινδύνων είναι µια τεχνική κατά την οποία επιχειρείται προσδιοριστεί το επίπεδο ασφάλειας που απαιτείται για ένα πληροφοριακό σύστηµα. Αυτό πετυχαίνεται µε µια συστηµατική εξέταση: των περιουσιακών στοιχείων των απειλών των ευπαθειών του κόστος των απωλειών σε περίπτωση που συµβούν και του κόστους των αντιµέτρων που µπορεί να χρησιµοποιηθούν για την µείωση των απειλών και ευπαθειών σε αποδεκτά επίπεδα Η ποιοτική ανάλυση επιχειρεί µόνο να δώσει προτεραιότητες στους διάφορους κινδύνους µε υποκειµενικά κριτήρια και όχι να τους υπολογίσει επακριβώς. Υπάρχουν πολλές διαφορετικές τεχνικές για ποιοτική ανάλυση κινδύνων. Η ποιοτική ανάλυση σε 10 βήµατα είναι αντιπροσωπευτική για την κατηγορία της. Τα 10 βήµατα που περιγράφονται παρακάτω αρκούν για την πλήρη κατανόηση της λογικής των ποιοτικών αναλύσεων κινδύνων. Βήµα 1 ο : Καθορισµός του σκοπού της ανάλυσης Πριν αρχίσει η ανάλυση πρέπει να καθοριστεί µε ακρίβεια ο σκοπός και η εµβέλεια της. Πρέπει να περιγραφεί το πληροφοριακό σύστηµα που θα εξεταστεί. Αυτό για παράδειγµα θα µπορούσε να είναι ένα ολόκληρο µηχανογραφικό κέντρο, ένα εταιρικό δίκτυο, ένα συγκεκριµένο σύστηµα (π.χ. ένας υπερυπολογιστής) ή ακόµα και µια µεµονωµένη υπηρεσία. Για να αποφευχθεί η ολίσθηση της ανάλυσης πρέπει να καθοριστούν µε σαφή τρόπο τα όρια της. Η ανάλυση πρέπει να επικεντρωθεί στα συστήµατα εκείνα στα οποία υπάρχει άµεσος τρόπος παρέµβασης. Για παράδειγµα αν µια εφαρµογή χρησιµοποιεί ένα ξένο δίκτυο (π.χ. Internet) για να ανταλλάσσει δεδοµένα, δεν έχει νόηµα η ανάλυση κινδύνων του δικτύου αυτού αφού ουσιαστικά δεν µπορούµε να παρέµβουµε σε αυτό. Στα πληροφοριακά συστήµατα οι στόχοι της ανάλυσης κινδύνων έχουν να κάνουν µε το αντίκτυπο που έχουν οι απειλές στην ακεραιότητα, εµπιστευτικότητα και διαθεσιµότητα των 23

πληροφοριών. Είναι σηµαντικό οι στόχοι της ανάλυσης να συνδέονται µε την σωστή λειτουργία του οργανισµού και όχι µε την ασφάλεια αυτή καθεαυτή. Η ασφάλεια υπάρχει για να υπηρετεί τον οργανισµό και όχι το αντίθετο. Βήµα 2 ο : ηµιουργία ικανής οµάδας ανάλυσης κινδύνων Οµάδα ανάλυσης κινδύνων είναι όλα τα άτοµα που συµµετέχουν ενεργά στην διαδικασία της ανάλυσης κινδύνων. Επειδή όπως αναφέρθηκε προηγουµένως η ποιοτική ανάλυση είναι µια υποκειµενική διαδικασία, η ποιότητα των αποτελεσµάτων εξαρτάται άµεσα από την εµπειρία και ικανότητα των µελών της οµάδας που θα επιλεχθεί. Πολλοί ειδικοί ασφαλείας επιλέγουν να κάνουν την ανάλυση µόνοι τους ή σε συνεργασία µε την οµάδα ασφαλείας του οργανισµού (όταν υπάρχει). Μια πιο αποτελεσµατική διαδικασία ανάλυσης όµως πρέπει να περιλαµβάνει στην οµάδα µέλη από όλες τις κατηγορίες χρηστών και διαχειριστών του πληροφοριακού συστήµατος, και επιπλέον άµα χρειαστεί άτοµα µε εξειδικευµένες γνώσεις (π.χ. για φυσική ασφάλεια ή νοµικές γνώσεις). Ένα πολύ σηµαντικό σηµείο είναι η υποστήριξη και συµµετοχή(όπου είναι δυνατό) στην διαδικασία της ανάλυσης κινδύνων τουλάχιστον ενός µέλους της διοίκησης (management) του οργανισµού. Αυτό βοηθά στην καλύτερη αποδοχή των αποτελεσµάτων της ανάλυσης. Εξασφαλίζοντας σωστή αντιπροσώπευση στην οµάδα ανάλυσης κινδύνων, τα αποτελέσµατα που προκύπτουν έρχονται απευθείας από τους χρήστες και την διοίκηση και όχι σαν εξαναγκασµός από τους ειδικούς ασφαλείας. Βήµα 3 ο : Αναγνώριση απειλών Για κάθε περιουσιακό στοιχείο που εξετάζεται, η οµάδα ανάλυσης κινδύνων πρέπει να αναγνωρίσει τις διάφορες απειλές που µπορεί να προκαλέσουν απώλειες σε αυτό. Αυτό µπορεί να γίνει µε διάφορους τρόπους. Ένας από αυτούς είναι να δοθεί στα µέλη της οµάδας µια λίστα µε απειλές ώστε να επιλέξουν αυτές που νοµίζουν ότι αντιστοιχούν στη συγκεκριµένη περίπτωση. Αυτό προϋποθέτει ο συντονιστής τις ανάλυσης να έχει προετοιµάσει µια τέτοια λίστα από πριν ή να χρησιµοποιηθεί µια έτοιµη λίστα από µια γνωστική βάση (knowledge base). Ο τρόπος αυτός έχει το µεγάλο µειονέκτηµα ότι τα µέλη της οµάδας συνήθως κοιτούν απλά στην λίστα και δεν προσφέρουν τις δικές τους ιδέες. Αυτό µπορεί να αντιµετωπιστεί αν αντί για έτοιµη λίστα πραγµατοποιηθεί σύσκεψη για ανταλλαγή ιδεών (brainstorming). Αφού µαζευτούν όλες οι ιδέες µετά εγκρίνονται από το σύνολο της οµάδας. Για την διευκόλυνση της διαδικασίας µπορεί να γίνει διερεύνηση των απειλών σε κατηγορίες. Για παράδειγµα µπορούν αρχικά να διερευνηθούν οι απειλές προς την ακεραιότητα, µετά προς την εµπιστευτικότητα κτλ. Το κλειδί για την επιτυχία είναι να ακουστούν όλες οι ιδέες και να κατηγοριοποιηθούν κατάλληλα. Πίνακας 1 Παράδειγµα αναγνώρισης απειλών Περιουσιακό στοιχείο που εξετάζεται: Μηχανογραφικό Κέντρο Οργανισµού Χ Απειλές Κατηγορία ιευκρινήσεις Φωτιά Φυσικές απειλές Εκδήλωση φωτιάς Κλοπή Φυσική ασφάλεια Κλοπή κρίσιµου εξοπλισµού για την σωστή λειτουργία του µηχανογραφικού κέντρου ιακοπή ρεύµατος Φυσικές απειλές ιακοπή λειτουργίας κρίσιµων συστηµάτων 24

Βήµα 4 ο : Αξιολόγηση συχνότητας απειλών Αφού τελειώσει το βήµα αναγνώρισης των απειλών, η οµάδα ανάλυσης κινδύνων πρέπει να προσδιορίσει πόσο συχνά αναµένεται να συµβεί η κάθε µια από τις απειλές. Λόγω της ποιοτικής φύσης της ανάλυσης δεν χρειάζεται να υπολογιστεί η ακριβής συχνότητα της εµφάνισης των απειλών. Αρκεί απλά να προσδιοριστεί το πόσο συχνά ή σπάνια εµφανίζεται µια απειλή µε βάση µια κλίµακα όπως αυτή του πίνακα 2. Μικρή Μικρή ως Μέτρια Πίνακας 2 Κλίµακα συχνότητας απειλής Μέτρια Μέτρια ως Μεγάλη Μεγάλη 1 2 3 4 5 Είναι απαραίτητο να καθοριστεί σαφώς τι σηµαίνει η κάθε κατηγορία της κλίµακας ώστε όλα τα µέλη της οµάδας να επιλέγουν µε βάση την ίδια έννοια. Υπάρχουν δύο τρόποι για τον καθορισµό της συχνότητας της κάθε απειλής. Ο πρώτος τρόπος είναι να επιλέξει το κάθε µέλος της οµάδας ξεχωριστά και µετά να βρεθεί ο µέσος όρος. Αφού γίνει αυτό τα τελικά αποτελέσµατα πρέπει να εγκριθούν από το σύνολο της οµάδας και επίσης να συζητηθούν οι περιπτώσεις όπου υπάρχουν επιλογές που απέχουν πολύ από τον µέσο όρο. Ο δεύτερος τρόπος είναι να µελετηθεί κάθε απειλή από το σύνολο της οµάδας µε σκοπό την εύρεση κοινού αποτελέσµατος. Με την ολοκλήρωση της αξιολόγησης τα αποτελέσµατα καταγράφονται όπως φαίνεται στον πίνακα 3. Πίνακας 3 Παράδειγµα αξιολόγησης συχνότητας απειλών Περιουσιακό στοιχείο που εξετάζεται: Μηχανογραφικό Κέντρο Οργανισµού Χ Απειλές Συχνότητα Απειλής Φωτιά 1 Κλοπή 3 ιακοπή ρεύµατος 5 25

Βήµα 5 ο : Αξιολόγηση απωλειών Σε αυτό το βήµα η οµάδα της ανάλυσης κινδύνων προσπαθεί να υπολογίσει τις απώλειες που µπορούν να προκύψουν σε περίπτωση που µια απειλή πραγµατοποιηθεί. Οι ευπάθειες των περιουσιακών στοιχείων για κάθε απειλή συσχετίζονται άµεσα µε τις απώλειες που µπορούν να προκληθούν, οπότε πρέπει να ληφθούν σοβαρά υπόψη. Οι απώλειες υπολογίζονται για κάθε περιουσιακό στοιχείο και για κάθε απειλή που αντιστοιχεί σε αυτό. Για την πληρότητα και ορθότητα της ανάλυσης η αξιολόγηση πρέπει να γίνει σαν να µην υπάρχει κανένα αντίµετρο εγκατεστηµένο στο πληροφοριακό σύστηµα. Η αποτελεσµατικότητα των αντιµέτρων που ήδη υπάρχουν εξετάζεται αργότερα. Η οµάδα καταλήγει σε αποτελέσµατα είτε κάθε µέλος ξεχωριστά είτε όλοι µαζί, όπως αναλύθηκε στο προηγούµενο βήµα. Για κλίµακα µπορεί να χρησιµοποιηθεί αυτή που φαίνεται στον πίνακα 2. Τα τελικά αποτελέσµατα καταγράφονται µαζί µε τα προηγούµενα όπως φαίνεται στον πίνακα 4. Πίνακας 4 Παράδειγµα αξιολόγησης απωλειών Περιουσιακό στοιχείο που εξετάζεται: Μηχανογραφικό Κέντρο Οργανισµού Χ Απειλές Συχνότητα Απώλεια Φωτιά 1 5 Κλοπή 3 4 ιακοπή ρεύµατος 5 3 Βήµα 6 ο : Υπολογισµός δείκτη κινδύνου Σε αυτό το βήµα η οµάδα προσθέτει τους αριθµούς της συχνότητας και της απώλειας και βρίσκει τον δείκτη κινδύνου, ο οποίος κυµαίνεται µεταξύ 2 και 10. Ο δείκτης κινδύνου προστίθεται στον πίνακα και ο πίνακας ταξινοµείται µε βάση αυτόν, από τον µεγαλύτερο στον µικρότερο. Πίνακας 5 Παράδειγµα υπολογισµού κινδύνου Περιουσιακό στοιχείο που εξετάζεται: Μηχανογραφικό Κέντρο Οργανισµού Χ Απειλές Συχνότητα Απώλεια Κίνδυνος ιακοπή ρεύµατος 5 3 8 Κλοπή 3 4 7 Φωτιά 1 5 6... Επειδή κανένας οργανισµός δεν έχει τους πόρους να εξετάσει όλους τους κινδύνους, είναι αναγκαίο να προσδιοριστεί ποιοι κίνδυνοι θα εξεταστούν περαιτέρω και σε τι βαθµό. Ο δείκτης κινδύνου, αν και προκύπτει µε υποκειµενικό τρόπο, είναι ενδεικτικός για τις προτεραιότητες που πρέπει να δοθούν στην αντιµετώπιση των κινδύνων. 26

Βήµα 7 ο : Αναγνώριση αντιµέτρων Αφού δοθούν προτεραιότητες στους διάφορους κινδύνους ακολουθεί το βήµα αναγνώρισης των αντιµέτρων που µπορούν να τους αντιµετωπίσουν. Στο βήµα αυτό αναλύονται αρχικά οι ευπάθειες των περιουσιακών στοιχείων στις διάφορες απειλές και έπειτα γίνεται προσπάθεια εύρεσης των κατάλληλων αντιµέτρων που προσφέρουν αποδεκτό βαθµό προστασίας. Η οµάδα πρέπει να επικεντρώνει την προσοχή της σε αντίµετρα που αντιµετωπίζουν µεν τον κίνδυνο σε αποδεκτό βαθµό αλλά ταυτόχρονα επιτρέπουν και την σωστή λειτουργία του οργανισµού χωρίς να παρεµποδίζουν την παραγωγικότητα. Τα αντίµετρα χωρίζονται σε 4 µεγάλες κατηγορίες: 1. Πρόληψη: τα αντίµετρα αυτά προσπαθούν να µειώσουν τον κίνδυνο 2. ιασφάλιση: εργαλεία, έλεγχοι και στρατηγικές που διασφαλίζουν την συνεχή αποτελεσµατικότητα των παρόντων αντιµέτρων 3. Ανίχνευση: προγράµµατα και τεχνικές για την έγκαιρη ανίχνευση, αναχαίτιση και αντιµετώπιση περιστατικών 4. Επαναφορά: διαδικασίες που στοχεύουν στην γρήγορη επαναφορά σε ένα ασφαλές περιβάλλον έπειτα από ρήξη ασφαλείας και στην έρευνα της αιτίας που την προκάλεσε. Για την ευκολία της οµάδας µπορεί να χρησιµοποιηθεί λίστα µε γνωστά αντίµετρα από τις 4 κατηγορίες. Ταυτόχρονα όµως πρέπει να λαµβάνονται υπόψη και οι απειλές που τυχόν χρειάζονται ειδικού τύπου αντίµετρα που δεν υπάρχουν σε λίστες. Αφού γίνει η επιλογή των πιθανών αντιµέτρων δηµιουργείται ο πίνακας αναγνώρισης αντιµέτρων όπως φαίνεται παρακάτω. Περιουσιακό στοιχείο που εξετάζεται: Μηχανογραφικό Κέντρο Οργανισµού Χ Πίνακας 6 Αναγνώριση αντιµέτρων Απειλές είκτης κινδύνου Πιθανά αντίµετρα Κόστος αντιµέτρου Κλοπή 7 Εγκατάσταση πόρτας 1.500 ασφαλείας Φωτιά 6 Αυτόµατο σύστηµα 10.000 πυρόσβεσης Υποκλοπή επικοινωνιών 6 Κρυπτογράφηση επικοινωνιών 15.000 27

Βήµα 8 ο : Ανάλυση κόστους / οφέλους (cost/benefit) Κάθε αντίµετρο έχει κάποιο κόστος για τον οργανισµό. Το κόστος αυτό µπορεί να είναι χρηµατικό, για την αγορά, εγκατάσταση και συντήρηση του αντιµέτρου. Μπορεί να είναι κόστος σε ανθρωποώρες για την ανάπτυξη διαδικασιών και πολιτικών ασφαλείας. Μπορεί επίσης να είναι κόστος από την παρεµπόδιση της κανονικής λειτουργίας του οργανισµού κατά την εγκατάσταση του αντιµέτρου ή απώλεια παραγωγικότητας λόγω της φύσης του. Σε όλες τις περιπτώσεις το κόστος πρέπει να λαµβάνεται υπόψη και να συγκρίνεται µε το όφελος από την χρήση του αντιµέτρου. Λόγω της υποκειµενικής φύσης της ποιοτικής ανάλυσης είναι ίσως αναγκαία η επανάληψη του υπολογισµού του δείκτη κινδύνου, µόνο που αυτή τη φορά ο υπολογισµός γίνεται λαµβάνοντας υπόψη τα αντίµετρα που εξετάζονται. Έτσι µπορεί να αναλυθεί η αποτελεσµατικότητα τους. Για να γίνει ένα αντίµετρο αποδεκτό πρέπει να µειώνει σηµαντικά τον κίνδυνο από µια η περισσότερες απειλές. Η ανάλυση κόστους / οφέλους θα πρέπει να αναγνωρίσει τα αντίµετρα που προσφέρουν την µεγαλύτερη προστασία µε το µικρότερο κόστος. Είναι σχεδόν πάντα προτιµότερο να επιλέγονται αντίµετρα που προστατεύουν από περισσότερες από µια απειλές. Βήµα 9 ο : Ταξινόµηση αντιµέτρων µε βάση την προτεραιότητα Μετά το τέλος της ανάλυσης κόστους / οφέλους η οµάδα ανάλυσης κινδύνων θα πρέπει να ταξινοµήσει τα αντίµετρα µε βάση την προτεραιότητα για υλοποίηση. Επειδή οι πόροι που διαθέτονται για την ασφάλεια είναι περιορισµένοι, η διοίκηση του οργανισµού βασίζεται στην οµάδα ανάλυσης κινδύνων για την παροχή επαρκών πληροφοριών ώστε να προβεί σε σωστές αποφάσεις. Παράγοντες που επηρεάζουν την σειρά προτεραιότητας είναι ο λόγος κόστους / οφέλους, ο αριθµός των απειλών που αντιµετωπίζει ένα αντίµετρο, το κατά πόσο µπορεί να υλοποιηθεί εσωτερικά στον οργανισµό ή χρειάζεται βοήθεια από εξωτερικούς παράγοντες και άλλοι. Είναι επιθυµητό να παρουσιάζονται οι λόγοι που οδήγησαν στην συγκεκριµένη επιλογή προτεραιοτήτων για τα αντίµετρα ώστε να γίνει κατανοητή από την διοίκηση. Βήµα 10 ο : Έκθεση ανάλυσης κινδύνων Τα αποτελέσµατα της ανάλυσης κινδύνου πρέπει να παρουσιαστούν στην διοίκηση µε µορφή έκθεσης. Η έκθεση αυτή υπηρετεί δύο σκοπούς: την αναφορά των αποτελεσµάτων και την ύπαρξη βάσης για τις µελλοντικές αναλύσεις κινδύνων. Μια έκθεση ανάλυσης κινδύνων θα µπορούσε να περιλαµβάνει τα εξής: α) Εισαγωγή Στην εισαγωγή περιγράφεται ο σκοπός της ανάλυσης κινδύνων και η εµβέλεια που αποφασίστηκε να έχει. Πρέπει να εξηγηθεί ποια συστήµατα περιλήφθηκαν στην ανάλυση καθώς και ποια συστήµατα αποφασίστηκε να µην περιληφθούν και γιατί. Επίσης µπορεί να αναφερθεί η µέθοδος που χρησιµοποιήθηκε καθώς και περιληπτικά τα βήµατα που ακολουθήθηκαν. β) Αναγνώριση απειλών Περιγραφή των απειλών που αναγνωρίστηκαν καθώς και χωρισµός τους σε κατηγορίες. Μπορεί επίσης να αναφερθεί η διαδικασία που ακολουθήθηκε για την αναγνώριση των απειλών. 28

γ) Υπολογισµός δείκτη κινδύνου Αποτελέσµατα από τον υπολογισµό του κινδύνου καθώς και επεξήγηση των παραγόντων που οδήγησαν σε αυτά. (ευπάθειες, απώλειες, πιθανότητες). Αν κατά την διάρκεια της ανάλυσης υπήρχαν διαφωνίες µεταξύ µελών τις οµάδας, µπορούν να αναφερθούν σε αυτό το σηµείο. δ) Προτάσεις για αντίµετρα Το τελικό και πιο σηµαντικό κοµµάτι της έκθεσης είναι οι προτάσεις της οµάδας για την αντιµετώπιση των κινδύνων, δηλαδή τα προτεινόµενα αντίµετρα. Είναι επιθυµητό να αναφέρονται όλα τα αντίµετρα που αξιολογήθηκαν και η λογική µε την οποία έγιναν οι συγκεκριµένες επιλογές. Επίσης σε ορισµένες περιπτώσεις µπορούν να δοθούν εναλλακτικά αντίµετρα ώστε να υπάρχει ευελιξία κατά το στάδιο της υλοποίησης της ασφάλειας. Σε περιπτώσεις που η οµάδα προτείνει την αποδοχή του κινδύνου για ορισµένες απειλές, πρέπει να εξηγεί επαρκώς την απόφαση αυτή. Τέλος, η λίστα προτεραιότητας για την υλοποίηση των αντιµέτρων είναι πολύ σηµαντική. 4.3 Μέθοδος FRAP (Facilitated Risk Analysis Process) Η µέθοδος FRAP δηµιουργήθηκε από τον Thomas Peltier, γνωστό συγγραφέα και εκπαιδευτή στον τοµέα της ασφάλειας πληροφοριακών συστηµάτων. Η µέθοδος FRAP έχει σχεδιαστεί ώστε να επιτρέπει σε έναν οργανισµό να χρησιµοποιήσει τους δικούς του ανθρώπους για την διεκπεραίωση της ανάλυσης κινδύνων και να το πετυχαίνει στον µικρότερο δυνατό χρόνο. Η µέθοδος ανήκει εξολοκλήρου την κατηγορία των ποιοτικών µεθόδων. Περίληψη της µεθόδου Η µέθοδος FRAP σχεδιάστηκε ως µια αποδοτική και πειθαρχηµένη διαδικασία για την διασφάλιση ότι οι κίνδυνοι στην λειτουργία ενός οργανισµού που σχετίζονται µε τα πληροφοριακά συστήµατα αναγνωρίζονται και καταγράφονται. Η διαδικασία ορίζει την ανάλυση ενός συστήµατος ή εφαρµογής κάθε φορά. Συνέρχεται µια οµάδα ατόµων που περιλαµβάνει µέλη από την διοίκηση που είναι εξοικειωµένα µε τις πληροφοριακές ανάγκες του οργανισµού καθώς και από το τεχνικό προσωπικό που έχουν λεπτοµερή γνώση του συστήµατος που εξετάζεται, των ευπαθειών του και των αντίµετρων που υπάρχουν για να τις αντιµετωπίσουν. Οι συσκέψεις της οµάδας, που ακολουθούν συγκεκριµένο πρόγραµµα, υποβοηθούνται από ένα άτοµο που είναι υπεύθυνο για τον συντονισµό της διαδικασίας, την διασφάλιση της σωστής επικοινωνίας µεταξύ των µελών της οµάδας και την τήρηση του προγράµµατος. Το άτοµο αυτό ονοµάζεται «οργανωτής» του FRAP. Κατά την διάρκεια της σύσκεψης η οµάδα ανταλλάζει ιδέες για την αναγνώριση των ενδεχόµενων απειλών, ευπαθειών και των επακόλουθων αντίκτυπων στην ακεραιότητα, εµπιστευτικότητα και διαθεσιµότητα των δεδοµένων. Έπειτα, η οµάδα αναλύει τις συνέπειες των αντίκτυπων αυτών στην λειτουργία του οργανισµού και κατατάσσει τους κινδύνους µε βάση προτεραιότητας. εν προσπαθεί να ψάξει ή να καθορίσει συγκεκριµένους αριθµούς για την πιθανότητα των απειλών ή το ποσό των απωλειών, εκτός και αν αυτά τα δεδοµένα υπάρχουν ήδη. Αντιθέτως, βασίζεται στην γνώση και την εµπειρία των µελών της καθώς και στη γενική γνώση που προκύπτει για τις απειλές και ευπάθειες από την διεθνή βιβλιογραφία, τον τύπο, το Internet κτλ. 29