Eksempel på risikoanalyse for en kommune


Hjemstedet er en gjennomsnittlig norsk kommune. Informasjonssikkerhet har en ikke spesielt fokus på i det daglige, men IT-avdelingen til kommunen har snakket en stund om at man burde gjøre en risikovurdering i tråd med kravet fra internkontrollforskriften. Rådmannen er ansvarlig for informasjonssikkerheten i kommunen, og er også den som skal ta avgjørelser når det gjelder hvor mye risiko man kan akseptere, og dertil hvilke sikkerhetstiltak en skal prioritere. Lederen for IT-avdelingen tar imidlertid jobben med å starte arbeidet med risikovurderingen. Ansatte i administrasjonen og fag­syste­mene blir involvert sporadisk i arbeidet.

Trusler og sårbarheter

Flere trusler og sårbarheter kan ødelegge kommunens verdier, noen eksempler på det er:

  • Usikret lagring av personopplysninger eller mangel på oversikt over hvor en lagrer personopplysninger.
  • Svakheter vedr. informasjonssikkerhet for kommunens nettsider.
  • Svak fysisk sikkerhet for adgang til noen av kommunens mange kontorer, eiendommer og lager.
  • Mangel av nødvendig informasjonssikkerhet på de ansattes IT-utstyr.
  • Mangelfull opplæring av ansatte for hvordan en skal klassifisere og lagre informasjon.

En risikovurdering for hvordan en unngår at Uvedkommende får tilgang til sensitive opplysninger er påbegynt

Konsekvenser

Eksempler på konsekvens for uønskede hendelser er:

  • Direkte økonomiske sanksjoner som en årsak av sensitive opplysninger kommer på avveier
  • Negative følger for innbyggere som har fått sine personopplysninger på avveier
  • Mangel på tillit i befolkningen som en årsak etter dårlig publisitet
  • Vansker med å samarbeide med andre.
  • Ansatte i kommunen blir sagt opp.
  • Kommunen må bruke ekstra penger på å beklage og å rydde opp.
  • Ekstra kostnader ved at kommunens prosesser må korrigeres eller kjøres på nytt.
  • Kommunen kan bli saksøkt av innbyggere
  • Datatilsynet kan kreve dyre oppgraderinger.

Sannsynlighet

Med sannsynlighet mener en hvor ofte eller hvor “fort gjort” en risiko kan materialiseres

Risikobildet – hva må en gjøre noe med og hva kan en leve med

Hjemstedet har ikke gjort dette tidligere og starter med tre nivåer for konsekvens sannsynlighet.  For å  kunne vite hvor kommunen kan legge lista for hva som anses som akseptabel og ikke-akseptabel risiko har IT-avdelingen vurdert hva de mener er akseptabel risiko. Dette blir en faktor av konsekvens og sannsynlighet angitt i tabellen under. Vurderingen av hvordan en måler og aksepterer/ikke aksepterer risiko er slik:

  • Med stor risiko menes hendelser som skjer mer en to ganger i uken eller som gir betydelig økonomiske tap for kommune eller innbygger, eller et betydelig tap av renommé for kommunen. Rød farge er brukt, og det vurderes som ikke akseptabelt.
  • Med moderat risiko menes hendelser som skjer mer en to ganger i måneden eller som gir  økonomisk tap for kommune eller innbygger, eller tap av renommé for kommunen. Gul farge brukes, og kommunen må ha oppmerksomhet på dette.
  • Med lav risiko menes hendelser som skjer mer en to ganger i halvåret eller gir et ubetydelig tap. Grønn farge benyttes, og risikoen aksepteres.

Se egen veiledning om risikostyring.

 Sannsynlighet

Sjelden

Kan skje

Svært vanlig

Konsekvens

Liten

Lav

Lav

Moderat

Middels

Lav

Moderat

Stor

Stor

Moderat

Stor

Stor

 

Risikovurdering

Hjemstedet har startet med å vurdere risiko for virksomheten og tabellen nedenfor viser et utsnitt av risikoer. Som et tips er det viktig at en beskriver risikoer ved å bruke frasen “pga”, da ser en tydelig hva risikoen kan ende opp i og hva den kommer av.

I praksis kan kommunen bruke tabellen under som et fortløpende styringsverktøy. Etter hvert som tiltak settes inn slettes eller endres risikonivået for den enkelte risiko. Normalt kommer det til nye trusler og sårbarheten påvirket av både indre og ytre faktorer.

Rammen for risikovurderingen er: Hvordan unngå at uvedkommende får tilgang til sensitive opplysninger

 #

Risiko

Risikovurdering

   Mulige tiltak

Konsekvens

Sansynlighet

Risikonivå

1

Uvedkommende får aksess til kommunens lokaler som skal ha restriktiv aksess pga. dører er åpne, de ansatte er ikke opplært til å følge med om en har uvedkommende på besøk.

Stor

 Svært vanlig

Stor

Opplæring av ansatte.

Vurdere låste dører på enkelte avdelinger eller kontorer

2

Brukernavn og passord kan komme på avveie pga. ansatte kan bli lurt dersom noen ringer og sier at de jobber i en annen enhet og trenger opplysninger om en person eller en utgir seg får å være fra IT-avdelingen og trenger den informasjonen.

Stor

Sjelden

Moderat

Opplæring av ansatte

3

Personopplysninger på avveier pga. egne ansatte er lemfeldig med behandling av personopplysninger.

Stor

Sjelden

Moderat

En oppretter og innfører en personvernpolicy

Opplæring av ansatte

4

Informasjon på avveie pga. uvedkommende kan bryte seg inn i IT-systemet utenfra, enten på grunn av manglende sikring av nettverket, sikkerhetshull i programmer kommunen bruker eller at programmer ansatte har ikke har vært gjennom en sikkerhets kontroll nå de lastet ned på eget initiativ.

Stor

Kan skje

Stor

Helhetlig beskyttelse av nettverk og datasystemer i ht. sikkerhetpolicy

Systemer med sensitiv informasjon beskyttes bedre.

Rollelbasert tilgang til IT-systemer

Systemer for monitorering og deteksjoner i IT-systemer

5

Sensitiv informasjon på avveie pga sensitiv informasjon lagres i “åpen sone”, uten ekstra beskyttelse

Stor

Kan skje

Stor

Sensitiv informasjon lagres separat med ekstra autentisering for aksessering

Opplæring av ansatte

6

 

Sensitiv informasjon kommer på avveier pga. kommunen kan bli offer for tilfeldige (virus/ormer/ trojanere, jakt etter ressurser osv.) der sensitive data tilfeldigvis blir oppdaget og hentet ut.

Stor

Kan skje

Stor

Helhetlig beskyttelse av IT systemer og nettverk

 

Foreningen KInS, kommunal informasjonssikkerhet jobber også med dette arbeidet.