Leiðbeiningar vegna áhættugreiningar á Microsoft lausnum

Samband íslenskra sveitarfélaga hefur lagt til áhættugreiningu á stafrænum vef sínum til að aðstoða sveitarfélög við framkvæmd áhættumats á Microsoft 365 lausnum í sínu starfi. Nauðsynlegt er fyrir öll sveitarfélög að framkvæma áhættugreiningu á sinni notkun og bregðast við niðurstöðum til að takmarka áhættu við notkun þessara lausna, meðal annars þegar kemur að vinnslu persónuupplýsinga um íbúa eða starfsfólk.

Microsoft lausnamengið inniheldur mikið af lausnum sem geta einfaldað störf sveitarfélaga. Lausnamengið, stundum kallað Office 365, inniheldur meðal annars aðgang að tölvupósti, helstu verkfærum sem þarf til skrifstofuvinnu, samskiptalausnir og fleira. Áður en hægt er að nota þessar lausnir með öruggum hætti er nauðsynlegt að greina þær áhættur sem geta komið til við notkun þessara verkfæra og bregðast við þeim áhættum, hvort sem er með skipulagslegum þáttum (d. verklagsreglum, leiðbeiningum eða stefnum) eða tæknilegum (d. breytingum á stillingum á lausnum, eftirlit með notkun, sjálfvirkri lokun eða takmörkun á aðgangi við starfslok).

Fyrirvari: Samband íslenskra sveitarfélaga tekur ekki ábyrgð á framkvæmd eða niðurstöðum áhættumats fyrir sveitarfélög eða aðra notendur þessara áhættugreiningar. Nauðsynlegt er fyrir hvert sveitarfélag að fara í gegnum þær áhættur sem lagðar hafa verið til, meta áhrif og líkur á að viðkomandi áhætta raungerist, taka fram hvað er nú þegar verið að gera til að takast á við greinda áhættu og skilgreina frekari verkefni til að takmarka áhættu.

Við mat á áhrifum og líkum tengdum viðkomandi áhættu er mikilvægt að hafa samræmdan skala sem notast er við. Það eykur líkur á að mat á áhættu sé samræmt milli aðila eða yfir tíma. Gerðar eru tillögur að skala til notkunar við mat á þessum þáttum.

Þessar leiðbeiningar eru unnar með hliðsjón af alþjóðlegum stöðlum í áhættustýringu (ISO 27005, ISO 31000).

Sniðmát

Útskýringar á dálkum í áhættugreiningu

Áhætta

Að eitthvað fari öðruvísi en reiknað hafði verið með eða treyst hafði verið á. Það getur til dæmis verið að eitthvað virki ekki eins og það á að vera, tiltekið starfsfólk er ekki til staðar, ákveðin aðföng eru ekki aðgengileg eða annað sem getur valdið því að sveitarfélag nær ekki að gera það sem það þarf eða vill gera.

Þegar kemur að hvort betra sé að skrá fleiri áhættur en færri getur verið gott að miða við að áhættumat gefi heildarmynd af stöðu gagnvart ákveðnu kerfi eða ferli. Þar ætti að vera hægt að sjá hvaða áhættur hafa verið greindar, hvort sem þær eru litlar eða stórar, og hvernig brugðist hefur verið við þeim áhættum. Það getur til dæmis komið til að áhætta er ekki metin hátt vegna þeirra meðhöndlunar, verkferla og annars sem þegar er til staðar hjá sveitarfélagi. Í þeim tilvikum getur einmitt verið sérstaklega gagnlegt að skrá slíkar áhættur til að greina þau mikilvægu verkefni sem unnin eru til að viðhalda lágu áhættustigi. Það getur þá líka bent á hvar getur verið mikilvægt að innleiða eftirlit (Sjá: Tillaga að eftirliti).

Í sniðmáti frá Sambandi íslenskra sveitarfélaga hafa verið lagðar til nokkrar áhættur sem nauðsynlegt getur verið fyrir sveitarfélag sem notar Microsoft lausnamengið að meta. Nauðsynlegt er fyrir sveitarfélög að íhuga hvaða aðrar áhættur getur verið nauðsynlegt að greina og meta við notkun þessara lausna.

Afleiðing

Nánari útlistun á hvaða afleiðingar það getur haft ef umrædd áhætta gerist. Ef tiltekið kerfi er ekki til staðar, hvað þýðir það þá fyrir sveitarfélagið? Það getur til dæmis þýtt að ekki er hægt að sinna þjónustu, veita upplýsingar eða annað tengt þeim hlutverkum sem sveitarfélag hefur.

Áhrif

Hvaða áhrif getur það haft fyrir sveitarfélagið ef þessi áhætta gerist? Hér er mikilvægt að huga að mögulegum áhrifum út frá nokkrum þáttum til að tryggja að vel sé hugað að málum. Hvaða áhrif getur áhættan haft á öryggi persónuupplýsinga, rekstur mikilvægra kerfa eða þjónustu, fjárhagslegar skuldbindingar, að farið sé eftir lögum og reglum eða á ímynd sveitarfélagsins. Sett er inn gildi milli 1-5 miðað við væntanleg áhrif ef áhætta gerist.

Tillaga að skala við mat á áhrifum af áhættu:

Stig RekstraráhætturFjárhagslegar áhætturLagalegar áhætturÁhættur gagnvart hinum skráðaÍmyndarlegar áhættur
1Mjög lítilLítillvægilegar truflanir á rekstri stofnunar Mjög  takmarkaður fjárhagslegur skaði Mögulegar ávítur eða athugasemdir eftirlitsvaldsEngin áhrif á fyrir hinn skráðaÓverulegar neikvæðar athugasemdir
2LítilLítil truflun á rekstri stofnunarFjárhagslegur skaði umfram 0,5% af heildarveltuMögulegar ávítur, brot á innri reglumEngin áhrif eða minniháttar óþægindi fyrir hinn skráða. Um er að ræða vinnslu persónuupplýsinga sem eru aðgengilegar opinberlega.Nokkur neikvæð umræða
3MiðlungsMiðlungs áhrif á rekstur stofnunar Fjárhagslegur skaði umfram 0.7% af heildarveltuMögulegar málsóknir. Mögulegar kröfur Ríkisendurskoðunar um aðgerðir eða umbætur. Minniháttar óþægindi fyrir hinn skráða, sem getur þó krafist vandamála að komast yfir. Um er að ræða persónuupplýsingar sem eru aðgengilegar, en þó ekki endilega opinberar. Neikvæð umræða og mögulega varanlegur skaði á ímynd
4MikilMiklar truflanir á rekstri stofnunarFjárhagslegur skaði umfram 1% af heildarveltu Auknar líkur á málssóknum. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. Talsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar afleiðingar, sem jafnvel getur verið mjög erfitt að komast yfir. Um er að ræða persónuupplýsingar þar sem uppljóstrun geti haft áhrif á orðspor hins skráða (d. upplýsingar um tekjur, félagslegar bætur, skatta eða gjöld).Neikvæð fjölmiðlaumfjöllun og varanlegur skaði á ímynd
5Mjög mikilMjög miklar truflanir á rekstri stofnunarFjárhagslegur skaði umfram 2% af heildarveltu, kallar á breytingu á fjármálaáætlun.Alvarlegar málsóknir. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. Umtalsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar og mögulega óafturkallanlegar afleiðingar. Uppljóstrun, breyting, tap eða eyðing á umræddum persónuupplýsingum getur haft áhrif á afkomu, heilsu, frelsi eða líf hins skráða. (d. upplýsingar um innlögn á stofnun, dóm, umsagnir í starfi, heilbrigðisupplýsingar, innheimtar skuldir, eða ef mögulegt er að hinn skráði verði fórnarlamb í sakamáli). Víðtæk neikvæð umfjöllun og alvarlegur álitshnekkur fyrir stofnun
Tafla fengin af vef Pólstjörnu verkefnis, stafraentisland.atlassian.net

Líkur

Hverjar eru líkurnar á að viðkomandi áhætta gerist? Hægt er að setja inn 1-5, þar sem 1 þýðir mjög ólíklegt að áhætta gerist yfir í 5 þar sem alveg öruggt er að áhætta gerist í hvert sinn.

Tillaga að skala við mat á líkum á að áhætta gerist:

Stig LýsingLýsing vegna persónuverndar
1Mjög ólíklegtHefur aldrei gerst áður og engar vísbendingar hafa komið fram sem benda til að slíkt eða sambærilegt væri líklegt. Atburður gerist sjaldnar en á 100 ára fresti. Talið ómögulegt að komast að persónuupplýsingum. 
2ÓlíklegtLíklegt væri að áhætta eða sambærilegt myndi raungerast eða hefur gerst einu sinni á seinustu þremur árum. Ólíklegt en þó ekki ómögulegt. Atburður getur gerst sjaldnar en á 100 ára fresti en þó ekki á hverju ári. Talið mjög erfitt að komast að persónuupplýsingar. Dæmi eru gögn sem vistuð eru í rými þar sem krafist er aðgangskorts og aðgangskóða. 
3MiðlungsÁhætta eða sambærilegt hefur raungerst og getur gerst aftur, einu sinni á ári eða oftar.Talið frekar erfitt að komast að persónuupplýsingum. Dæmi, persónuupplýsingar geymdar í rými sem krefst aðgangskorts. 
4LíklegtÁhætta eða sambærilegt hefur gerst áður eða gerist reglulega, í hverri viku eða í hverjum mánuði. Hefur gerst hjá sambærilegum stofnunum við notkun á sambærilegri tækni. Talið frekar einfalt að komast yfir persónuupplýsingar, en þó ekki án takmarkana, t.d. Gögn eru geymd í opnum skrifstofum, en nauðsynlegt fyrir ytri aðila að vera hleypt inn á svæðið. 
5Mjög líklegtÁhætta eða sambærilegt gerist í hvert sinn sem þjónusta er notuð eða á hverjum degi, hverri viku. Hefur gerst mörgum sinnum áður.Mjög auðvelt er að komast yfir persónuupplýsingar, t.d. stuldur á pappírsgögnum sem geymd er í anddyri. 
Tafla fengin af vef Pólstjörnu verkefnis, stafraentisland.atlassian.net

Áhættuskor

Þegar áhrif og líkur hafa verið slegnar inn reiknast út áhættuskor, en það getur verið frá 1-25, þar sem þeim mun hærra áhættustig þýðir alvarlegri áhætta. Ef áhætta fær áhættustigið 20-25 er nauðsynlegt að bregðast við sem allra fyrst og upplýsa nauðsynlega hagsmunaaðila um stöðu áhættunnar á meðan á meðhöndlun stendur. Lagt er til að sveitafélög setji sér viðmið um það áhættustig sem telst ásættanlegt áður en hafist er handa við áhættugreiningu. Með þeim hætti eru áhættuviðmið ekki miðuð út frá þeim áhættum sem eru greindar. Tekið skal fram að þrátt fyrir áhætta sé metin umfram ásættanlegt áhættuviðmið sveitarfélags getur sveitarfélag samt ákveðið að bregðast ekki við áhættu heldur samþykkja áhættuna. Þar til bær aðili getur samþykkt, fyrir hönd sveitarfélagsins að ekki sé frekari aðgerða þörf og að viðkomandi beri ábyrgð á því að engra frekari aðgerða sé þörf.

Meðhöndlun sveitarfélags

Hér skal skrá það sem sveitafélagið er að gera nú þegar til að bregðast við áhættunni sem er verið að meta. Ef áhætta snýst um verkefni sem sveitarfélag sinnir getur skráð verklag til dæmis verið meðhöndlun gegn þeirri áhættu, þar sem það minnkar líkurnar á að verkefni sé ekki sinnt rétt. Ef áhætta snýr að því að þjónustuaðili sinni þeim verkum sem snýr að honum eru samningar til staðar sem stuðla að því að viðkomandi verkum sé sinnt. Með því að skrá ítarlega þá þætti sem þegar eru til staðar er hægt að sjá hvaða mikilvægu verkefnum er sinnt til að minnka áhættu sem getur staðið að sveitarfélagi.

Athugið að ekki skal hérna skrá þætti sem ekki eru tilbúnir, heldur einungis það sem þegar er til staðar. Ef áætlað er að undirrita samning eða skrá verklag skal skrá það í Tillaga að meðhöndlun þar til viðkomandi verkefni hefur verið klárað.

Áhættueigandi

Nauðsynlegt að einstaklingur beri ábyrgð á viðkomandi áhættu, hvort sem er til að vakta áhættu, heimila aðgerðir ef nauðsynlegt er að bregðast við henni eða að samþykkja ef engra aðgerða er þörf. Mikilvægt er að um einstakling sé að ræða frekar en hóp til að tryggja að ábyrgð varðandi áhættuna sé skýr. Það getur verið gott að setja inn stöðugildi frekar en tiltekið nafn. Áhættueigandi þarf að hafa vald til að geta tekist á við áhættuna, til dæmis ef nauðsynlegt er að kosta til fjármunum eða öðrum auðlindum til að takast á við áhættuna. Ágætt getur verið að líta til næsta sameiginlega yfirmann þeirra aðila sem áhættan getur haft áhrif á.

Tillaga að meðhöndlun

Meðhöndlun snýr að því að takmarka áhrif ef áhætta gerist eða minnka líkur á að viðkomandi atburður gerist.

  • Áhrif takmörkuð: Áhrif eru takmörkuð með því að minnka umfang áhættunnar, til dæmis með því að fækka þeim notendum sem áhættan getur átt við. Ef áhætta er til dæmis að gögn verði gerð aðgengileg í ákveðnu kerfi er hægt að takmarka áhrifin með því að geyma minna af gögnum í því kerfi.
  • Líkur minnkaðar: Líkur eru minnkaðar með því að fækka þeim tilvikum þar sem áhætta getur komið upp. Ef áhætta er til dæmis að ekki sé farið eftir verklagi er hægt að minnka líkur með því að skrásetja og kynna verklagið. Ef áhætta kemur upp í hvert sinn sem ákveðið kerfi er notað er hægt að minnka líkurnar með því að nota kerfið sjaldnar. (Ef annað kerfi er notað í staðinn má segja að viðkomandi áhætta hafi verið flutt – nauðsynlegt myndi þá vera að skoða áhættur sem snúa að nýju kerfi).

Í sniðmáti Sambands íslenskra sveitarfélaga hefur verið gerð tillaga að meðhöndlun við þeim áhættum sem hafa verið greindar. Nauðsynlegt er fyrir sveitarfélög að greina hvort aðrar frekari ráðstafanir geti verið nauðsynlegar til að takast á við áhættur sem hafa verið greindar.

Tillaga að eftirliti

Í mörgum tilvikum getur verið nauðsynlegt að fylgjast með áhættunni sem hefur verið metin, til dæmis með reglulegum úttektum. Úttektir geta verið með ýmsum hætti, til dæmis ef ákveðin stilling hefur verið virkjuð til að takast á við áhættu getur verið gagnlegt að staðfesta reglulega (í samræmi við áhættustig) hvort að viðkomandi stilling sé enn til staðar og virki sem skyldi. Ef mengi þess sem þarf að skoða er stærra, til dæmis ef breyting hefur áhrif á alla notendur, getur verið mögulegt að kanna úrtak notenda til að staðfesta að breyting sé alls staðar virk. Ef frávik finnast í því úrtaki getur þá verið nauðsynlegt að stærra úrtak eða leita að rót vandans, þ.e. hvers vegna viðkomandi breyting er ekki til staðar alls staðar. Frávik sem finnast geta líka leitt af skort á skráningu. Dæmi er ef krafist er bakgrunnsathugun starfsfólks, þá getur verið að athugun hafi farið fram en hún ekki skráð. Þannig getur úttekt með meðhöndlun leitt í ljós hvar geti verið nauðsynlegt að bæta skjölun.

Aðrar leiðbeiningar varðandi framkvæmd áhættumats

Tíðni áhættumats

Mikilvægt er að greina og meta áhættur sem fyrst í ferli, hvort sem þegar verið er að innleiða nýtt kerfi eða setja upp nýja þjónustu. Með því að framkvæma áhættumat snemma er hægt að sjá hvar getur verið nauðsynlegt að breyta ferlum, virkja stillingar eða gera aðrar ráðstafanir til að minnka áhættu frá upphafi.

Það getur einnig verið nauðsynlegt að yfirfara áhættumat þegar breytingar eru gerðar á þjónustu eða ferli. Við allar breytingar geta áhættur breyst með þeim hætti að þær aukast eða minnka og þá getur verið nauðsynlegt að uppfæra ferla samhliða breytingum á ferli. Þá getur einnig komið til að með breytingum á ferli minnki áhætta þannig að tiltekin meðhöndlun er ekki lengur jafn nauðsynleg.

Ef engin ný kerfi eða þjónustur koma til og engar breytingar verða sem krefjast áhættumats getur samt verið gagnlegt að framkvæma áhættumat reglulega. Hægt er að meta slíka þörf út frá nokkrum þáttum, til dæmis mikilvægi ferla eða eðli þeirra upplýsinga sem unnið er með. Ef unnið er með viðkvæmar upplýsingar getur sveitarfélag viljað framkvæma áhættumat árlega þar sem farið er yfir hvort áhættur hafi breyst frá fyrra mati, hvort fleiri áhættur hafi komið til eða ný meðhöndlun hafi verið innleidd sem hafi áhrif á niðurstöður matsins.

Þátttakendur í áhættumati

Þegar kemur að framkvæmd áhættugreiningar og mats er ágætt að miða við 4-5 þátttakendur að hámarki. Þegar of margir aðilar koma saman er ólíklegra að raddir allra fái að heyrast. Gott er að fá aðila með mismunandi með aðkomu að viðfangi áhættumatsins, tæknifólk, notendur og aðra hagsmunaaðila sem geta lagt til áhættur til greiningar og innlegg í mat á áhættu.

Aðrar mögulegar áhættur

Í sniðmáti Sambandsins eru lagðar til nokkrar áhættur sem vert er að meta. Sá listi er engan veginn tæmandi, enda geta aðstæður verið mismunandi á milli sveitarfélaga og aðrar áhættur komið til. Þess vegna getur verið nauðsynlegt að skrá, greina og meta aðrar áhættur sem geta steðjað að sveitarfélaginu. Það áhættumatslíkan sem lagt er til getur verið gagnlegt fyrir allar tegundir áhætta og mjög gagnlegt er að hafa samræmd viðmið um mat á áhættum yfir allt sveitarfélagið. Með þeim hætti er hægt að bera saman áhættur hvaðan sem þær kunna að koma. Ef sveitarfélag notar aðrar lausnir en nefndar hafa verið, nýjar lausnir koma til sem ekki voru tilgreindar í sniðmáti Sambandsins eða notkun er með öðrum hætti er mikilvægt að þær áhættur séu meðhöndlaðar með sambærilegum hætti. Mikilvægt er að þær áhættur séu skráðar sem fyrst og þá helst áður en lausn hefur verið tekin í notkun.

Frekari tillögur að meðhöndlun

Í sniðmáti Sambandsins eru lagðar til tillögur að meðhöndlun, en þær tillögur eru ekki endilega tæmandi. Nauðsynlegt er fyrir hvert sveitarfélag að meta hvort sú meðhöndlun sem hefur verið innleidd eða lögð til muni sannarlega meðhöndla áhættuna með ásættanlegum hætti.

Faldir dálkar

CIAP

Hægt er að flokka áhættur í þessa fjóra flokka; C – Leynd (e. Confidentiality). Snýr að því hvort viðkomandi upplýsingar þurfi að fara sérstaklega leynt og vera verndaðar í samræmi við það. I – Réttleiki (e. Integrity). Snýr að því að gögnin séu alltaf rétt, að þau brenglist ekki eða ruglist. A – Tiltækileiki (e. Availability). Snýr að því að gögn séu aðgengileg þegar notendur þurfa á þeim að halda. P – Persónuupplýsingar. Snýr að því hvort um sé að ræða vinnslu persónuupplýsinga. Þessir flokkar geta verið hjálplegir þegar unnið er að skrásetningu áhætta, ef ekki hafa verið skráðar áhættur í öllum flokkum getur verið að hægt sé að skrá og greina fleiri áhættur sem snúa að þeim þáttum sem ekki hafa verið skoðaðir.