Risikovurderinger
Metodikk for risikovurderinger
Identifisere uønskede hendelser
Det første dere må gjøre er å finne frem til uønskede hendelser som kan oppstå.
- Hva kan gå galt? Hvilke hendelser kan oppstå?
- Hvilken konsekvens har hendelsen dersom den inntreffer?
- Hvor stor sannsynlighet er det for at en hendelse kan inntreffe?
- Hvilke mangler eller svakheter finnes?
- Hvilke kontrollbehov og risikoreduserende tiltak er nødvendige for å bedre sikkerheten?
For eksempel kan barn og elever med hemmelig adresse bli eksponert dersom personopplysninger kommer på avveie eller uvedkommende får tilgang til slike opplysninger. Et annet eksempel er at uvedkommende får tak i personopplysninger fordi vedtak om spesialundervisning har blitt lagret på lærernes fellesområde.
Risikoelementer som bør være med i en risikovurdering
De uønskede hendelsene skal vurderes opp mot konfidensialitet, integritet, og tilgjengelighet.
Konfidensialitet
Konfidensialitet (K) handler om å forhindre uautorisert tilgang til opplysninger, informasjon, applikasjon og IT-systemer. Brudd på konfidensialiteten kan være at
- uvedkommende får tilgang ved å utnytte sårbarheter i systemet (hacking/datainnbrudd)
- uvedkommende får tilgang på grunn av utilstrekkelig tilgangsstyring eller autentisering/pålogging
- brukere får tildelt feil brukernavn eller rolle i systemet
- noen deler brukerkontoer
- det er utilstrekkelig logging i systemet
- taushetsbelagte data blir gjort tilgjengelig, for eksempel ved at en lærer låner bort sin pc til en elev
- brukerkontoen/brukerrettighetene til ansatte eller konsulenter som slutter blir ikke slettet
Tilgjengelighet
Tilgjengelighet (T) handler om å sikre tilgang til opplysninger, informasjon, applikasjoner og IT-systemer til riktig tid og til autoriserte brukere. Brudd på tilgjengeligheten kan være
- datainnbrudd/hacking
- manglende eller sviktende rutiner, for eksempel knyttet til sletting, endringer, eller backup
- manglende varsling av nedetid
- DOS-angrep (Denial of service)
- stopp eller dårlig kontinuitet på grunn av manglende oppdateringer
Integritet
Integritet (I) handler om å sikre kvaliteten på opplysningene, og at vi skal kunne stole på at opplysningene er korrekte. Brudd på integriteten kan være
- sårbarheter i systemet fører til at uvedkommende har tilgang til å manipulere data
- at manipulerte/slettede data ikke blir oppdaget
- at dere ikke har nok ressurser til å vedlikeholde eller kvalitetssikre informasjon
- at dere gjør feil når dere overfører data mellom systemer
Skala for sannsynlighet
Etter at dere har identifisert hvilke uønskede hendelser som kan oppstå, må dere vurdere sannsynligheten for at de kan skje. Sannsynlighet vurderes ut fra hvor ofte dere forventer at hendelsen vil skje.
Bruk en skala der deltakerne i risikovurderingsmøtet angir hvor ofte de mener hendelsen kan inntreffe. Skalaen kan for eksempel deles inn i fem verdier.
Dere bør beskrive innholdet av verdiene slik at alle har samme forståelse av hva dere mener med hver verdi. Dere kan for eksempel beskrive sannsynlighetsverdiene slik:
- Svært lite sannsynlig: Hendelsen skjer sjeldnere enn hvert 10. år
- Lite sannsynlig: Hendelsen vil sannsynligvis ikke skje, men kan skje i løpet av de neste 5–10 år
- Moderat sannsynlighet: Hendelsen kan skje i løpet av 1–5 år
- Høy sannsynlighet: Hendelsen kan skje innen 1 år
- Svært høy sannsynlighet: Hendelsen kan skje en eller flere ganger i løpet av 1 år
Skala for konsekvens
Det er også viktig å vurdere hvilke konsekvenser en uønsket hendelse vil ha. Også her er det viktig at dere lager en skala for å vurdere hendelsens konsekvens, som dere deler inn i for eksempel fem verdier.
Igjen er det viktig at dere beskriver hva de ulike konsekvensverdiene betyr, slik at alle har en felles oppfatning av dette. Dere kan for eksempel beskrive konsekvensverdiene slik:
- Svært liten/ufarlig: Hendelsen vil ikke på noen måte kunne skade barn, elever, foreldre eller andre ved barnehagen eller skolen
- Liten/uheldig: Hendelsen kan få konsekvenser av mindre omfang for barn, elever, foreldre eller andre ved barnehagen eller skolen. Dette kan være mindre økonomisk tap, eller utilsiktet utlevering av ikke-sensitiv informasjon
- Moderat: Hendelsen kan få betydelige konsekvenser for barn, elever, foreldre eller andre ved barnehagen eller skolen. Dette kan være uautorisert bruk av elevers brukernavn og passord, eller utilsiktet tilgang til og endring av karakterer eller fravær.
- Alvorlig: Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme for barn, elever, foreldre eller ansatte ved barnehagen eller skolen. Dette kan være utlevering av særlige kategorier av personopplysninger.
- Svært alvorlig/kritisk: Hendelsen kan føre til varig skade på liv og helse, dødsfall, eller integritetskrenkelse og skade av stort omfang for mange berørte. Hendelsen kan føre til at personvernet krenkes på en svært alvorlig måte, for eksempel ved at uvedkommende får tilgang til hemmelige adresser.
Det finnes ikke noe helt entydig svar på hvilke hendelser dere bør betrakte som for eksempel «ufarlig» og «uheldig». Dere må derfor gjøre konkrete vurderinger av verdiene, og kanskje tilpasse eksemplene ovenfor. Dere bør også vurdere om en uønsket hendelse kan påvirke andre.
Alle hendelser som involverer uautorisert utlevering, endring eller sletting av særlige kategorier av personopplysninger, har et større skadepotensial enn hendelser som involverer alminnelige personopplysninger.
Tallverdier
Verdiene for hendelsenes sannsynlighet og konsekvens, skal alltid oppgis som tallverdier fra skalaene dere har laget.
Eksempel
Uønsket hendelse dere skal vurdere: Uvedkommende får tak i vedtak om spesialundervisning fordi vi lagrer dette på lærernes fellesområde.
Vurdere sannsynlighet: Hvor ofte tror dere det kan skje at uvedkommende kan få tak i vedtakene? Hvis dere for eksempel anslår at det kan skje i løpet av 1 – 5 år gir dere hendelsen verdien 3 «moderat sannsynlig».
Vurdere konsekvens: Hva er konsekvensen/skadevirkningen av at uvedkommende får tak i vedtakene? Denne spesifikke hendelsen bør dere gi verdien 4 eller 5 (alvorlig eller svært alvorlig). Grunnen er at dette som regel innebærer uautorisert tilgang til særlige kategorier av personopplysninger (informasjon om helseforhold).
Risikomatrise
Ved å sette sammen skalaene for vurdering av hendelsens sannsynlighet og konsekvens, får dere en risikomatrise.
Dere skal nå finne en risikofaktor for den aktuelle hendelsen. Det gjør dere ved å
- vurdere og angi hvor sannsynlig dere mener det er at hendelsen vil skje, og hvilken konsekvens dere tror den kan få
- multiplisere sannsynlighetsverdien med konsekvensverdien
Tallet dere kommer frem til, er hendelsens risikofaktor. Hvis dere anslår sannsynligheten til å være 2 og konsekvensen til å være 3, blir risikofaktoren 6.
Risikofaktoren blir synliggjort i risikomatrisen ved hjelp av fargene grønn, gul og rød.
Mal for risikomatrise
Fargekodene i risikomatrisen
Feltene i risikomatrisen er fargelagt med grønt, gult og rødt, og sier noe om hvor høy risikoen er.
- Rød: Dere må iverksette risikoreduserende tiltak umiddelbart
- Gul: Dere må vurdere å sette inn risikoreduserende tiltak
- Grønn: Det er ikke nødvendig med risikoreduserende tiltak
Barnehage- eller skoleeier skal iverksette risikoreduserende tiltak for å unngå alle hendelser som havner i «rød sone», denne risikoen er uakseptabel høy. Hvis dere ikke iverksetter tiltak for å unngå «røde hendelser» vil ikke eier oppfylle kravene om at informasjonssikkerheten skal være tilfredsstillende.
Hvis hendelsene havner i de gule feltene er ikke risikoen like høy, men det kan likevel være aktuelt å iverksette risikoreduserende tiltak. Eier må derfor selv vurdere om tiltak er nødvendig for å oppfylle krav om tilfredsstillende informasjonssikkerhet.
Hendelsene som havner i de grønne feltene trenger dere ikke gjøre noe med. Risikoen er såpass lav at det ikke er noe poeng i å bruke ressurser på å redusere den. Det innebærer at kravene om tilfredsstillende informasjonssikkerhet allerede er oppfylt.
Et risikoreduserende tiltak for hendelsen om at uvedkommende får tak i personopplysninger fordi vedtak om spesialundervisning blir lagret på lærernes fellesområde, er å lage regler som forteller skolens ansatte hvor de trygt kan lagre slike vedtak.