Vurdering av økonomisk risiko ved cyberangrep

Abstract

I denne rapporten utforsker vi mulighetene for å bruke beslutningstrær som et verktøy for å vurdere sikkerhetsinvesteringer. Arbeidet er basert på Nasjonal sikkerhetsmyndighet (NSM) sin håndbok i risikovurderinger som baserer seg på en bedrifts verdier, trusler og sårbarheter. Etter dette presenterer vi et risikobilde, som inkluderer de mest brukte angrepsvektorene. Vi ser her at e-post har vokst til å bli det foretrukne kommunikasjonsmediet for mange trusselaktører i dagens samfunn og brukes ofte til å distribuere virus og skadevare. Vi presenterer så mottiltakene som brukes for å redusere risikoen for bedrifter og privatpersoner.

Vi introduserer vår metode for risikovurdering som baserer seg på diskonterte kontantstrømmer og beslutningstrær. Beslutningstrær brukes på grunn av enkelheten og hvor fleksible de er til å modifiseres for nye scenarier. Vi undersøker fire ulike scenarier og finner at beslutningstreet vi har definert (sikkerhetstreet) er modifiserbart slik at det tar riktig avgjørelse dersom vi endrer variablene til å illustrere to ulike beslutningsteorier. Etter dette evaluerer vi et typisk gjennomsnittlig scenario og et scenario med en passiv trusselaktør. Videre identifiserer vi en av ulempene ved beslutningstrær som er at dersom vi ikke klarer finne ut av hvilken av hendelsene i en sjansenode som inntreffer, klarer ikke beslutningstreet gi oss det riktige alternativet. Beslutningstrær vil fungere bra dersom de er basert på grundig dokumentert data i forhold til sannsynlighetene, forventningsverdiene og kostnadene.