Jag tog två sådana studier från två olika år, dvs totalt 4 st – Gartner och någon annan, mins inte vilken – och gick igenom deras uppgifter om större skadehändelser i större koncerner worldwide under ett år, sammanlagt kanske knappt 500 händelser om jag minns rätt. Min hypotes var att orsaken borde gå att finna i människor – avsiktligt eller oavsiktligt, dvs angripare eller slarv/misstag – i teknik eller i omgivning/miljö. Dessutom borde det gå att läsa ut om det var interna eller externa orsaker. Totalt hade jag således 8 fält att börja pricka in händelser i.
Informationen var inte särskilt omfattande om varje händelse. Det fanns uppgift om bransch och om händelsen i stora drag, men inte om belopp eller typ av skada, bara att den var "allvarlig". Så jag kunde bara summera över antal.
Tyvärr har jag inte kvar källmaterialet, men resultatet har (för-)följt mig genom åren, och jag har inte blivit motsagd när jag presenterat det, tvärtom. Kanske är det enkelheten som tilltalar – slutsatserna är förfärande tydliga. Om de är sanna. Vilket jag faktiskt tror.
Översatt till frekvenser blev resultatet så här, när man rundar av lite:
Med andra ord:
- Företagen i undersökningarna drabbades av externa attacker med riktigt allvarliga konsekvenser ungefär vart 3:e år i genomsnitt.
- Interna angripare, dvs "insiders", orsakade riktigt allvarlig skada ungefär vartannat år.
- Medarbetares felgrepp ställde till med riktigt allvarlig skada i företaget ungefär var 5:e månad (i genomsnitt!)
- Övriga 5 möjliga orsaksområden bidrog med så få exempel att det inte gick att göra någon vettig statistik på det.
Min slutsats var och är att säkerhetsarbetet – det proaktiva – bör fokusera på att förebygga felaktig hantering i första hand, insiders i andra hand och externa attacker i tredje hand. Övriga orsaker ska naturligtvis också hanteras i det proaktiva arbetet, jag säger inget annat, men i lönsamhetsorienterat säkerhetsarbete får dessa områden relativt sett låg prioritet – i princip.
Efter att ha tänkt ett varv till drog jag slutsatsen att det viktigaste proaktiva säkerhetsarbetet utförs i företagets förändringsprocesser, t ex i projektarbetet. Det är där som sårbarheter kan tas bort eller råkar läggas till. Det mera traditionella säkerhetsarbetet med skydd, kontinuitetshantering etc ska självklart också bedrivas, men om man inte är med aktivt som säkerhetsperson under förändringsarbetet riskerar man att ständigt få slösa sina dyrbara resurser på att reparera andras misstag. Men hur man åstadkommer en säker utvecklingsprocess är en annan diskussion som jag kanske tar upp i ett kommande blogginlägg.
Skam till sägandes prioriterar säkerhetsbranschernas aktörer fortfarande oftast rätt så tvärtom. Skydd mot externa attacker och kontinuitetshantering inför tekniska haverier ligger riktigt högt på topplistorna idag, skydd mot insiders bubblar upp då och då medan åtgärder för att förebygga slarv, okunnighet, ignorans mm ständigt tycks vara "någon annans problem". Det kan bero på att den typen av analys som jag gjorde inte görs regelbundet – jag har inte sett någon som upprepat min lilla studie – och med traditionella analyser når man traditionella resultat som pekar på traditionella lösningar.
