SBA-metoden heter en svensk generell och praktiskt fungerande sårbarhetsanalys. Den är unik på många sätt, bl a på grund av att den finansierats gemensamt av stat, kommun, landsting och näringsliv.
SBA beskrivs här av Göran Ledell som själv varit djupt engagerad i dess framtagning.
Det handlar om en analysmetod som också bereder vägen för åtgärderna.
Att det moderna samhället är sårbart på grund av den ökade datoriseringen är väl ett påstående som är självklart för de allra flesta. Skulle vi av någon anledning glömma bort detta självklara faktum så är det bara att tänka på följande praktiska exempel i samband med att åka på konferens:
Försök att boka flygbiljett via en resebyrå med det nya fina bokningssystemet en dag då datorn inte fungerar så bra (en ganska vanlig dag faktiskt). Om det går så tar det lång tid och telefonen tutar nästan jämnt upptaget. Går datorn inte, ja då blir det ingen biljett (precis samma sak händer hos SJ).
Försök att lämna ett meddelande på konferenshotellet till den som inte bokat in ännu. Det går inte – gästen är obefintlig.
Försök att förstå hotellräkningen du får. Den är näst intill obegriplig.
Det finns många fler exempel. Såväl i Sverige som i utlandet. Vi kan vara helt överens, samhällets sårbarhet ökar med oroväckande takt.
I det påståendet ligger inte bara det faktum att samhället inte fungerar om datorerna stannar. Där finns också det förhållandet att en strejk bland några få datamänniskor stoppar hela samhället. Eller det faktum att allt färre förstår hur saker och ting fungerar. Principerna finns i datorn och den gör ju alltid rätt, så varför bry sig.
Att sedan den ”lede fi” får det allt lättare att spionera eller sabotera (läs gärna den tunna storyn i Jan-Jöran Stenhagens sista bok, Dubbeldyrkarna. På just denna punkt råkar den vara sann) det svenska samhället. Inte nog med det, skulle det bli krig kan vi inte ens reparera våra datorer. Vi saknar egentillverkning av reservdelar.
Det här är ju inget nytt problem. I Sverige var vi bland de första i världen att upptäcka det. Vi tillsatte SÅRK. Vi fortsatte med SÅRB. Vi.....?
Ja, i så mycket annat (t ex när det gäller den personliga integriteten) kan man likna händelseutvecklingen i Sverige med den roll ”haren” spelar i ett världsrekordförsök på 1.500 m. På första varvet leder vi klungan och håller farten. Så tröttnar vi plötsligt. Det är dags att stiga av loppet och låta de andra göra resten. Kanske kan vi denna gång komma tillbaka. Det pratas om en arbetsgrupp nånstans i kanslihuset under någon minister som kanske skall bestå av ”det gamla gardet” från SÅRB. När detta skrivs i början av maj är allt fortfarande oklart. Låt oss hoppas gruppen är tillsatt och har börjat jobba när konferensen går av stapeln. Låt oss också hoppas att den jobbar med väsentligheter och inte alltför spektakulära saker. En finslipning av löpstilen skulle inte skada.
När det gäller det danska och finska samhället tycks sårbarheten vara mindre eller åtminstone mer försynt. För att återvända till liknelsen med 1.500 m. De finska och danska löparna tycks fortfarande syssla med uppvärmningen eller ligger man mitt i klungan och syns inte från åskådarplats?
Norge kommer dock starkt. Nog för att man började sent men klokt nog startade från det uppnådda läget i Sverige. Men sedan har det gått undan. Vilket förslag man har lagt! Toppen! (Men hur är det med tryckerisårbarheten i Norge – krävs det verkligen drygt två månader för att offentliggöra och trycka en utredning?)
Sårbarhetsutvalgets enhälliga förslag till fortsatt arbete är genialt. En av stat, kommun och näringsliv gemensamt etablerad satsning på rådgivning, trendpåverkan och metodutvecklande enhet under rätt departement. Vilken lycka! Grattis Norge! Lycka till med det slutliga beslutet!
Den svenska modellen
En sak har vi dock gjort allra bäst i Sverige. Vi har utvecklat en generell och praktiskt fungerande sårbarhetsanalysmetod, SBA-Metoden. Idag översatt till såväl norska, finska som engelska.
SBA-Metoden är unik på många sätt. Den utvecklades av drygt 40 erfarna säkerhetsmänniskor i svenskt näringsliv som levererade det avsedda projektresultatet på den i förväg fastställda tidpunkten. Metoden var också unik ur den aspekten att den finansierades gemensamt av stat, kommun, landsting och näringsliv.
För den som inte vet det så ägs SBA-Metoden idag av Riksdataförbundet, som fick detta uppdrag i utbyte mot att för framtiden svara för administration, marknadsföring och utveckling.
SBA-Metodens funktion
SBA-Metoden innehåller olika delar. De flesta har säkert hört talas om och även sett SBA-Metoden i verkligheten. Men för säkerhets skull några rader om varje del:
SBA Start bör användas för att initiera en riskanalys inom ett företag eller för att sårbarhetsvärdera en idé.
SBA Beroende skall användas för att göra en enkel verksamhetsanalys om man inte klarat det tidigare.
SBA System är en grov sårbarhetsanalysmetod som på 3–4 timmar gör det möjligt att hitta de allvarligaste störningarna.
SBA Scenario är SBA-Metodens flaggskepp. Med Scenario gör man på två dagar en relativt detaljerad analys av även komplicerade ADB-system.
SBA Plan kan användas av den som inte riktigt vet hur man skall göra en detaljerad handlingsplan.
SBA Rapport ger läsaren ett antal goda idéer om hur man på ett effektivt sätt skall följa upp gjorda riskanalyser.
SBA Projekt ger möjlighet att på max fyra timmar kunna konstatera om ett ADB-projekt (även mycket stora) kan bli färdigt i rätt tid, till rätt kostnad och med rätt kvalité. SBA Projekt är den metod som är lättast att börja med och ger snabbast resultat.
SBA Utveckling är kanske det enda svenska dokument som beskriver hur man skall få med säkerhetsfrågorna i hela utvecklingsprocessen.
SBA Nyckelpersonal är den del som behandlar den fråga de flesta ADB-chefer försöker dölja. D v s: Har jag tillräckligt med personal med tillräcklig kompetens och med reserver vid problem?
SBA Revision som berättar för revisorn hur man reviderar en SBA Analys eller kan utnyttja SBA för att genomföra det egna revisionsarbetet.
SBA Kompakt som är en komprimerad version för småföretag och som består av delar från såväl Beroende som Plan.
Användning av SBA
Att utnyttja SBA kräver inte särskilt mycket egentligen. Materialet är lättskrivet och pedagogiskt upplagt. Det kräver egentligen bara två saker
att kunna läsa innantill
att tänka själv.
Skämt åsido, i SBA anges klart och tydligt: Detta är en generell metod men du måste anpassa utnyttjandet till din speciella situation. Du behöver alltså använda alla delarna. Du skall inte följa varje stavelse, utan du skall utnyttja den efter just din speciella situation.
Fördelarna med SBA
Egentligen är jag väl inte rätt person att recensera SBA. Jag var ju mycket djupt engagerad i dess framtagning. Men efter snart tre års egen användning och erhållna erfarenheter inom såväl Infosec som andra företag tror jag att följande sammanfattning är mycket realistisk.
SBA ger på kort kalendertid ett praktiskt resultat, som är väl förankrat i verkligheten. Observera dock att kalendertid inte är detsamma som liten riskanalys. SBA jobbar med grupper, det innebär alltid stora resursinsatser i timmar uttryckt.
SBA ger en väl strukturerad och logisk dokumentation som kan användas som
– beslutsunderlag
– handlingsplan
– uppföljningsunderlag
Riskanalysen och dess följder fungerar därmed som all annan verksamhet som bedrivs i ett företag.
SBA ger möjlighet att jobba över hela organisationshierarkin. Det finns metoddelar för såväl chef som specialist.
SBA bygger på en riktig syn på hur man skall lösa problem. För att den skall fungera krävs en grupp människor som kommer från olika funktioner. När den gruppen är överens har du ett starkt beslutsunderlag som är svårt att säga nej till.
SBA är en analysmetod men den bereder också vägen för åtgärderna. Gruppmedlemmarna kommer att fungera som marknadsförare av skyddsåtgärderna. Det är ju deras egna förslag som skall installeras.
SBA kräver omsorg när du skall utse deltagarna i de olika analysstegen. Skillnaden mellan succé och fiasko kan vara just personvalet. En ofta bortglömd faktor.
Slutord
SBA är inte lösningen på alla problem, men den är en god början. Det bästa med den är dock: Den fungerar och det finns gott om praktiska erfarenheter från en mängd olika möjligheter. Vill du ha tips på någon som använt SBA i just din miljö, ring RDF eller mig så skall du få förslag på referenser. Jag törs lova att det gäller nästan alla tänkbara situationer.
Göran Ledell