2022-11-15

Hotbildsanalysen – viktigare än du tror

Hotbildsanalys behandlas ibland väldigt styvmoderligt i säkerhetsarbetet. Av någon outgrundlig anledning är det väldigt underskattat. Kanske tror många att det inte behövs för det ingår i riskanalysen, för att de kör ”best practice” eller för att det kan kännas lite som att ta på sig folie-hatten. Nackdelen är att genom att inte hantera sin hotbildsanalys professionellt så begränsar man både sin riskanalys och åtgärdslista, så att man kanske helt missar vissa hot och därmed viktiga åtgärder.

Marcus Dahlman
Informationssäkerhetskonsult

”Hur svårt kan det va’?” 


Det finns massor med metodik och verktyg kring exempelvis riskanalyser, men i många fall framstår beskrivningen av själva hotbildsanalysen (som är grundläggande för riskhantering) som alltför förenklad och oproffsig. Här är ett autentiskt citat från en rådgivande myndighet om hur de anser att en hotbildsanalys ska göras.

Workshopdeltagarna tar fram, diskuterar och dokumenterar alla tänkbara hot mot analysobjektet. Viktigt: För att alla ska få samma möjlighet att bidra kan ni köra så en kallad "brainstorming", där varje deltagare skriver ner hot som kan inträffa (eller som redan har inträffat) på en lapp. 

Det är kanske inte säkert att det viktigaste är att alla ska få bidra, särskilt när flera myndigheter erbjuder en väldigt professionell, branschanpassad och aktuell hotbild alldeles gratis. Risken är uppenbar att de missar hot de inte kände till förut. Ett konkret exempel på ett hot som är nytt, viktigt att hantera, men som inte är allmänt känt.

Under 2021 såg FRA att ”främmande makt” ändrade sitt beteende och att det blev mycket vanligare med ”supply-chain”-attacker, dvs att angriparna attackerade myndigheternas leverantörer för att på så vis stjäla information eller störa myndigheternas verksamhet.

Det kan ju vara en rätt intressant förändring av hotbilden att känna till för alla oss som är leverantörer till olika myndigheter. Eller?

Det finns också hot som vi ”ärver” av våra kunder, vår omgivning eller ibland till och med genom val av teknisk lösning. Ett konkret exempel på ett ”ärvt hot” från verkligheten.

En leverantör fick ett kontrakt med en myndighet. Myndigheten hade järnkoll på sin säkerhet och berättade för sin nya leverantör att leverantören nu skulle möta en annan hotbild. De gav ett tydligt exempel: Myndigheten hade anställt en person härstammande från ett arabiskt land som tolk. Anställningskontraktet skrevs under på måndagen. Följande torsdag stod den lokala underrättelsetjänsten hemma hos tolkens föräldrar i det arabiska landet och undrade varför deras barn arbetade för den svenska staten.

Det som är lurigt med ”ärvda hot” är att de inte alltid är uppenbara. Risken för att ”Ett flygplan kraschar på datorhallen” är rätt låg för de flesta organisationer. Å andra sidan så hade en stor svensk exportindustri sin datorhall ca 200 m från landningsbanan på en flygplats, vilket gör risken lite mer påtaglig.

Men hur görs en bra hotbildsanalys?

Det finns alltid möjlighet att köpa rätt kompetens från en leverantör, eller följa Säpos ”Vägledning i Säkerhetsskydd – Säkerhetsskyddsanalys” (funkar fint om man tillför lite sannolikheter), men här är en kort och något förenklad bruksanvisning. 

  • Samla aktuella hotbilder från generella källor som Säpo, FRA och Must. Komplettera med branschspecifika hotbilder som är relevanta från källor som Svenska Kraftnät, Post- och Telestyrelsen. 

  • Kartlägg ”ärvda hotbilder”, som kunder med specifik hotbild; hotbilder som följer med omgivningen; teknik- eller produktspecifik hotbild; ägarförhållanden; m.fl. 

  • Konsolidera hotbilderna för att rensa bort dubbletter och försök ”normalisera” hoten med avseende på modus, angreppsvektor, etc. 

  • Bryt ned hoten enligt angreppsvektor, måltavla och möjliga åtgärder. Gör någon form av kategorisering. 

  • Försök värdera sannolikheten per angreppsvektor och måltavla, för att få en ”bruttolista hot och möjliga åtgärder” som kan vara underlag för sårbarhetsbedömningen. 

  • Glöm inte de vanligaste ”osexiga” hoten som får minst uppmärksamhet: el; brand; vatten, människor (internt och externt). Dessa kan användas som angreppsvektorer. 


Som kuriosa så tog Krisberedskapsmyndigheten 2006 fram en skrift som heter ”Hotbildsentreprenörens verktygslåda”. Den beskriver varför vissa hotbilder får mycket uppmärksamhet från politikerna. Den kan också med fördel användas för att få gehör hos sin ledning för att arbeta seriöst med hotbilder.