versie 4.0 – Winter 2023
Inleiding en leeswijzer bij dit document.
Organisaties gebruiken diverse soorten telecommunicatiediensten: vaste en mobiele telefonie, video conferencing, internet, beveiligde verbindingen tussen kantoren enzovoorts. In de afgelopen tien jaar zijn organisaties steeds meer afhankelijk geworden van dergelijke diensten. Waar in het verleden telefoonuitval alleen onhandig was, maakt uitval van telecomdiensten het tegenwoordig vaak onmogelijk om überhaupt zaken te kunnen doen. En aangezien organisaties steeds meer online gaan en de ‘cloud’ in, wordt de betrouwbaarheid van telecomdiensten steeds belangrijker.
Tegelijkertijd hebben technologische veranderingen en veranderingen in de markt het moeilijker gemaakt om de betrouwbaarheid van telecommunicatiediensten te beoordelen. Netwerken groeien voortdurend, nieuwe technologieën vervangen oude, en telecomaanbieders besteden diensten uit en voegen ze samen. Bij een willekeurige telecomdienst zijn verscheidene telecomaanbieders betrokken, en geen van hen kan weten hoe belangrijk die dienst is voor elke klant.
Deze toegenomen afhankelijkheid is nog meer van toepassing op organisaties die een vitale rol vervullen in de samenleving, zoals brandweer, medische zorg, waterschappen, nutsvoorzieningen, banken enzovoorts.
Het is daarom belangrijk dat organisaties in het algemeen, en organisaties die een vitale infrastructuur leveren in het bijzonder, de kwetsbaarheden en afhankelijkheden van de telecomdiensten die ze gebruiken begrijpen. Dit document beschrijft een methode, genaamd Raster, om dit begrip te ondersteunen.
Het doel van Raster is om organisaties minder kwetsbaar voor telecomuitval te maken. Om de kwetsbaarheid te verminderen moet de organisatie eerst begrijpen wat er mis kan gaan met elke telecommunicatiedienst die ze gebruikt. Ook moeten deze risico's worden gerangschikt zodat de meest urgente risico's het eerst aangepakt kunnen worden. Raster helpt een team van analisten om één of meerdere telecomdiensten van een organisatie in kaart te brengen en te verkennen. Het resultaat is een rapportage waarin staat welke risico's het eerste aangepakt moeten worden en waarom. Selectie en uitvoering van tegenmaatregelen is de volgende logische stap, maar is geen onderdeel van de Raster methode.
Incidenten met de beschikbaarheid van telecommunicatiediensten gebeuren vaak omdat componenten uitvallen: een ondergrondse kabel is beschadigd door een aannemer, een stroomuitval zorgt voor uitval van apparatuur. Om op deze incidenten voorbereid te zijn, moet de organisatie zich eerst realiseren dat de kabel en de apparatuur bestaat. Een belangrijk onderdeel van de Raster methode is daarom het tekenen van een diagram waarop alle componenten te zien zijn die betrokken zijn bij het leveren van de dienst.
Incidenten kunnen ook plaatsvinden wanneer een enkele gebeurtenis leidt tot de gelijktijdige uitval van twee of meer componenten. Bijvoorbeeld, twee kabels binnen de zelfde buis kunnen worden doorgesneden tijdens hetzelfde incident, of een software-update kan ervoor zorgen dat verscheidene servers ‘plat gaan’. Deze vormen van uitval worden gedeelde foutoorzaken genoemd, en zijn gevaarlijk omdat hun impact behoorlijk groot kan zijn.
Belangrijke stappen in de Raster methode zijn het tekenen van de dienstendiagrammen en het beoordelen van de waarschijnlijkheid en de potentiële impact van enkele en gedeelde foutoorzaken. In tegenstelling tot andere methodes hanteert Raster geen beperkte, getalsmatige benadering ten aanzien van risicobeoordeling.
Risico's met een lage waarschijnlijkheid en grote effecten zijn vooral belangrijk. Deze zeldzame maar catastrofale gebeurtenissen worden ‘zwarte zwanen’ (‘black swans’) genoemd. Raster helpt bij het blootleggen van zwarte zwanen in telecommunicatiediensten.
Risicobeoordelingen zijn altijd deels subjectief, en informatie is zelden zo compleet als analisten zouden willen. Dit betekent niet dat vooringenomenheid en vooroordelen acceptabel zijn. Raster probeert aan te zetten tot een kritische denkwijze. Onzekerheid is normaal en beoordelingen kunnen expliciet als ‘onbekend’ of ‘tegenstrijdig’ worden aangemerkt als er niet een meer specifieke beoordeling gemaakt kan worden. Raster kan worden toegepast zelfs als veel van de gewenste informatie over de samenstelling van telecomnetwerken onbeschikbaar of onbekend is. Ontbrekende informatie kan geleidelijk worden toegevoegd.
Om een beperkte risicobeoordeling te voorkomen, wordt de Raster methode toegepast door een team van experts, waarbij ieder zijn eigen expertise heeft. Raster vergemakkelijkt samenwerking tussen experts met verschillende achtergronden.
Raster vergemakkelijkt de opbouw van een aanbeveling door gebruik te maken van een beproefde methodische analyse. De aanbeveling is niet alleen gebaseerd op technische aspecten aan uitval van telecommunicatiediensten, maar houdt ook rekening met de maatschappelijke impact van uitval en met risicopercepties van externe belanghebbenden.
Een laatste opmerking: Raster kan zelfstandig worden gebruikt, of als onderdeel van een breder raamwerk van risicobeheersing in een organisatie. Deze handleiding gaat uit van een zelfstandige toepassing. Wanneer Raster wordt gebruikt als onderdeel binnen een aanpak, moet waarschijnlijk de opstartfase (waarin de reikwijdte van het onderzoek wordt bepaald) aangepast worden.
De volgende partijen zijn betrokken bij het toepassen van de Raster methode:
Het team moet kennis omvatten over essentiële bedrijfsactiviteiten en de technische aspecten van telecommunicatienetwerken en diensten. Daarnaast is het nuttig als teamleden ervaring hebben met risicobeoordelingen en in het bijzonder met de Raster methode. Vanwege deze verscheidenheid aan kennis is het noodzakelijk om medewerkers van de doelorganisatie op te nemen in het team van analisten.
Er zijn software programma's beschikbaar die de uitvoering van de methode ondersteunen. Het gebruik daar van wordt sterk aanbevolen, en in deze handleiding gaan we er vanuit dat een van die applicaties wordt gebruikt. Er zijn meerdere versies: er is een losstaand programma voor Windows of MacOS, en een web-applicatie die op een intranet-server moet worden geïnstalleerd. Alle versies werken grotendeels hetzelfde. Wanneer we in deze handleiding “de applicatie” schrijven zonder specifiek te zijn, dan wordt een van deze versies bedoeld.
Deze handleiding is voor deskundigen die de Raster methode gaan uitvoeren. De handleiding legt de methode uit en geeft begeleiding bij de te volgen stappen. Deze deskundigen kunnen zowel telecomexperts zijn als deskundigen op andere terreinen waarop expertise vereist is. Voorbeelden, opmerkingen en tips worden vormgegeven in tekstvakken.
Dit is een voorbeeld, opmerking, tip of handigheidje.
De eerste hoofdstukken van deze handleiding beschrijven de Raster methode, het tweede deel beschrijft hoe de Raster applicaties helpen met het maken van diagrammen en de analyse van enkele en meervoudige foutoorzaken. Wie een analyse uitvoert via Raster gaat te werk zoals in het schema hieronder.
De linker kolom geeft de eerste hoofdstukken van deze handleiding weer. De rechter kolom geeft het tweede deel weer, waarin de Raster applicaties beschreven worden.
Auteur: Eelco Vriezekolk. Oorspronkelijke Nederlandse vertaling: Suzan van Essen.
Contact en downloads: https://risicotools.nl/
Broncode: https://github.com/EelcoV/RasterTool
De oorspronkelijke sponsors van dit werk waren Rijksdienst Digitale Infrastructuur en Universiteit Twente
Algemene beschrijving van de Raster methode en diagrammen van telecommunicatiediensten.
Wanneer u de Raster methode gebruikt, zult u en de rest van uw team verschillende taken uitvoeren. De methode zal u op een systematische wijze door deze taken leiden en de Raster applicatie zal u helpen bij het vastleggen van uw vorderingen. U zult op basis van uw gezamenlijke kennis en expertise inschattingen maken over de waarschijnlijkheid en impact van verschillende kwetsbaarheden op telecommunicatiediensten. Op basis van deze analyse zullen u en uw team passende aanbevelingen opstellen om de risico's te bestrijden. Het resultaat van uw inspanningen is een rapportage die door een beslissingnemer gebruikt kan worden om op basis van de juiste informatie besluiten te nemen over het accepteren, verminderen en voorkomen van risico's.
Raster bestaat uit vier stappen, zoals te zien in onderstaand schema.
De opstarten en voorbereidingsstap beschrijft de reikwijdte en het doel van de beoordeling. Welke telecommunicatiedienst is betrokken, welke gebruikers kunnen worden geïdentificeerd, wie zijn de externe belanghebbenden, en wat zijn de kenmerken van de omgeving waarin deze diensten worden gebruikt?
De analyse van enkele foutoorzaken leidt tot een diagram voor elke gebruikte telecommunicatiedienst. Deze diagrammen beschrijven de belangrijkste telecommuni-catiecomponenten, met inbegrip van kabels, draadloze verbindingen en apparatuur. Deze componenten zijn in potentie kwetsbaar. Het diagram hoeft niet op alle details compleet te zijn. Delen van netwerken die minder relevant zijn, kunnen in een ‘wolk’ worden gevangen (onverkende verbinding). Van alle componenten worden de van toepassing zijnde kwetsbaarheden beoordeeld. Alleen zelfstandige, enkele fouten worden in deze stap meegenomen.
De analyse van gedeelde foutoorzaken is de stap waarin nader gekeken wordt naar oorzaken van uitval die voor verstoring in meerdere componenten tegelijkertijd zorgen. Een voorbeeld is dat van onafhankelijke telecommunicatiediensten die beide een kabel in de zelfde leiding hebben liggen. Bij een enkel graafincident kunnen beide kabels worden doorgesneden waardoor beide diensten uitvallen. Een ander voorbeeld is grootschalige stroomuitval waardoor de apparatuur in een groot gebied gelijktijdig kan uitvallen.
De stap van risico-evaluatie bevat de evaluatie en het opstellen van het eindrapport. Het totale risiconiveau wordt beoordeeld en er worden aanbevelingen gedaan over hoe er met de risico's moet worden omgegaan. Deze aanbevelingen houden rekening met de eventuele reacties van de externe belanghebbenden. De aanbevelingen en de bijbehorende argumentatie vormen het eindresultaat van de Raster methode. Hoofdstukken Stap 1, Stap 2, Stap 3 en Stap 4 beschrijven elke stap in detail.
Diagrammen vormen de kern van de Raster methode. Een diagram van een telecommunicatiedienst beschrijft de fysieke verbondenheid tussen de componenten van een telecommunicatiedienst. Diagrammen bestaan uit componenten die verbonden worden met lijnen. Elke lijn vertegenwoordigt een directe fysieke relatie. Het geeft aan dat de onderdelen met elkaar verbonden zijn. Er kan niet meer dan één lijn tussen twee componenten zijn, componenten zijn verbonden of ze zijn het niet.
Lijnen zijn niet hetzelfde als kabels. Als twee apparaten met elkaar verbonden zijn via een kabel, dan worden er drie componenten gebruikt, zoals te zien in bovenstaand plaatje. De lijn tussen apparatuur en kabel toont een fysieke verbinding, de kabel zit aan de apparatuur. Er zijn vijf typen componenten, elk heeft een unieke vorm.
Verschillende plaatjes kunnen gebruikt worden om componenten weer te geven, afhankelijk van de icoonverzameling die de Raster applicatie gebruikt. De voorbeelden hieronder gebruik de Default icoonverzameling.
Actoren vertegenwoordigen de (directe) gebruikers- van telecommunicatiediensten. Een actor kan een individuele gebruiker zijn of een groep gebruikers met dezelfde rol, zoals ‘journalisten’ of ‘burgers’. Onderhoudspersoneel wordt niet als actor gezien omdat ze niet deelnemen aan de communicatie.
Een actor kan alleen worden verbonden met componenten van het type ‘apparatuur’ of ‘onverkende verbinding’. Actoren kunnen niet direct verbonden zijn met draadgebonden of draadloze verbindingen en de Raster applicatie staat dergelijke verbindingen ook niet toe. Er moeten minimaal twee actoren in het diagram staan.
Er moet in ieder geval een persoon zijn die communiceert en een ander persoon om mee te communiceren.
Draadgebonden verbindingen staan voor passieve, fysieke kabels met inbegrip van de bijbehorende verbindingstukken, hulp- en koppelstukken maar zonder actieve componenten zoals versterkers of schakelaars. Glasvezelkabels, coaxkabels en de traditionele koperkabels voor telefonie zijn voorbeelden van draadgebonden verbindingen. De twee apparaten die met een dergelijke verbinding verbonden zijn, maken geen onderdeel uit van de draadgebonden verbinding zelf en moeten separaat in het model opgenomen worden als apparatuur-component of als onverkende verbinding.
Elke draadgebonden verbinding heeft altijd twee aansluitingen van het type ‘apparatuur’ of ‘onverkende verbinding’, Om een draadgebonden verbinding te kunnen verbinden met een actor, een andere draadloze verbinding of een onverkende verbinding, moet u eerst een ‘apparatuur’ component toevoegen.
Elke draadgebonden verbinding heeft een bepaalde vaste capaciteit, een fysieke locatie (met een hoogte boven of onder de grond). Dit soort eigenschappen moeten in voldoende detail bekend zijn.
Draadloze verbindingen staan voor directe radioverbindingen zonder eventuele tussenliggende componenten. Zend- en ontvangstinstallaties zijn geen onderdeel van de draadloze verbinding en moeten dan ook apart, als apparatuur, opgenomen worden. Een draadloze verbinding kan met twee of meer componenten verbonden zijn.
Elke draadloze verbinding heeft een vaste capaciteit maar, in tegenstelling tot vaste verbindingen, heeft een draadloze verbinding niet altijd een vaste locatie. Zenders en ontvangers kunnen mobiel of nomadisch zijn. Het dekkingsgebied is afhankelijk van factoren als zendvermogen en antenne-eigenschappen. Draadloze verbindingen hebben een vaste frequentie of band. Al deze kenmerken moeten voldoende gedetailleerd beschreven worden.
Elke draadloze verbinding heeft altijd minstens twee aansluitingen van het type ‘apparatuur’ of ‘onverkende verbinding’. Zoals in het bovenstaande voorbeeld is te zien, kan het meer dan een zijn. Om een draadloze verbinding te kunnen verbinden met een actor, apparatuur of een andere draadloze verbinding, moet u eerst een ‘apparatuur’ component toevoegen.
Onverkende verbindingen (wolkvormen) staan voor netwerkonderdelen waarover onvoldoende informatie beschikbaar is of waarvan het niet nodig is om ze in detail te beschrijven. In tegenstelling tot draadgebonden en draadloze verbindingen, waarbij het gaat om één communicatiekanaal, kunnen onverkende verbindingen bestaan uit apparatuur en draadgebonden en draadloze verbindingen.
Omdat onverkende verbindingen verzamelingen van apparatuur en draadgebonden en draadloze verbindingen zijn, kunnen ze op alle plekken waar deze componenten te vinden zijn, worden toegepast. Kort samengevat: onverkende verbindingen kunnen verbonden zijn met elk type component. Ook kunnen onverkende verbindingen verbonden worden met een onbeperkt aantal componenten.
Apparatuurcomponenten staan voor alle overige fysieke onderdelen van telecommunicatienetwerken, zoals switches, exchanges, routers, versterkers, radiozendapparatuur enzovoorts. Een apparatuurcomponent kan staan voor een enkel apparaat of voor een volledige installatie.