versie 4.0 – Winter 2023
Inleiding en leeswijzer bij dit document.
Organisaties gebruiken diverse soorten telecommunicatiediensten: vaste en mobiele telefonie, video conferencing, internet, beveiligde verbindingen tussen kantoren enzovoorts. In de afgelopen tien jaar zijn organisaties steeds meer afhankelijk geworden van dergelijke diensten. Waar in het verleden telefoonuitval alleen onhandig was, maakt uitval van telecomdiensten het tegenwoordig vaak onmogelijk om überhaupt zaken te kunnen doen. En aangezien organisaties steeds meer online gaan en de ‘cloud’ in, wordt de betrouwbaarheid van telecomdiensten steeds belangrijker.
Tegelijkertijd hebben technologische veranderingen en veranderingen in de markt het moeilijker gemaakt om de betrouwbaarheid van telecommunicatiediensten te beoordelen. Netwerken groeien voortdurend, nieuwe technologieën vervangen oude, en telecomaanbieders besteden diensten uit en voegen ze samen. Bij een willekeurige telecomdienst zijn verscheidene telecomaanbieders betrokken, en geen van hen kan weten hoe belangrijk die dienst is voor elke klant.
Deze toegenomen afhankelijkheid is nog meer van toepassing op organisaties die een vitale rol vervullen in de samenleving, zoals brandweer, medische zorg, waterschappen, nutsvoorzieningen, banken enzovoorts.
Het is daarom belangrijk dat organisaties in het algemeen, en organisaties die een vitale infrastructuur leveren in het bijzonder, de kwetsbaarheden en afhankelijkheden van de telecomdiensten die ze gebruiken begrijpen. Dit document beschrijft een methode, genaamd Raster, om dit begrip te ondersteunen.
Het doel van Raster is om organisaties minder kwetsbaar voor telecomuitval te maken. Om de kwetsbaarheid te verminderen moet de organisatie eerst begrijpen wat er mis kan gaan met elke telecommunicatiedienst die ze gebruikt. Ook moeten deze risico's worden gerangschikt zodat de meest urgente risico's het eerst aangepakt kunnen worden. Raster helpt een team van analisten om één of meerdere telecomdiensten van een organisatie in kaart te brengen en te verkennen. Het resultaat is een rapportage waarin staat welke risico's het eerste aangepakt moeten worden en waarom. Selectie en uitvoering van tegenmaatregelen is de volgende logische stap, maar is geen onderdeel van de Raster methode.
Incidenten met de beschikbaarheid van telecommunicatiediensten gebeuren vaak omdat componenten uitvallen: een ondergrondse kabel is beschadigd door een aannemer, een stroomuitval zorgt voor uitval van apparatuur. Om op deze incidenten voorbereid te zijn, moet de organisatie zich eerst realiseren dat de kabel en de apparatuur bestaat. Een belangrijk onderdeel van de Raster methode is daarom het tekenen van een diagram waarop alle componenten te zien zijn die betrokken zijn bij het leveren van de dienst.
Incidenten kunnen ook plaatsvinden wanneer een enkele gebeurtenis leidt tot de gelijktijdige uitval van twee of meer componenten. Bijvoorbeeld, twee kabels binnen de zelfde buis kunnen worden doorgesneden tijdens hetzelfde incident, of een software-update kan ervoor zorgen dat verscheidene servers ‘plat gaan’. Deze vormen van uitval worden gedeelde foutoorzaken genoemd, en zijn gevaarlijk omdat hun impact behoorlijk groot kan zijn.
Belangrijke stappen in de Raster methode zijn het tekenen van de dienstendiagrammen en het beoordelen van de waarschijnlijkheid en de potentiële impact van enkele en gedeelde foutoorzaken. In tegenstelling tot andere methodes hanteert Raster geen beperkte, getalsmatige benadering ten aanzien van risicobeoordeling.
Risico's met een lage waarschijnlijkheid en grote effecten zijn vooral belangrijk. Deze zeldzame maar catastrofale gebeurtenissen worden ‘zwarte zwanen’ (‘black swans’) genoemd. Raster helpt bij het blootleggen van zwarte zwanen in telecommunicatiediensten.
Risicobeoordelingen zijn altijd deels subjectief, en informatie is zelden zo compleet als analisten zouden willen. Dit betekent niet dat vooringenomenheid en vooroordelen acceptabel zijn. Raster probeert aan te zetten tot een kritische denkwijze. Onzekerheid is normaal en beoordelingen kunnen expliciet als ‘onbekend’ of ‘tegenstrijdig’ worden aangemerkt als er niet een meer specifieke beoordeling gemaakt kan worden. Raster kan worden toegepast zelfs als veel van de gewenste informatie over de samenstelling van telecomnetwerken onbeschikbaar of onbekend is. Ontbrekende informatie kan geleidelijk worden toegevoegd.
Om een beperkte risicobeoordeling te voorkomen, wordt de Raster methode toegepast door een team van experts, waarbij ieder zijn eigen expertise heeft. Raster vergemakkelijkt samenwerking tussen experts met verschillende achtergronden.
Raster vergemakkelijkt de opbouw van een aanbeveling door gebruik te maken van een beproefde methodische analyse. De aanbeveling is niet alleen gebaseerd op technische aspecten aan uitval van telecommunicatiediensten, maar houdt ook rekening met de maatschappelijke impact van uitval en met risicopercepties van externe belanghebbenden.
Een laatste opmerking: Raster kan zelfstandig worden gebruikt, of als onderdeel van een breder raamwerk van risicobeheersing in een organisatie. Deze handleiding gaat uit van een zelfstandige toepassing. Wanneer Raster wordt gebruikt als onderdeel binnen een aanpak, moet waarschijnlijk de opstartfase (waarin de reikwijdte van het onderzoek wordt bepaald) aangepast worden.
De volgende partijen zijn betrokken bij het toepassen van de Raster methode:
Het team moet kennis omvatten over essentiële bedrijfsactiviteiten en de technische aspecten van telecommunicatienetwerken en diensten. Daarnaast is het nuttig als teamleden ervaring hebben met risicobeoordelingen en in het bijzonder met de Raster methode. Vanwege deze verscheidenheid aan kennis is het noodzakelijk om medewerkers van de doelorganisatie op te nemen in het team van analisten.
Er zijn software programma's beschikbaar die de uitvoering van de methode ondersteunen. Het gebruik daar van wordt sterk aanbevolen, en in deze handleiding gaan we er vanuit dat een van die applicaties wordt gebruikt. Er zijn meerdere versies: er is een losstaand programma voor Windows of MacOS, en een web-applicatie die op een intranet-server moet worden geïnstalleerd. Alle versies werken grotendeels hetzelfde. Wanneer we in deze handleiding “de applicatie” schrijven zonder specifiek te zijn, dan wordt een van deze versies bedoeld.
Deze handleiding is voor deskundigen die de Raster methode gaan uitvoeren. De handleiding legt de methode uit en geeft begeleiding bij de te volgen stappen. Deze deskundigen kunnen zowel telecomexperts zijn als deskundigen op andere terreinen waarop expertise vereist is. Voorbeelden, opmerkingen en tips worden vormgegeven in tekstvakken.
Dit is een voorbeeld, opmerking, tip of handigheidje.
De eerste hoofdstukken van deze handleiding beschrijven de Raster methode, het tweede deel beschrijft hoe de Raster applicaties helpen met het maken van diagrammen en de analyse van enkele en meervoudige foutoorzaken. Wie een analyse uitvoert via Raster gaat te werk zoals in het schema hieronder.
De linker kolom geeft de eerste hoofdstukken van deze handleiding weer. De rechter kolom geeft het tweede deel weer, waarin de Raster applicaties beschreven worden.
Auteur: Eelco Vriezekolk. Oorspronkelijke Nederlandse vertaling: Suzan van Essen.
Contact en downloads: https://risicotools.nl/
Broncode: https://github.com/EelcoV/RasterTool
De oorspronkelijke sponsors van dit werk waren Rijksdienst Digitale Infrastructuur en Universiteit Twente
Algemene beschrijving van de Raster methode en diagrammen van telecommunicatiediensten.
Wanneer u de Raster methode gebruikt, zult u en de rest van uw team verschillende taken uitvoeren. De methode zal u op een systematische wijze door deze taken leiden en de Raster applicatie zal u helpen bij het vastleggen van uw vorderingen. U zult op basis van uw gezamenlijke kennis en expertise inschattingen maken over de waarschijnlijkheid en impact van verschillende kwetsbaarheden op telecommunicatiediensten. Op basis van deze analyse zullen u en uw team passende aanbevelingen opstellen om de risico's te bestrijden. Het resultaat van uw inspanningen is een rapportage die door een beslissingnemer gebruikt kan worden om op basis van de juiste informatie besluiten te nemen over het accepteren, verminderen en voorkomen van risico's.
Raster bestaat uit vier stappen, zoals te zien in onderstaand schema.
De opstarten en voorbereidingsstap beschrijft de reikwijdte en het doel van de beoordeling. Welke telecommunicatiedienst is betrokken, welke gebruikers kunnen worden geïdentificeerd, wie zijn de externe belanghebbenden, en wat zijn de kenmerken van de omgeving waarin deze diensten worden gebruikt?
De analyse van enkele foutoorzaken leidt tot een diagram voor elke gebruikte telecommunicatiedienst. Deze diagrammen beschrijven de belangrijkste telecommuni-catiecomponenten, met inbegrip van kabels, draadloze verbindingen en apparatuur. Deze componenten zijn in potentie kwetsbaar. Het diagram hoeft niet op alle details compleet te zijn. Delen van netwerken die minder relevant zijn, kunnen in een ‘wolk’ worden gevangen (onverkende verbinding). Van alle componenten worden de van toepassing zijnde kwetsbaarheden beoordeeld. Alleen zelfstandige, enkele fouten worden in deze stap meegenomen.
De analyse van gedeelde foutoorzaken is de stap waarin nader gekeken wordt naar oorzaken van uitval die voor verstoring in meerdere componenten tegelijkertijd zorgen. Een voorbeeld is dat van onafhankelijke telecommunicatiediensten die beide een kabel in de zelfde leiding hebben liggen. Bij een enkel graafincident kunnen beide kabels worden doorgesneden waardoor beide diensten uitvallen. Een ander voorbeeld is grootschalige stroomuitval waardoor de apparatuur in een groot gebied gelijktijdig kan uitvallen.
De stap van risico-evaluatie bevat de evaluatie en het opstellen van het eindrapport. Het totale risiconiveau wordt beoordeeld en er worden aanbevelingen gedaan over hoe er met de risico's moet worden omgegaan. Deze aanbevelingen houden rekening met de eventuele reacties van de externe belanghebbenden. De aanbevelingen en de bijbehorende argumentatie vormen het eindresultaat van de Raster methode. Hoofdstukken Stap 1, Stap 2, Stap 3 en Stap 4 beschrijven elke stap in detail.
Diagrammen vormen de kern van de Raster methode. Een diagram van een telecommunicatiedienst beschrijft de fysieke verbondenheid tussen de componenten van een telecommunicatiedienst. Diagrammen bestaan uit componenten die verbonden worden met lijnen. Elke lijn vertegenwoordigt een directe fysieke relatie. Het geeft aan dat de onderdelen met elkaar verbonden zijn. Er kan niet meer dan één lijn tussen twee componenten zijn, componenten zijn verbonden of ze zijn het niet.
Lijnen zijn niet hetzelfde als kabels. Als twee apparaten met elkaar verbonden zijn via een kabel, dan worden er drie componenten gebruikt, zoals te zien in bovenstaand plaatje. De lijn tussen apparatuur en kabel toont een fysieke verbinding, de kabel zit aan de apparatuur. Er zijn vijf typen componenten, elk heeft een unieke vorm.
Verschillende plaatjes kunnen gebruikt worden om componenten weer te geven, afhankelijk van de icoonverzameling die de Raster applicatie gebruikt. De voorbeelden hieronder gebruik de Default icoonverzameling.
Actoren vertegenwoordigen de (directe) gebruikers- van telecommunicatiediensten. Een actor kan een individuele gebruiker zijn of een groep gebruikers met dezelfde rol, zoals ‘journalisten’ of ‘burgers’. Onderhoudspersoneel wordt niet als actor gezien omdat ze niet deelnemen aan de communicatie.
Een actor kan alleen worden verbonden met componenten van het type ‘apparatuur’ of ‘onverkende verbinding’. Actoren kunnen niet direct verbonden zijn met draadgebonden of draadloze verbindingen en de Raster applicatie staat dergelijke verbindingen ook niet toe. Er moeten minimaal twee actoren in het diagram staan.
Er moet in ieder geval een persoon zijn die communiceert en een ander persoon om mee te communiceren.
Draadgebonden verbindingen staan voor passieve, fysieke kabels met inbegrip van de bijbehorende verbindingstukken, hulp- en koppelstukken maar zonder actieve componenten zoals versterkers of schakelaars. Glasvezelkabels, coaxkabels en de traditionele koperkabels voor telefonie zijn voorbeelden van draadgebonden verbindingen. De twee apparaten die met een dergelijke verbinding verbonden zijn, maken geen onderdeel uit van de draadgebonden verbinding zelf en moeten separaat in het model opgenomen worden als apparatuur-component of als onverkende verbinding.
Elke draadgebonden verbinding heeft altijd twee aansluitingen van het type ‘apparatuur’ of ‘onverkende verbinding’, Om een draadgebonden verbinding te kunnen verbinden met een actor, een andere draadloze verbinding of een onverkende verbinding, moet u eerst een ‘apparatuur’ component toevoegen.
Elke draadgebonden verbinding heeft een bepaalde vaste capaciteit, een fysieke locatie (met een hoogte boven of onder de grond). Dit soort eigenschappen moeten in voldoende detail bekend zijn.
Draadloze verbindingen staan voor directe radioverbindingen zonder eventuele tussenliggende componenten. Zend- en ontvangstinstallaties zijn geen onderdeel van de draadloze verbinding en moeten dan ook apart, als apparatuur, opgenomen worden. Een draadloze verbinding kan met twee of meer componenten verbonden zijn.
Elke draadloze verbinding heeft een vaste capaciteit maar, in tegenstelling tot vaste verbindingen, heeft een draadloze verbinding niet altijd een vaste locatie. Zenders en ontvangers kunnen mobiel of nomadisch zijn. Het dekkingsgebied is afhankelijk van factoren als zendvermogen en antenne-eigenschappen. Draadloze verbindingen hebben een vaste frequentie of band. Al deze kenmerken moeten voldoende gedetailleerd beschreven worden.
Elke draadloze verbinding heeft altijd minstens twee aansluitingen van het type ‘apparatuur’ of ‘onverkende verbinding’. Zoals in het bovenstaande voorbeeld is te zien, kan het meer dan een zijn. Om een draadloze verbinding te kunnen verbinden met een actor, apparatuur of een andere draadloze verbinding, moet u eerst een ‘apparatuur’ component toevoegen.
Onverkende verbindingen (wolkvormen) staan voor netwerkonderdelen waarover onvoldoende informatie beschikbaar is of waarvan het niet nodig is om ze in detail te beschrijven. In tegenstelling tot draadgebonden en draadloze verbindingen, waarbij het gaat om één communicatiekanaal, kunnen onverkende verbindingen bestaan uit apparatuur en draadgebonden en draadloze verbindingen.
Omdat onverkende verbindingen verzamelingen van apparatuur en draadgebonden en draadloze verbindingen zijn, kunnen ze op alle plekken waar deze componenten te vinden zijn, worden toegepast. Kort samengevat: onverkende verbindingen kunnen verbonden zijn met elk type component. Ook kunnen onverkende verbindingen verbonden worden met een onbeperkt aantal componenten.
Apparatuurcomponenten staan voor alle overige fysieke onderdelen van telecommunicatienetwerken, zoals switches, exchanges, routers, versterkers, radiozendapparatuur enzovoorts. Een apparatuurcomponent kan staan voor een enkel apparaat of voor een volledige installatie.
Elke apparatuurcomponent moet tenminste verbonden zijn met één andere component. Een apparatuurcomponent kan niet direct verbonden zijn met een andere component van het type ‘apparatuur’.
Onderstaand schema toont een voorbeeld van een correct diagram van een telecommunicatiedienst. Het diagram toont drie actoren die met elkaar bellen. Twee actoren zijn verbonden met dezelfde private exchange (PABX), de derde actor is in het buitenland. Eén actor gebruikt een draadloze DECT handset en base station, de anderen vaste handsets. We weten (nog) niets van de andere onderdelen van het netwerk, anders dan dat er ergens een PABX moet zijn en een soort van internationaal telefoonnetwerk om de gesprekken mogelijk te maken.
Definieer een gezamenlijk doel en grenzen aan het onderzoek
Voordat het onderzoek van start gaat, moet de reikwijdte duidelijk worden gemaakt aan de analisten en de sponsor. De verantwoordelijkheden en taken van de doelorganisatie moeten gedetailleerd worden beschreven. Ook moet de positie van de organisatie binnen het bredere systeem van leveranciers, klanten en belanghebbenden uiteen worden gezet.
In Stap 1 zult u de informatie verzamelen die u in de andere stappen nodig hebt. Het resultaat is een rapportage, en toestemming van de sponsor om verder te gaan.
De opstart- en voorbereidingsstap omvat de volgende stappen:
Maak een lijst van alle telecommunicatiediensten die de doelorganisatie in gebruik heeft. Dit moet een uitputtende lijst zijn. Als een dienst per ongeluk overgeslagen wordt, zal er geen risicobeoordeling op plaatsvinden en kunnen afhankelijkheden tussen deze en andere diensten niet ontdekt worden. Als gevolg daarvan, kunnen beslissingnemers onnodige of ineffectieve tegenmaatregelen treffen of noodzakelijke tegenmaatregelen over het hoofd zien.
Bij het maken van de lijst met telecommunicatiediensten zijn de volgende informatiebronnen misschien nuttig:
Beschrijf in het kort elke telecommunicatiedienst. Het is in deze stap nog niet nodig om de technische implementatie te omschrijven, maar als er informatie beschikbaar is over zaken als handsets, terminals of verbindingen, dan moet deze wel meegenomen worden in de beschrijving.
Als een telecommunicatiedienst dient als een back-up voor een andere telecommunicatiedienst, of wanneer de dienst zelf een terugval-mechanisme heeft, dan moet dat ook beschreven worden.
De beschrijvingen moeten ook altijd het belang van de dienst voor de werkzaamheden van de organisatie omvatten. Of te wel: is een dienst noodzakelijk of slechts handig om erbij te hebben?
Het is in deze stap ook zinvol om te beginnen met opstellen van een lijst van afkortingen en verklarende woorden waarvan de betekenis niet voor alle analisten of de sponsor helder zijn.
Maak voor elke telecommunicatiedienst een lijst van alle actoren die er gebruik van zouden kunnen maken. Hoofdactoren zijn leden van de doelorganisatie. Alle andere actoren zijn secundair. Actoren kunnen de partij zijn die het initiatief tot een communicatiesessie neemt (de bellende partij) of de ontvangende partij (de gebelde partij), of beide.
Maak een lijst van alle externe belanghebbenden van de doelorganisatie.
Actoren en externe belanghebbenden kunnen geïdentificeerd worden aan de hand van de zelfde informatiebronnen zoals die hierboven vermeld staan voor telecommunicatiediensten.
Alvorens de analyse van start kan gaan, moet het duidelijk zijn aan welke dreigingen de organisatie blootgesteld kan worden. Bijvoorbeeld, de interne brandweer die verantwoordelijk is voor de veiligheid van een chemische fabriek zal geconfronteerd worden met andere potentiële rampen dan een crisisteam dat zich bezighoudt met het beheersen van landbouwziekten. Laatstgenoemde zal waarschijnlijk niet geconfronteerd worden met een enorme vernieling van hardware. De dreigingen voor beide telecommunicatiediensten zullen daarom ook sterk van elkaar verschillen.
De dreigingen en hun mechanismen moeten zo gedetailleerd mogelijk worden beschreven. Rampscenario's omschrijven de dreigingen, hun effecten en mechanismen, hun waarschijnlijkheid en de vereiste respons van de doelorganisatie.
In Nederland worden infrastructuren zelden beschadigd door tornado’s. Meestal zal de dreiging van tornado’s daarom niet in de rampscenario’s voorkomen. Overstromingen door rivieren of de zee komen echter vaak voor, en zullen waarschijnlijk wel meegenomen worden.
Voor sommige onderzoeken zijn opzettelijk menselijk handelen (criminaliteit, terrorisme) van groot belang. In andere onderzoeken kan het voldoende zijn om alleen naar ongelukken te kijken. De reikwijdte van het onderzoek hoeft niet beperkt te zijn tot technische aspecten. Bij het beschrijven van een ramp zijn de effecten ervan op telecomcomponenten het belangrijkste aspect. Om de reacties van het grote publiek beter te kunnen begrijpen, kan het zinvol zijn om een paar expliciete beschrijvingen op te nemen van gebeurtenissen die door burgers kunnen worden ervaren of waarover door de media gepubliceerd kan worden. Dit kan tijdens de risico-evaluatiestap helpen bij het beoordelen van de maatschappelijke risicofactoren.
Het is mogelijk om rampscenario's uit eerdere beoordelingen te hergebruiken om zo de hoeveelheid werk te beperken.
De resultaten uit Stap 1 moeten worden vastgelegd omdat de analisten hiernaar moeten kunnen verwijzen in de volgende stappen.
Hieronder volgt een algemene opzet voor een document dat de uitkomst voor de opstart- en voorbereidingsstap beschrijft. Deze rapportage vormt de inleiding voor het eindrapport.
Alle analisten dienen mee te doen aan een review van het Stap 1 rapport. Over de inhoud ervan moet consensus bestaan.
Het Stap 1 rapport moet vervolgens worden gepresenteerd en besproken met de sponsor. De lijst met telecommunicatiediensten kan onverwachte diensten bevatten. Het opduiken van dergelijke onverwachte diensten is interessant omdat het een indicatie kan zijn van het feit dat de risicobeoordeling en de voorbereiding van de doelorganisatie onvoldoende is, en dat rampenplannen niet compleet zijn.
De resultaten van de Opstart- en Voorbereidingsstap bepalen in hoge mate het verloop van de risicobeoordeling in de latere stappen. Het is daarom belangrijk dat de sponsor ook akkoord gaat met de uitkomsten van deze en formeel instemt met de opgeleverde documentatie. Een consequentie is wel dat de documenten begrijpelijk moeten zijn voor niet-ingewijden. Een verklarende woordenlijst kan daarom nuttig zijn. Ook moet er een managementsamenvatting worden geschreven.
Beschrijf telecomnetwerken en analyseer kwetsbaarheden van componenten.
In deze stap zult u voor elke telecommunicatiedienst een diagram tekenen, en beoordeelt u de kwetsbaarheden van elke component van de betreffende dienst. Hierdoor krijgt u een goed inzicht in het functioneren van elke telecommunicatiedienst en krijgt u een eerste indruk van de bijbehorende risico's.
Het resultaat wordt vastgelegd in de Raster applicatie: diagrammen van telecomdiensten en de beoordeling van de waarschijnlijkheid en effecten van de kwetsbaarheden van diagramcomponenten.
De stap van de analyse van enkele foutoorzaken bestaat uit de volgende stappen:
Op basis van de rampscenario's uit Stap 1, moet u de meest voorkomende kwetsbaarheden van netwerkcomponenten beschrijven. Hiervoor worden checklists gebruikt. Een checklist bevat de naam en de beschrijving van de meest voorkomende kwetsbaarheden. Een goede checklist bespoedigt en vereenvoudigt het analyseproces.
Maak een nieuw Raster project aan (zie Projecten werkbalk) en bekijk de voorgedefinieerde checklist voor elk type netwerkcomponent (zie Sjablonen). Voeg zo nodig nieuwe kwetsbaarheden toe. Neem kwetsbaarheden op die het meest van toepassing zijn op dit type component en laat kwetsbaarheden achterwege die slechts beperkt voorkomen. De checklists hoeven niet compleet te zijn; elke netwerkcomponent kan eigen kwetsbaarheden hebben die niet in de checklist voorkomen. Als de meest voorkomende kwetsbaarheden al zijn opgenomen in de checklist, dan hoeven nog maar weinig uitzonderingen te worden meegenomen.
Kwetsbaarheden kunnen natuurlijk of kwaadaardig zijn. Natuurlijke kwetsbaarheden zijn onvoorspelbare willekeurige gebeurtenissen, die soms veroorzaakt worden door onoplettendheid of andere niet-opzettelijke menselijke acties. Voorbeelden zijn brand, stroomuitval of apparatuur-defecten. Kwaadaardige gebeurtenissen gebeuren met boze opzet door mensen met het opzettelijke doel om schade te veroorzaken. Vaak misbruiken ze zwakheden in de beveiliging. Voorbeelden zijn diefstal en cyber-crime. Natuurlijke en kwaadaardige kwetsbaarheden verschillen de hun frequentie en gevolgen.
Er zijn drie checklists: één voor apparatuur, draadgebonden en draadloze verbindingen. Voor actorcomponenten bestaat er geen checklist. Kwetsbaarheden bij actoren vallen buiten de reikwijdte van de Raster methode. Er is ook geen aparte checklist voor onverkende verbindingen. Deze kunnen namelijk bestaan uit een mix van de drie andere componenttypen en kunnen daarom alle kwetsbaarheden uit de bijbehorende checklists bevatten.
De kwetsbaarheden van actoren worden buiten beschouwing gelaten. Voorbeeld: in Raster wordt het door een actor verkeerd begrijpen van een ontvangen boodschap niet opgenomen, maar configuratiefouten, het verkeerd gebruik van handsets of cybercriminaliteit kunnen wel worden meegenomen. Dit soort kwetsbaarheden vormen in Raster een onderdeel van de apparatuurcomponenten en niet van de actor die ervoor verantwoordelijk is. Onderhoudspersoneel zijn geen actoren in de diagrammen.
Maak voor elke telecommunicatiedienst een diagramtab in de Raster applicatie (zie Diensten-tabbladen). Als twee diensten veel overlap vertonen in onderliggende technische componenten, kan het handiger zijn om die twee in één diagram te combineren. Dat voorkomt dat dezelfde componenten in meerdere diagrammen voorkomen, maar maakt dat diagram wel complexer en minder overzichtelijk.
Voorbeeld: als het interne kantoornetwerk ook gebruikt wordt voor VoIP telefonie, is het handiger om telefonie en kantoorautomatisering in één diagram te combineren.
Teken vervolgens, op basis van de informatie die op dat moment beschikbaar is, voor elke telecomdienst een eerste versie van het diagram. De diagrammen zullen naar alle waarschijnlijkheid nog niet al te gedetailleerd zijn, maar in ieder geval moeten alle bij de dienst betrokken actoren getekend worden. Het is altijd mogelijk om een diagram te tekenen, ook als er los van de betrokken actoren, helemaal geen informatie beschikbaar is. In dat geval kunnen de actoren verbonden worden met een onverkende verbinding (‘wolk’ symbool). Het tekenen en redigeren van de diagrammen met behulp van de Raster applicatie, wordt uitgelegd in Werkblad.
De volgende richtlijnen kunnen worden gehanteerd bij het maken van diagrammen:
Deze activiteit moet voor elke component worden uitgevoerd. Iedere stap wordt er één component gekozen voor nadere analyse.
Bekijk per component de lijst met kwetsbaarheden. Er kunnen andere kwetsbaarheden bestaan die niet in de algemene checklist staan. Deze kwetsbaarheden moeten nog worden toegevoegd. De rampscenario's die in Stap 1 zijn gemaakt, dienen als richtlijn bij het besluit om eventuele kwetsbaarheden toe te voegen.
Voorbeeld: telecommunicatiesatellieten zijn kwetsbaarheid voor ruimteafval. Deze kwetsbaarheid doet zich niet voor bij andere vormen van apparatuur en staat daarom ook niet op de apparatuur checklist. Anderzijds zijn satellieten niet kwetsbaar voor overstromingen. Om die reden moet ‘Botsing met ruimteafval’ worden toegevoegd en ‘Overstroming’ worden verwijderd.
Een kwetsbaarheid mag niet verwijderd worden tenzij ze duidelijk onzinnig is. Een configuratiefout op een apparaat waar niets aan te configureren valt bijvoorbeeld, of waterschade bij een ruimtesatelliet. Om een kwetsbaarheid te kunnen verwijderen, moet ze fysiek onmogelijk zijn en dus niet alleen praktisch onwaarschijnlijk. In alle andere gevallen moet de waarschijnlijkheid en de effecten van de kwetsbaarheid worden beoordeeld (hoewel ze beide als extreem laag kunnen worden bepaald). De kwetsbaarheid moet onderdeel zijn van de review in aan het einde van Stap 2.
Als een kwetsbaarheid is verwijderd, zal die component ook niet meer getoond worden in de lijst onder gedeelde foutoorzaken. Ook dat is een reden om kwetsbaarheden niet te verwijderen.
Het is van belang om kwetsbaarheden die hoogst onwaarschijnlijk zijn maar niet fysiek onmogelijk voor de analyse te behouden omdat dit soort kwetsbaarheden een extreme groot effect kunnen hebben. Gebeurtenissen van het type geringe waarschijnlijkheid / groot effect moeten niet buiten beschouwing blijven bij de risicoanalyse.
Als de lijst met kwetsbaarheden compleet is, moeten alle kwetsbaarheden worden beoordeeld. De analisten moeten op basis van hun gezamenlijke kennis de volgende twee factoren inschatten:
De factoren Frequentie en Impact zijn in acht klassen onderverdeeld. Een klasse betekent niet een getalsmatig bereik (een hoogst en laagst mogelijke waarde), maar beschrijft een kenmerkende eigenschap van deze klasse. De keuze voor de juiste klassen vereist wellicht enige discussie onder de analisten. De analisten moeten overtuigende argumenten aanvoeren voor de keuze van een klasse.
Soms is een factor (de Frequentie of de Impact) extreem groot of extreem klein. Extreem hoge waarden zijn niet gewoon heel erg groot, maar zo groot dat ze niet binnen de normale schaal passen; ze zijn onaanvaardbaar en ontoelaatbaar hoog. Hetzelfde geldt voor waarden die zo extreem laag zijn dat ze buiten de schaal van normale waarden vallen en daarom soms probleemloos genegeerd kunnen worden. Extreme waarden vallen buiten de normale ervaringen van de analisten en de andere belanghebbenden waardoor er geen normale redeneertrant op toe te passen valt.
Als er tussen de analisten geen consensus kan worden bereikt, dan kan de klasse ‘Tegenstrijdig’ worden gebruikt. In het opmerkingenveld zouden de analisten kort moeten uitleggen wat de oorzaak van het meningsverschil is en welke klassen de verschillende analisten zelf zouden hebben gekozen.
Een beperkte hoeveelheid onzekerheid is onvermijdelijk en hoort ook bij een risicobeoordeling. Maar als de onzekerheid zo groot wordt dat er meerdere klassen aan een factor toegekend kunnen worden, dan moet gekozen worden voor de klasse ‘Onbekend’.
De Raster applicatie ondersteunt bij het vastleggen van de resultaten uit de analyse. De applicatie berekent ook automatisch de gecombineerde kwetsbaarheidsscore voor elke kwetsbaarheid en het totale kwetsbaarheidsniveau voor elke component (zie Venster met kwetsbaarheidsbeoordelingen en Enkele foutenscherm; voor de technische details zie Berekening van kwetsbaarheidsniveaus).
Vaar niet blind op uw eerste inschatting van de Frequentie en de Impact. U moet vertrouwen op de informatie die uw inschatting bevestigen, maar ook actief zoeken naar bewijs van het tegendeel.
Voor natuurlijke kwetsbaarheden geeft de factor Frequentie de waarschijnlijkheid aan waarmee de kwetsbaarheid tot een incident zal leiden met gevolgen voor de telecommunicatiedienst. Alle 8 klassen kunnen worden gebruikt voor Frequentie (zie de Frequentietabel).
Een Frequentie van ‘Eens in de 50 jaar’ is een gemiddelde en betekent niet dat er gegarandeerd elke 50 jaar een incident plaatsvindt. Het kan als volgt geïnterpreteerd worden:
Als de levensduur van een component 5 jaar is (of als de component elke 5 jaar wordt vervangen), dan nog kan de Frequentie van de kwetsbaarheid ‘eens in de 500 jaar’ zijn.
Voorbeeld: een component wordt altijd na een jaar vervangen, ook als het nog steeds werkt. Gemiddeld valt 10% van de componenten uit voor dat jaar voorbij is. De algemene waarschijnlijkheid voor deze uitval wordt daarom geschat op ‘eens in de 10 jaar’ ook al wordt een component nooit zo lang gebruikt.
Deze waarde ligt tussen de kenmerkende waarden voor Hoog en Matig. De analisten moeten samen besluiten welke van deze twee klassen wordt toegekend.
| Klasse | Waarde | Symbool |
|---|---|---|
| Hoog | Eens in de 5 jaar. Bij 100 identieke componenten zullen er elke maand 1 of 2 incidenten plaatsvinden. |
H |
| Matig | Eens in de 50 jaar. Bij 100 identieke componenten zullen er elk jaar 2 incidenten plaatsvinden. |
M |
| Laag | Eens in de 500 jaar. Bij 100 identieke componenten zal er eens in de 5 jaar een incident plaatsvinden. |
L |
| Extreem hoog | Normale gang van zaken. Zeer vaak. | V |
| Extreem laag | Zeer zeldzaam, maar niet fysiek onmogelijk. | U |
| Tegenstrijdig | Geeft aan dat er onder de analisten een gebrek aan consensus is. | A |
| Onbekend | Geeft aan dat er een gebrek aan kennis of informatie is. | X |
| Nog niet geanalyseerd | Standaardinstelling. Geeft aan dat er nog geen beoordeling gedaan is. | – |
De waarschijnlijkheid van natuurlijke kwetsbaarheden is een kansberekening, en wordt beschreven als een frequentie. Maar de waarschijnlijkheid van kwaadaardige kwetsbaarheden is afhankelijk van zowel de moeilijkheidsgraad van de actie als van het doorzettingsvermogen en de vaardigheden van de aanvaller. Een aanval die bescheiden vaardigheden vereist ligt wellicht al buiten de mogelijkheden van een gewone klant of medewerker. Anderzijds, een aanval met een hoge moeilijkheidsgraad light ruim binnen de mogelijkheden van ervaren staats-hackers. De Raster methode gaat uit van de meest ervaren aanvaller voor een organisatie, de ergst denkbare aanvaller
| Klanten, medewerkers | Geen vaardigheden, lichte gemotiveerd door gelegenheid or mild protest (b.v. vermeend oneerlijke behandeling). |
| Activisten | Bescheiden vaardigheden, gericht op media aandacht voor hun doel of protest. Merkbare schade. |
| Criminelen | Hoge vaardigheden, gemotiveerd door financieel gewin (b.v. ransomware). |
| Concurrenten | Hoge vaardigheden, gericht op verkrijgen van bedrijfsgeheimen voor concurrentievoordeel. Merkbare schade vermeden. |
| Staats-hackers | Hoogste vaardigheden, gemotiveerd door geo-politiek voordeel. Merkbare schade vermeden. |
In de Raster methode bepaalt u de ergst denkbare aanvaller als onderdeel van de projecteigenschappen. Omdat dit een eigenschap is voor het project als geheel, hoeft u alleen de passende moeilijkheidsgraad voor het misbruik te kiezen, volgens de tabel hieronder.
| Class | Value |
|---|---|
| Zeer moeilijk | Misbruik verg vaardigheid, aangepaste aanvalstools, lange voorbereidingstijd en meerdere zwakheden en zero-days. |
| Moeilijk | Misbruik verg vaardigheid, aangepaste aanvalstools en lange voorbereidingstijd. |
| Eenvoudig | Er zijn tools beschikbaar om het misbruik uit te voeren. Basisvaardigheden noodzakelijk. |
| Triviaal | Vergt geheel geen vaardigheid of hulpmiddelen. |
| Vrijwel onmogelijk | Misbruik kan in theorie mogelijk zijn, maar de consensus is dat misbruik niet praktisch uitvoerbaar is. |
| Ambiguous | Geeft aan dat er onder de analisten een gebrek aan consensus is. |
| Unknown | Geeft aan dat er een gebrek aan kennis of informatie is. |
| Not yet analysed | Standaardinstelling. Geeft aan dat er nog geen beoordeling gedaan is. |
Doorloop de volgende 3 stappen om de factor Frequentie te bepalen:
Bepaal de klasse die in het algemeen toepasbaar is op dit type component.
Dit kan gebaseerd zijn op, bijvoorbeeld, ervaringen uit het verleden of op expertise. Indien beschikbaar, zouden ook MTBF-cijfers (‘Mean Time Between Failures’. de gemiddelde tijd dat een dienst zonder onderbreking zijn afgesproken functie kan uitvoeren) moeten worden gebruikt, of anders uitvalpercentages.
Bedenk waarom deze specifieke component een hogere of lagere Frequentie moet hebben dan gebruikelijk.
Bestaande tegenmaatregelen maken de waarschijnlijkheid lager dan gebruikelijk. Als een organisatie, bij voorbeeld, al een generator klaar heeft staan die aanslaat zodra de stroom uitvalt, dan wordt de waarschijnlijkheid van incidenten door stroomuitval daardoor teruggebracht. Onthoud dat de factor Frequentie niet gaat over de waarschijnlijkheid dat de kwetsbaarheid optreedt, maar over de waarschijnlijkheid dat de kwetsbaarheid zal leiden tot een incident.
Bij sommige componenten kan door bewaking uitval worden ontdekt voordat deze daadwerkelijk plaatsvindt. Dit zal ook de waarschijnlijkheid van incidenten doen afnemen. Een ander voorbeeld is het gebruik van hoogwaardige componenten, of van beveiligde en bewaakte apparatuurruimten. Al deze maatregelen maken incidenten onwaarschijnlijker.
De rampscenario's kunnen een aanwijzing zijn dat de waarschijnlijkheid groter is dan gebruikelijk. In crisissituaties is het vaak waarschijnlijker dat een incident zich zal voordoen. Stroomuitval komt bijvoorbeeld niet veel voor, maar is veel waarschijnlijker tijdens overstromingen. Deze rampen komen vrij weinig voor. De algehele waarschijnlijkheid wordt daarom bepaald door:
Bepaal de Frequentie-klasse per component.
Meestal zullen Laag, Matig of Hoog worden gebruikt. Als geen van deze de klassen op een juiste manier de waarschijnlijkheid weergeeft, dan kan een van de extreme klassen worden gebruikt. Als er geen van deze klassen met consensus kan worden toegekend, dan moet er gebruik gemaakt worden van ‘Tegenstrijdig’ of ‘Onbekend’.
De factor Impact geeft de ernst van het effect aan wanneer een kwetsbaarheid tot een incident leidt. Deze ernst is het effect op de dienst in het geheel, en dus niet alleen op de component die de kwetsbaarheid ervoer. Een stroomuitval zal bijvoorbeeld ervoor zorgen dat apparatuur tijdelijk niet meer werkt. Dat is normaal en op zichzelf nauwelijks relevant, tenzij dit van invloed is op de beschikbaarheid van de telecommunicatiedienst. De stroomuitval kan ertoe leiden dat de dienst uitvalt (als de apparatuur essentieel is), maar kan net zo goed helemaal geen gevolgen hebben (als de apparatuur een back-up voorziening heeft). Of iets daartussen.
In deze stap moet alleen rekening worden gehouden met de effecten op de telecommunicatiediensten. Verlies van handel, boetes en andere vormen van schade worden buiten beschouwing gelaten, maar kunnen wel van belang zijn voor de risico-evaluatie (zie Beoordeel maatschappelijke risicofactoren).
Schade kan worden veroorzaakt door een incident waardoor ook andere componenten getroffen worden. Een kabel kan bijvoorbeeld beschadigd worden door een aardbeving; dezelfde aardbeving zal waarschijnlijkheid ook tot schade aan andere componenten leiden. Maar deze extra schade moet niet meegenomen worden. Alleen de schade aan de component zelf bepaalt de Impact. In de volgende stap, over gedeelde foutoorzaken, wordt wel gekeken naar incidenten die tot meervoudige uitval leiden.
De Impact van een kwetsbaarheid op een component bestrijkt:
Alle 8 klassen kunnen gebruikt worden voor de Impact. Kenmerkende waarden voor de klassen hoog, matig en laag vindt u in de Impacttabel.
Gebruik de volgende stappen om de factor Impact te bepalen:
Kies de Impact-klasse die in het algemeen van toepassing is op de Impact van het incident.
Bedenk redenen waarom de Impact groter of kleiner zou zijn dan uit de eerste beoordeling naar voren kwam.
Bestaande redundantie kan het effect terugbrengen of opheffen. Een telecommunicatiedienst kan zo ontworpen zijn dat wanneer een draadloze verbinding uitvalt, een back-up kabelverbinding in werking treedt. Het effect van de uitval van de draadloze verbinding is daardoor afgenomen.
Een automatisch alarm en bewaking kunnen het effect van incidenten beperken. Als incidenten snel opgepikt worden, kunnen herstelwerkzaamheden sneller worden uitgevoerd. Het op voorraad hebben van reserveonderdelen, het hebben van een goed opgeleid reparatieteam en het regelmatig doen van oefeningen dragen alle bij aan het verlagen van het effect van uitval en moeten dan ook in de beoordeling meegenomen worden. Anderzijds, kan de afwezigheid van dergelijke maatregelen het effect van een incident juist vergroten.
Bepaal de Impact-klasse.
Meestal zullen Laag, Matig of Hoog worden gebruikt. Als geen van deze de klassen het effect op een juiste manier weergeeft, dan kan een van de extreme klassen worden gebruikt. Als er geen van deze klassen met consensus kan worden toegekend, dan moet er gebruik gemaakt worden van ‘Tegenstrijdig’ of ‘Onbekend’.
| Klasse | Waarde | Symbool |
|---|---|---|
| Hoog | Gedeeltelijk onbeschikbaar, indien niet te repareren. Totale onbeschikbaarheid, indien het langdurig is. |
H |
| Matig | Gedeeltelijk onbeschikbaar, indien te repareren (op de korte of lange termijn). Totale onbeschikbaarheid, indien van korte duur. |
M |
| Laag | Waarneembare achteruitgang, te repareren (op de korte of lange termijn) of niet te repareren. | L |
| Extreem hoog | Zeer langdurende of niet te repareren onbeschikbaarheid | V |
| Extreem laag | Geen waarneembare gevolgen, of geen getroffen actoren. | U |
| Tegenstrijdig | Geeft aan dat er onder de analisten een gebrek aan consensus is. | A |
| Onbekend | Geeft aan dat er een gebrek aan kennis of informatie is. | X |
| Nog niet geanalyseerd | Standaardinstelling. Geeft aan dat er nog geen beoordeling gedaan is. | – |
Het maakt bij de keuze van een Impact-klasse normaalgesproken niet uit of één actor getroffen is, of dat het er meerdere zijn. Alle actoren zijn belangrijk, anders zouden ze niet in het diagram staan. Als de analisten het eens zijn dat slechts een klein aantal actoren getroffen is, dan kunnen ze een lagere klasse kiezen (bijvoorbeeld Laag in plaats van Matig).
De betekenis van ‘korte termijn’ en ‘lange termijn’ hangt af van de taken activiteiten van de actoren. Een uitval van twee minuten is kort voor vaste telefonie maar lang voor een ‘realtime’ op afstand besturen van drones en robots.
‘Degradatie’ betekent dat actoren een achteruitgang in dienstverlening merken (bijvoorbeeld ruis tijdens telefoongesprekken, ongebruikelijke vertraging in de verzending van e-mailberichten), maar niet in die mate dat de uitvoering van taken of verantwoordelijkheden wordt gehinderd.
‘Gedeeltelijke onbeschikbaarheid’ is een ernstige vorm van degradatie of onbeschikbaarheid van bepaalde onderdelen van de dienst zodat actoren hun taken of verantwoordelijkheden niet goed kunnen uitvoeren. Bijvoorbeeld: e-mail kan alleen intern verzonden worden, door ruis zijn telefoongesprekken nauwelijks te verstaan, mobiele data is onbeschikbaar maar mobiele gesprekken en SMS zijn niet getroffen. Actoren kunnen nog steeds een deel van hun taken uitvoeren, maar andere taken zijn onmogelijk of kosten meer moeite.
‘Totale onbeschikbaarheid’ betekent dat actoren geen van hun taken of verantwoordelijkheden goed kunnen uitvoeren met de telecommunicatiedienst (er kan bijvoorbeeld wel gebeld worden maar gesprekken zijn volstrekt onverstaanbaar vanwege de slechte kwaliteit van de verbinding).
‘Extreem hoog’ betekent dat als het incident optreedt de schade zo groot is dat een volledig herontwerp van de telecommunicatiedienst noodzakelijk is, of de dienst moet worden beëindigd en vervangen omdat reparatie niet doenlijk is.
Het totale kwetsbaarheidsniveau van een component wordt bepaald door de ergste kwetsbaarheid van die component. Als sommige kwetsbaarheden niet zijn beoordeeld (de Frequentie en de Impact zijn niet bepaald), dan zullen ze ook niet bijdragen aan het totale kwetsbaarheidsniveau. Het kan dus tijd schelen om de beoordeling van onbelangrijke kwetsbaarheden links te laten liggen.
Het is van groot belang om alle kwetsbaarheden met een Hoge en Extreem Hoge Impact volledig te beoordelen. Dit geldt ook als de Frequentie laag is.
Als een onverkende verbinding een kwetsbaarheidsniveau van Tegenstrijdig of Onbekend heeft, moeten de analisten bepalen of ze de component verder uitwerken of niet. Uitwerken betekent dat de interne opbouw van de component wordt onderzocht; de onverkende verbinding wordt uit het diagram verwijderd en de verschillende onderdelen ervan worden als separate componenten aan het diagram toegevoegd, als nieuwe draadgebonden en draadloze verbindingen en apparatuur, wellicht met nieuwe onverkende verbindingen. Uitwerking resulteert in een gedetailleerder model en leidt tot extra diagramcomponenten. De kwetsbaarheden van deze nieuwe componenten moeten ook worden geanalyseerd, net als bij de andere diagramcomponenten.
Het is niet altijd nodig om onverkende verbindingen verder uit te werken. Als de analisten denken dat de moeite die erin gestoken moet worden te groot is of niet tot een nauwkeuriger of meer verhelderend resultaat leidt, dan kan verdere uitwerking achterwege blijven.
Nadat alle componenten zijn geanalyseerd, moet er een review plaatsvinden. Alle analisten moeten deelnemen aan deze review. Het doel van deze review is om fouten en inconsistenties te signaleren en om te bepalen of de analyse van enkele foutoorzaken afgesloten kan worden.
Als een van de componenten een kwetsbaarheidsniveau van ‘Tegenstrijdig’ of ‘Onbekend’ heeft, dan moeten de analisten bepalen of er verder onderzoek gedaan moet worden om de kwetsbaarheden in de component beter te kunnen beoordelen. Als de analisten denken dat de moeite die erin gestoken moet worden te groot is of niet tot een nauwkeuriger of meer verhelderend resultaat leidt, dan kunnen ze de component zo laten.
Als de analisten besluiten om een deel van de analyse van enkele foutoorzaken over te doen, dan moeten ze afloop ook opnieuw een review doen. Deze review kan achterwege blijven als analisten van mening zijn dat het alleen om kleine veranderingen gaat.
Bepaal en analyseer gedeelde foutoorzaken.
Een gedeelde foutoorzaak is een gebeurtenis die leidt tot de gelijktijdige uitval van twee of meer componenten. Een voorbeeld: twee kabels in dezelfde buis kunnen beide worden doorgesneden in een en hetzelfde incident, meerdere apparaten kunnen verwoest worden tijdens een brand.
Om een gedeelde foutoorzaak te hebben, moeten de getroffen componenten voldoende dichtbij zijn, gemeten naar een kenmerkende eigenschap. Voor fysieke uitval zoals brand of overstromingen, is die eigenschap geografische nabijheid; de componenten moeten dicht genoeg bij elkaar staan om gelijktijdig getroffen te kunnen worden. Voor configuratiefouten zit de gezamenlijkheid in onderhoudsprocedures. Voor softwarefouten kan het zijn dat verwante versies van bepaalde firmware is gebruikt, en dat staat los van de geografische afstand. Andere gebeurtenissen kunnen andere kritische eigenschappen hebben.
Voor ieder uitvalscenario geldt dat elke kenmerkende eigenschap een maximale afstand heeft om effect te kunnen hebben. Twee apparaten kunnen alleen getroffen worden door een kleine brand als ze beide in dezelfde kamer staan; voor een grote brand is de afstand om effect te kunnen hebben groter, maar nog altijd beperkt tot wellicht een gebouw. Een overstroming heeft op een veel groter effectgebied en twee componenten moeten dan ook verder van elkaar af staan om immuun te zijn voor een overstroming als gedeelde foutoorzaak.
In stap drie zult u groepen maken van componenten binnen hetzelfde bereik van een kenmerkende eigenschap. U doet dit voor elke kwetsbaarheid op zich. Van elk cluster beoordeelt u vervolgens de Frequentie en de Impact van een gedeelde foutoorzaak op de componenten in dat cluster. De clusters en de bijbehorende beoordelingen worden vastgelegd in de Raster applicatie. Het eindresultaat is een verbeterde en verfijnde risicobeoordeling.
De analyse van gedeelde foutoorzaken bestaat uit de volgende stappen:
De Raster applicatie maakt automatisch een lijst aan van alle gebruikte kwetsbaarheden, mits de kwetsbaarheid voorkomt bij tenminste twee componenten. Voor elke kwetsbaarheid moeten de analisten clusters maken op basis van de kenmerkende eigenschap.
Voorbeeld: clusters op basis van geografische nabijheid kunnen worden gebruikt bij branden, overstromingen, stroomuitval, kabelbreuken en radio jamming (per frequentieband).
Clusters op basis van organisatorische grenzen kunnen worden gebruikt voor de configuratie van apparatuur, veroudering en softwarefouten. In eerste instantie plaatst de Raster applicatie alle componenten met een zelfde kwetsbaarheid in één cluster. Op basis van het bereik van het uitvalsscenario kunnen verdere onderverdelingen gemaakt worden zodat:
Het is mogelijk dat er in een groot cluster een kleiner cluster is opgenomen. Clusters kunnen dus genest zijn. Alle componenten binnen een subcluster zijn ook onderdeel van het hoofdcluster.
Een voorbeeld, de figuur rechts verbeeldt een kantoorplattegrond met twee ruimtes voor apparatuur. Er zijn drie clusters mogelijk:
Cluster 3 bevat subclusters 1 en 2. Zie hoe elk cluster specifiek betrekking heeft op een bepaalde kwetsbaarheid (brand) en scenario's heeft met hetzelfde locatie- en effectgebied.
De Raster applicatie maakt clusters in het Gedeelde foutenscherm.
Om een cluster te kunnen analyseren moeten de factoren Frequentie en Impact worden beoordeeld. Dit wordt op soortgelijke manier gedaan als bij enkele foutoorzaken (zie Analyseer de kwetsbaarheden van componenten).
In deze stap is de factor Frequentie een weergave van de waarschijnlijkheid dat twee of meer componenten binnen een cluster getroffen worden door het uitvalsscenario. Het is dus niet vereist dat alle componenten in het cluster getroffen worden. Een Impact-klasse is van toepassing als het uitvalsscenario leidt tot een incident dat één of meer telecomdiensten raakt. Bijvoorbeeld: als drie componenten in een cluster gezamenlijk uitvallen en daardoor één telecomdienst langdurig geheel onbeschikbaar raakt, dan is de Impact klasse Hoog van toepassing op dat cluster.
De Raster applicatie zal automatisch het kwetsbaarheidsniveau berekenen van eventuele hoofdclusters, met inbegrip van de kwetsbaarheid op het hoogste niveau.
Als een cluster dat onverkende verbindingen bevat een totaal kwetsbaarheidsniveau van Onbekend of Tegenstrijdig heeft, moeten de analisten bepalen of ze deze onverkende verbindingen verder uitwerken of niet. Dit is in analogie met de uitwerking in de stap van enkele foutoorzaken (zie Werk onverkende verbindingen uit).
Het is niet altijd nodig om onverkende verbindingen verder uit te werken. Als de analisten denken dat de moeite die erin gestoken moet worden te groot is of niet tot een nauwkeuriger of meer verhelderend resultaat leidt, dan kan verdere uitwerking achterwege blijven.
Een verdere uitwerking leidt tot toevoeging van nieuwe componenten aan het diagram. Deze nieuwe componenten moeten worden geanalyseerd op enkele foutoorzaken. Dit betekent dat Stap 2 opnieuw moet worden uitgevoerd voor deze componenten. Het betekent ook dat sommige clusters nieuwe componenten krijgen. Ook de analyse van deze clusters moet dan worden herzien.
Tijdens de laatste review moeten de analisten de uitkomsten van de analyses van enkele en gedeelde foutoorzaken bespreken. Er moet speciale aandacht zijn voor de consistentie van de beoordelingen. De volgende stap kan alleen gestart worden als alle analisten het eens zijn over de resultaten van de analyses.
Als een cluster een kwetsbaarheidsniveau heeft van Tegenstrijdig of Onbekend, dan moeten de analisten bepalen of ze verder onderzoek gaan doen om de gedeelde foutoorzaken met meer zekerheid te kunnen beoordelen. Als de analisten denken dat de moeite die erin gestoken moet worden te groot is of niet tot een nauwkeuriger of meer verhelderend resultaat leidt, dan kan verdere uitwerking achterwege blijven.
Als de analisten besluiten om een aanzienlijk deel van de analyse van gedeelde foutoorzaken over te doen, dan moet er na afloop een nieuwe review plaatsvinden.
Prioriteer en evalueer risico's. Stel aanbevelingen voor behandeling op.
Als alle enkele en gedeelde foutoorzaken geanalyseerd zijn, kan er een lijst met ernstigste risico's gemaakt worden. De Raster applicatie ondersteunt de eerste pogingen tijdens deze stap. Snelle verbeteringen worden automatisch vastgesteld en het is zelfs mogelijk een eenvoudige ‘wat als’ analyse uit te voeren.
In deze stap beoordeelt u welke risico's u te groot acht. U schrijft de argumenten bij uw keuze op en u doet voorstellen om de risico's te behandelen. U neemt daarbij zowel uw eigen beoordeling van de kwetsbaarheden die van invloed zijn op de beschikbaarheid van telecommunicatiediensten in overweging als ook de door u verwachtte reacties van andere belanghebbenden op de aanpak. Dit leidt tot een rapport voor de sponsor waarin de aanbevelingen staan beschreven, uitgelegd en gerechtvaardigd. De risico-evaluatie stap bestaat uit de volgende stappen:
Op basis van de informatie uit de Raster applicatie (zie Analysescherm) wordt een groslijst samengesteld met de ernstigste risico's. Deze risico's zijn:
Het is aan de analisten om te beoordelen welke risico's ernstig genoeg zijn om op de groslijst geplaatst te worden. De lijst moet in ieder geval wel de snelle verbeteringen uit de Raster applicatie (zie Foutoorzaken en kwetsbaarheden) bevatten. Snelle verbeteringen zijn kwetsbaarheden die bepalend zijn voor de totale kwetsbaarheid van een component. Door de kwetsbaarheid daarvan te beperken, wordt automatisch ook de totale kwetsbaarheid teruggebracht.
Andere goede kandidaten voor de groslijst zijn de risico's die als Extreem hoog of Hoog zijn berekend, en de risico's die als Tegenstrijdig of Onbekend zijn berekend.
De groslijst moet vervolgens worden geprioriteerd. Prioritering vereist meer informatie dan beschikbaar is in de diagrammen en in de beoordeling van kwetsbaarheden. Informatie over besturingsrelaties tussen componenten, of informatie over redundantie is bijvoorbeeld niet terug te vinden in diagrammen, maar is van groot belang voor de prioritering. Ook zijn niet alle telecommunicatiediensten even belangrijk. Vandaar dat een risico dat als Hoog is geclassificeerd voor een dienst die wel nuttig is maar niet essentieel, lager op de lijst kan komen dan een risico dat als Matig geclassificeerd is voor een vitale dienst. De prioritering wordt verder beïnvloed door de vraag of een dienst als back-up dient voor een andere dienst of zelf een terugval optie heeft.
Alle analisten moeten gezamenlijk alle risico's op de groslijst bestuderen. Op basis van consensus wordt een risico hoger of lager op de lijst geplaatst, of zelfs verwijderd. Dit proces resulteert in een geprioriteerde shortlist van risico's waarover de analisten het eens zijn dat deze aangepakt moeten worden.
Het is niet aan de analisten om te bepalen hoe de risico's op de shortlist aangepakt gaan worden. De sponsor of beslissingnemer is verantwoordelijk voor deze beheersmaatregelen. Niettemin hebben de analisten wel de verantwoordelijkheid om hen op weg te helpen, en om daarbij een voorbehoud te maken voor de onzekerheid in hun beoordelingen en de beperkingen van hun kennis.
De analisten kunnen voor elk risico op de shortlist een aanbeveling voor behandeling doen. Het is onmogelijk om daar een procedure voor op te stellen omdat de juiste aanpak van een risico sterk afhankelijk is van het type dienst, de aard van het risico en de omstandigheden voor de doelorganisatie.
In het algemeen bestaan er vier opties om risico's te behandelen:
Vermijden. Verwijder het risico volledig ( proactie ), of stop met het gebruik van de component of dienst. Proactie betekent dat structurele oorzaken van ongelukken worden weggenomen zodat het risico niet meer kan optreden (bijvoorbeeld radio interferentie voorkomen door een draadloze verbinding door een draadgebonden verbinding te vervangen). Als een dienst in zijn geheel wordt beëindigd zal vaak een alternatieve dienst beschikbaar zijn. U moet ervoor opletten om niet een dienst met bekende risico's te vervangen door een met onbekende risico's.
Zelfs als er geen alternatief beschikbaar is kan het nog steeds waard zijn om beëindiging van de telecom dienst te overwegen als het risico niet vermeden kan worden. In plaats van een dienst te gebruiken die het op onverwachte momenten kan begeven kan het de voorkeur verdienen om die dienst in het geheel niet te gebruiken, en zo nare verrassingen te voorkomen op momenten dat dat niet uitkomt tijdens crisisbeheersing.
Verminderen. Maak het risico meer acceptabel, door of de waarschijnlijkheid (Frequentie) of de effecten (Impact) te verkleinen. Deze activiteiten beslaan preventie en preparatie. Preventie betekent het nemen van maatregelen vooraf die erop gericht zijn ongelukken minder waarschijnlijk te maken, en het effect te beperken in het geval dat incidenten toch optreden (bijvoorbeeld door een rookverbod in te stellen en brandvertragende materialen te gebruiken). Preparatie betekent ervoor zorgen dat de mogelijkheden bestaan om ongelukken en rampen te bestrijden in het geval dat zij daadwerkelijk optreden (bijvoorbeeld door regelmatig brandoefeningen te houden).
Overdragen. Geef het risico door aan een andere partij. Typische voorbeelden van risico-overdracht zijn verzekeringen en onderhoudscontracten waarin apparatuur direct wordt vervangen door onderdelen die in reserve worden gehouden. Risico-overdracht koopt in feite zekerheid, door onzekerheid over te dragen aan een andere partij in ruil voor betaling.
Accepteren. Behoud het risico, als een bewuste keuze. Redenen om risico's te accepteren kunnen zijn dat andere opties te kostbaar zouden zijn, dat de waarschijnlijkheid als erg laag wordt beoordeeld, of dat er geen geschikte alternatieven voor handen zijn. Het verdient altijd de voorkeur om bewust een risico te accepteren boven ermee geconfronteerd te worden.
| Angst | De mate van bezorgdheid en verontrusting. |
| Bekendheid | De mate waarin het risico als veelvoorkomend en bekend gezien wordt. |
| Betrokkenheid kinderen | De mate waarin kinderen aan het risico worden blootgesteld. |
| Institutioneel toezicht | Nauw en effectief toezicht op risico's door autoriteiten, die de mogelijkheid hebben om in te grijpen waar nodig. |
| Kunstmatigheid | ‘Onnatuurlijkheid’ van de oorsprong van risico's. |
| Media aandacht | Hoeveelheid aandacht in de (sociale) media. |
| Mobilisatie | Vermogen om protest en tegenwerking op te roepen. |
| Mogelijk catastrofaal | Angst voor plotselinge, ontwrichtende en grote effecten. |
| Oneerlijkheid | Ongelijkheid tussen degenen die de voordelen genieten en degenen die de risico's dragen. |
| Persoonlijke invloed | Mate van invloed die een individuele belanghebbende kan uitoefenen. |
| Schuld | Verantwoordelijkheid voor schade kan aan een actor worden toegekend. |
| Voordelen | Tastbare en immateriële voordelige effecten. |
| Vrijwilligheid | De hoeveelheid vrije keuze die een individu heeft om blootgesteld te worden aan het risico. |
De voorgenomen tegenmaatregelen op de risicolijst kunnen kritiek oproepen bij de overige belanghebbenden. De meningen van deze belanghebbenden moeten meegewogen worden voordat de uiteindelijke aanbevelingen worden bepaald. Wordt dat niet gedaan, dan kunnen de verantwoordelijke personen (de beslissingnemers) onverwacht geconfronteerd worden met maatschappelijke tegenwerking, en misschien gedwongen worden om een suboptimale oplossing te kiezen die desalniettemin voor externe belanghebbenden meer acceptabel is. De analisten moeten daarom extra risicofactoren meewegen die invloed hebben op de risicoperceptie en risico-acceptatie door derden. Zie tabel 6.1.
Angst is een algemene factor, en hangt samen met ‘mogelijk catastrofaal’ en ‘bekendheid’. Sterke angstgevoelens verlagen de risico-acceptatie.
Bekendheid met een risico kan tot onverschilligheid leiden. Het tegenovergestelde is ook waar: nieuwe risico's kunnen minder acceptabel zijn, enkel en alleen omdat ze minder bekend zijn.
Betrokkenheid van kinderen beïnvloedt risico-perceptie, soms op een dramatische wijze. Mensen hebben sterke emoties wanneer kinderen betrokken zijn bij risico's.
Institutioneel toezicht. Het bestaan van een vertrouwde en deskundige toezichthouder kan betrokkenen ervan overtuigen dat op een verantwoorde manier wordt omgegaan met (rest)risico's. Als vertrouwen in deze instituties ontbreekt, zullen de risico's minder acceptabel gevonden worden.
Kunstmatigheid heeft betrekking op situaties waarin mensen weerstand bieden tegen technologie omdat het onnatuurlijk is. Zo wordt bijvoorbeeld elektromagnetische straling van mobiele telefonie basisstations vaak ‘schadelijk’ gevonden, terwijl natuurlijk zonlicht vaker als ‘gezond’ wordt gezien. Er is een wetenschappelijke consensus dat schadelijke effecten van elektromagnetische straling niet zijn aangetoond, terwijl huidkanker een reëel probleem is. Hier zit ook een ethische invalshoek in, wanneer technologische oplossingen ingaan tegen ethische of morele principes van mensen.
Media aandacht kan de perceptie van waarschijnlijkheid verhogen. Slechts weinig mensen hebben directe eigen ervaring met risico's, en brede aandacht door omroepen of op sociale media kan de risicoperceptie verhogen.
Mobilisatie en activisme is een mogelijkheid waar verantwoordelijke personen rekening mee moeten houden. Het ‘nimby’ verschijnsel (‘not in my backyard’, of ‘niet in mijn achtertuin’) duidt op mobilisatie van protesterende omwonenden. Risico's kunnen breed gedragen weerstand en luide protesten oproepen, waardoor deze minder acceptabel zijn voor beslissingnemers.
Mogelijk catastrofale risico's zijn minder acceptabel. De dreiging van wijdverspreide destructie op grote schaal, ongeacht de waarschijnlijkheid daarvan, maakt risico's minder dragelijk. Omgekeerd zijn risico's met een klein maar chronisch effect over een langere periode vaak juist meer acceptabel.
Oneerlijkheid wordt gevoeld wanneer de voor- en nadelen van risico's onevenredig zijn verdeeld. Er zal sterke weerstand bestaan als degenen die het voordeel ervaren zelf niet de nadelige effecten ondervinden. (‘Zij de lusten, wij de lasten’).
Persoonlijke invloed gaat over de mate van invloed die individuen hebben over een risicovolle situatie. Bijvoorbeeld, de risico's van verstoring van communicatie zullen meer acceptabel worden gevonden als de gebruiker zelf controle heeft over de apparatuur en het communiceren, in vergelijking met het geval dat hij of zij passief luistert.
Schuld. Soms is er een duidelijk aanwijsbare schuldige (bijvoorbeeld een telecomaanbieder), maar bij natuurlijke risico's is de schuldvraag niet aan de orde. Risico's zonder schuldige zijn vaak meer acceptabel dan risico's die door een duidelijke actor worden veroorzaakt.
Voordelen kunnen de nadelen van (on)beschikbaarheid compenseren. Risicovolle situaties kunnen acceptabel zijn als de (perceptie van) de voordelen opwegen tegen de (ervaren) risico's. Bijvoorbeeld, het oprichten van een hoge zendmast kan op minder weerstand stuiten als deze gebruikt wordt voor crisiscommunicatie in plaats van uitzenden van amusementsprogramma’s.
Vrijwilligheid heeft verband met persoonlijke invloed. Bijvoorbeeld, burgers kunnen kiezen of ze een mobiele telefoon gebruiken of niet, maar de constructie van een zendmast in hun woonomgeving wordt hen opgelegd. Gebrek aan vrijwilligheid maakt risico's minder acceptabel.
De analisten moeten elk risico op de shortlist reviewen, om te bepalen of maatschappelijke risicofactoren een beduidende invloed hebben. Dit bestaat uit de volgende stappen.
Indien noodzakelijk moeten de prioriteiten van risico's worden aangepast en extra of andere beheersmaatregelen worden voorgesteld.
De analisten hebben nu alle informatie verzameld voor het eindrapport. Ze hebben nu niet alleen een geprioriteerde shortlist opgesteld van de ernstigste risico's met aanbevelingen voor de bestrijding, maar ze kunnen ook argumenten geven bij hun voorstellen.
Dit eindrapport moet door alle analisten beoordeeld worden. Pas als er overeenstemming over de inhoud is, kan het gepresenteerd worden aan de sponsor. Het onderzoek is daarmee afgerond. Het eindrapport kan de volgende opbouw hebben.
Managementsamenvatting van het eindrapport.
Over de doelorganisatie (interne reikwijdte):
Over de externe omgeving van de doelorganisatie (externe reikwijdte):
Rollen en belanghebbenden.
Telecommunicatiediagrammen
Shortlist risico's, met per risico:
Conclusies and aanbevelingen
Bijlagen:
Praktische leidraad voor het uitvoeren van de Raster methode.
Uitvoeren van een risicoanalyse met Raster is een project waarvoor een geschikte projectleider nodig is. De projectleider moet over de volgende vaardigheden beschikken:
Tijdens de projectbijeenkomsten zorgt de projectleider ervoor dat iedere deelnemer voldoende aan het woord is, en dat alle standpunten besproken worden. Waar nodig vraagt de projectleider door, om meningen en schattingen aan te scherpen. De projectleider hoeft zelf geen telecom-expert te zijn, maar moet wel over voldoende ICT- en telecomkennis beschikken om de discussies te kunnen begeleiden. De projectleider kan zelf een van de analisten zijn, of zich alleen met de projectleiding bezig houden.
De volgende drie factoren zijn van invloed op het aantal en de keuze van de analisten.
Deze factoren maken dat de groep analisten niet te klein, maar ook weer niet te groot kan zijn. De groep zou moeten bestaan uit experts op verschillende terreinen, en zou niet groter moeten zijn dan 10 personen.
Voordat een Raster project van start kan gaan, moet er een introductiebijeenkomst worden gehouden waarbij de projectleider de belangrijkste stappen demonstreert aan de hand van een verzonnen voorbeeld.
Het is vaak handig om met een kerngroep te werken. Die kerngroep bestaat dan uit de twee tot drie meest ervaren analisten, en de projectleider. De kerngroep heeft als taak om het meeste uitvoerende werk te verrichten, zodat de overige analisten zich kunnen beperken tot het aanleveren van hun kennis.
Gedurende stappen 2 en 3 zou een van de analisten moeten worden aangesteld als rapporteur. De taak van de rapporteur is om de diagrammen en de beoordelingen van kwetsbaarheden van componenten bij te houden met behulp van de Raster applicatie. De rapporteur kan een computer met een beamer gebruiken, zodat iedereen in de zaal één gemeenschappelijk beeld van de applicatie ziet. De projectleider kan ook de rapporteurs-rol vervullen.
Omdat de rapporteur alle beoordelingen bijhoudt, is hij of zij de meest aangewezen persoon om inconsistenties in de beoordelingen op te merken. De rapporteur moet extra goed opletten om conflicterende scores tussen componenten te zien, en deze ter discussie te stellen. Bijvoorbeeld, als een kwetsbaarheid als Matig wordt beoordeeld in één component, maar als Laag in een andere, vergelijkbare component, dan zou de groep moeten overleggen of een van beide scores aanpassing behoeft.
In vervolgbijeenkomsten kan het handig zijn als de rapporteur afdrukken vanuit de Raster applicatie uitdeelt ter naslag.
Als een kerngroep gebruikt wordt, zal deze groep Stap 1 verzorgen. De resultaten worden dan bij de eerste projectbijeenkomst toegelicht, zodat ook de overige analisten hun bijdrage eraan kunnen leveren.
Meestal kan de analyse niet in één werkbijeenkomst worden afgerond. Om effectief gebruik te maken van de kennis van de analisten besluit de projectleider welke telecomdiensten en welke componenten tijdens de projectbijeenkomsten uitgewerkt worden. Het doel is om zoveel mogelijk standpunten te bespreken, en om elkaars argumenten voor frequentie- en impactschattingen te leren kennen. Op basis van het opgedane inzicht, kan de kerngroep dan de overige componenten uitwerken. Die resultaten worden dan bij de volgende projectbijeenkomst gepresenteerd en kort besproken. Vervolgens worden de enkele fouten van de volgende componenten uitgewerkt. Dat herhaalt zich totdat alle enkele fouten zijn uitgewerkt. Het is niet ongewoon dat er twee tot drie projectbijeenkomsten nodig zijn.
In de beoordeling van de frequentie en impact worden de al getroffen maatregelen meegenomen. Bestaande maatregelen verlagen kunnen de frequentie verlagen, de impact, of beide. Door de aanwezigheid van een noodstroomaggregaat, bijvoorbeeld, valt bij uitval van de netspanning apparatuur minder snel uit. Of doordat er een beschermhoesje om een mobieltje zit, zal het mobieltje minder snel fysiek beschadigd raken. De UPS en het beschermhoesje voorkomen niet dan de netspanning verstoort raakt of dat het mobieltje valt, maar helpen wel om te voorkomen dat dat tot een incident leidt, en dat is wat de Frequentie bepaalt.
Maatregelen die zorgen voor alternatieven of terugval-opties verlagen de impact. Bijvoorbeeld door een back-up server die de hoofdserver overneemt wanneer deze uitvalt. Of door het hebben van twee kabelverbindingen, zodat bij kabelbreuk het verkeer nog met gehalveerde capaciteit door kan gaan.
Tijdens het uitwerken moet telkens goed voor ogen worden gehouden wat de definitie van de frequentie- en impactklassen is. Ook de precieze interpretatie van de verschillende kwetsbaarheden moet consistent gehanteerd worden. De rapporteur of projectleider waken hierover.
De volgende toelichtingen bij de standaard kwetsbaarheden kunnen nuttig zijn. Ook staan hierbij suggesties voor andere kwetsbaarheden die voor kunnen komen.
Het gaat hier bijvoorbeeld om mobiele telefonie (GSM, UMTS, LTE), WiFi, draadloze DECT telefoons, bluetooth, draadloze audio- of videoverbindingen, toegangspassen voor elektronische sloten op deuren, portofoons, en afstandsbedieningen.
Interferentie. Onbedoelde verstoring door een radiobron in dezelfde frequentieband. WiFi, bijvoorbeeld, kan verstoord raken door andere zenders die in dezelfde frequentieband werken, of zelfs door een slecht afgeschermde magnetron. Verstoring door interferentie is vaak onvoorspelbaar, en van beperkte duur.
Jammen. Opzettelijke verstoring door een derde partij. Iemand probeert bijvoorbeeld doelgericht mobiele telefonie onmogelijk te te maken. Jammers worden soms door criminelen gebruikt, om opsporing moeilijker te maken. Jammen is vaak langdurig, en soms lastig op te sporen en te verhelpen.
Overbelasting. Verkeersaanbod overstijgt de capaciteit van de verbinding. WiFi-verbindingen kunnen op drukke plaatsen erg traag worden; ook mobiele telefonie kan moeilijk worden wanneer een menigte massaal gaat bellen of social media gaat gebruiken, bijvoorbeeld tijdens een festival of een groot incident. Overbelasting is vaak van kortere duur, maar kan bij grote incidenten ook hardnekkig zijn.
Zwak signaal. Verlies van signaalsterkte door afstand of afscherming door gebouwen, begroeiing, enz. In moderne gebouwen is de kwaliteit van mobiele telefonie soms minder goed, door metaalfolie in de isolerende beglazing. Ook onderin parkeergarages kunnen mobiele telefoons of portofoons last hebben van een zwak signaal. Vaak weten de gebruikers wel op welke plekken zij rekening moeten houden met signaalzwakte.
Binnenshuis gaat het bijvoorbeeld om snoeren, netwerkkabels, en patchkabels. Buitenshuis gaat het om glasvezel, coax, of traditionele koperkabels die ondergronds of bovengronds lopen. Elektrische netsnoeren vallen hier niet onder; kwetsbaarheden daarin kunnen worden meegenomen bij stroomuitval op apparatuur.
Kabelbreuk. Beschadiging door natuurlijke oorzaken, graafschade bij bouwwerkzaamheden, scheepsankers (bij zeekabels of kabels onder rivieren of kanalen), slechte contacten (corrosie, loszittende stekkers), of andere externe invloeden. Vooral bij patchkabels komt het voor dat bij onderhoud per ongeluk een verkeerde kabel wordt ontkoppeld. Ook die vergissing kan meegenomen worden onder kabelbreuk.
Overbelasting. Verkeersaanbod overstijgt de capaciteit van de verbinding. Deze kwetsbaarheid is vergelijkbaar met die op draadloze verbindingen. Ga uit van de werkelijke capaciteit, en niet van de theoretische capaciteit. Glasvezelkabels kunnen een enorme datasnelheid aan, maar als met de aanbieder een 2 Mbps contract is afgesloten, is de snelheid begrensd tot 2 Mbps. Vaak zijn de effecten al merkbaar bij een belasting van 50%. Een voorbeeld van overbelasting is de situatie waarin alle kantoor PC’s tegelijkertijd hun maandelijkse updates downloaden.
Kabelveroudering. De isolatie van kabels verzwakt mettertijd. Dit speelt vooral bij kabels buitenshuis, die worden blootgesteld aan weer en wind. Kabelveroudering uit zich in ruis of storing. Wanneer een kabel door veroudering geheel verbroken raakt, valt dat onder kabelbreuk.
Aanvullende kwetsbaarheden. Sommige kabels zijn gevoelig voor elektromagnetische interferentie. Dat houdt in dat de kabel werkt als antenne voor stoorsignalen uit nabije zenders of andere apparaten.
Fysieke schade. Brand, aardbeving, bluswater, vallen, stoten of andere fysieke schade. Het gaat hier om ongewone externe invloeden. Een gebruiker laat zijn mobiele telefoon of portofoon vallen, een kop koffie valt over een laptop, of de automatische blusinstallatie gaat af.
Stroomuitval. Uitval van voedingen of stroomtoevoer. Voor apparaten die gevoed worden met een oplaadbare accu betekent dit dat de accu leeg is. Als noodstroom aanwezig is, verlaagt dat de kans op stroomuitval. De stroomtoevoer naar het apparaat wordt immers niet onderbroken. Pas wanneer ook de noodstroom ermee ophoudt, is er sprake van stroomuitval. Een defect aan de voeding van het apparaat wordt meestal meegenomen in de kwetsbaarheid Stroomuitval, en niet in Defect. Per ongeluk uitschakelen van het apparaat, of per ongeluk de stekker eruit trekken, wordt ook meestal meegenomen in Stroomuitval, en niet in Configuratie. Wanneer een apparaat geen netsnoer heeft en niet accu-gevoed is, kan de kwetsbaarheid Stroomuitval voor dat apparaat worden verwijderd. Bijvoorbeeld voor WiFi access points of IP-telefoons die Power over Ethernet (PoE) gebruiken.
Configuratie. Verkeerde instellingen of fouten door beheerders of gebruikers. Het kan gaan om hardware instellingen (knopjes, volumeregelaars) of om software instellingen. Apparaten kunnen worden beheerd door de eindgebruiker zelf, door een IT-afdeling, door een externe leverancier, of een combinatie daarvan. Op complexe apparaten als smartphones en laptops zijn er veel instellingen die een gebruiker zelf verkeerd kan doen, waardoor zijn apparaat niet meer naar behoren functioneert. Een IT-afdeling kan een verkeerde patch uitrollen, waardoor alle PC’s in de organisatie verstoord raken. Een portofoon kan op het verkeerde kanaal zijn ingesteld. of de volumeknop kan laag gezet zijn waardoor een oproep gemist wordt. Per ongeluk uitschakelen wordt meestal als Stroomuitval meegerekend. Alleen heel eenvoudige apparaten kennen geen configuratiemogelijkheden. Soms worden apparaten eenmalig ingesteld, om er vervolgens nooit meer aan te wijzigen. Ook bij die apparaten kan de kwetsbaarheid Configuratie worden verwijderd.
Defect. Uitval van een intern onderdeel zonder aanwijsbare oorzaak, mogelijk veroudering. Het gaat hier om spontane uitval; apparaten hebben nu eenmaal een beperkte levensduur. Ook een nieuw apparaat kan toevallig stuk gaan binnen de garantietermijn. Defect en Fysieke schade lijken erg op elkaar, en de impact van beide zal vaak hetzelfde zijn. De frequenties zullen vaak wel verschillen.
Aanvullende kwetsbaarheden. Op sommige locaties is Diefstal een probleem. Het ene apparaat is aantrekkelijker voor dienstal dan andere. Ook Oververhitting kan een probleem zijn. In grote serverruimtes zijn de problemen niet te overzien wanneer de airconditioning zou uitvallen. Verder is apparatuur, net als kabels, soms gevoelig voor Elektromagnetische interferentie.
De volgende tips kunnen helpen bij het kiezen van de kenmerkende eigenschap en bij het indelen van de clusters. Bij elk cluster en sub-cluster hoort een verhaal, een uitvalsscenario. Bijvoorbeeld: “als in deze ruimte de stroom uitvalt, zullen al deze apparaten uitvallen”. Het bedenken van zo’n verhaal is een goede controle; als u geen plausibel verhaal kan geven, is de clusterindeling waarschijnlijk niet juist.
Interferentie. De kenmerkende eigenschap is hier de frequentieband, in combinatie met geografische nabijheid. Voor twee draadloze verbindingen om gestoord te worden door dezelfde radiobron, moet die bron op een nabijgelegen frequentie uitzenden, en relatief dichtbij staan.
Jammen. De meeste jammers werken op één bepaalde frequentieband. Omdat het hier om opzettelijke verstoring gaat, is ook het motief van de verstoorder relevant. De meeste jammers hebben een beperkt bereik. Clusters worden dus ingedeeld op “wie zou waar en om welke reden de communicatie willen verstoren?”
Overbelasting. Overbelasting kent meestal een tijdelijke oorzaak. Wanneer er veel activiteit is, kan het mobiele telefoonnet of private communicatienetten overbelast raken. Dit kan dus meerdere frequentiebanden tegelijk raken (GSM, UMTS en LTE, bijvoorbeeld). Afhankelijk van de gebruikte technologie kan overbelasting lokaal zijn, of het hele netwerk raken.
Zwak signaal. Een zwak signaal komt eigenlijk alleen voor bij mobiele apparatuur. Een gelijktijdig incident vereist dus dat één gebruiker met twee apparaten (bijvoorbeeld een portofoon en een mobiele telefoon) op een plek is met slechte dekking, of dat twee gebruikers op zo’n plek zijn.
Kabelbreuk. De kenmerkende eigenschap is geografische nabijheid; kabels de dezelfde plaats liggen, kunnen gelijktijdig getroffen worden door invloed van buitenaf. Ondergrondse kabels lopen vaak via hetzelfde tracé, of door dezelfde onderdoorgangen bij wegen of kanalen.
Overbelasting. Zie onder draadloze verbindingen.
Kabelveroudering. De kenmerkende eigenschap kan hier zijn of de kabel ondergronds, bovengronds, of binnenshuis gebruikt wordt. Indien de leeftijd van kabels bekend is, kan er een onderverdeling op leeftijd gemaakt worden.
Fysieke schade. Voor vaste apparatuur is de kenmerkende eigenschap geografische nabijheid. Mobiele apparatuur vormt een eigen cluster, waarbij eventueel onderscheid gemaakt kan worden tussen verschillende soorten gebruikers.
Stroomuitval. Voor vaste apparatuur is de kenmerkende eigenschap geografische nabijheid. Mobiele apparatuur vormt een eigen cluster, waarbij onderscheid gemaakt kan worden aan de hand van akkuduur.
Configuratie. De kenmerkende eigenschap is wie de instellingen beheert of kan wijzigen: de IT-afdeling, een externe leverancier, professionele eindgebruikers, of algemene eindgebruikers. Computers worden beheerd door een IT-afdeling maar eindgebruikers kunnen ook zelf (per ongeluk) instellingen wijzigen. Breng de apparatuur dan onder in de meest risicovolle groep.
Defect. Apparatuur wordt vaak in batches gekocht. Het is dan niet ondenkbaar dat meerdere apparaten (ongeveer) gelijktijdig defect raken. Leeftijd is een relevante eigenschap, maar ook het soort gebruik maakt uit. Apparaten waar ruw mee omgesprongen wordt, hebben een grotere kans op spontane defecten dan apparatuur die vast opgesteld is.
Vaak is één projectbijeenkomst voldoende, waarna de kerngroep de uitwerking van alle gedeelde foutoorzaken voor zijn rekening neemt.
Het opstellen van de groslijst en de shortlist kan waarschijnlijk in één werksessie worden afgerond. De kerngroep kan deze keuze ook voorbereiden. Op basis van de shortlist moeten de maatschappelijke risicofactoren worden beoordeeld.
Het samenvoegen van het materiaal tot een eindrapport kan bij de kerngroep worden belegd. Het leeuwendeel van de rapportage voor Stap 1 kan worden herbruikt en de afdrukken uit de Raster applicatie kunnen als bijlage worden gebruikt, zoals werd voorgesteld in het sjabloon in Stel eindrapport op.
Ondersteunen de uitvoering van de Raster methode.
Om de risico-evaluatie te kunnen uitvoeren in Raster, zijn twee gratis applicaties beschikbaar. Zie https://risicotools.nl/ voor download locaties.
De eerste applicatie is een losstaand programma voor MacOS of Windows om Raster projectbestanden te bewerken die op een lokale of netwerkschijf zijn opgeslagen. De tweede applicatie is web-gebaseerd. Deze moet geïnstalleerd worden op een intranet-server en maakt het mogelijk om gedeelde projecten te benaderen met een webbrowser via het kantoornetwerk. Voor beide applicaties bevat een project de volledige risicobeoordeling voor een organisatie. Een project zal normaalgesproken meerdere telecommunicatiediensten bevatten.
Met kleine verschillen werkt u met beide applicaties op dezelfde manier. Eén groot verschil met de intranet applicatie is dat meerdere analisten gelijktijdig kunnen werken aan hetzelfde project; elke wijziging wordt direct en automatisch met de andere deelnemers gedeeld. Werken met het losstaande programma en Werken met de intranet applicatie beschrijven de specifieke details van het losstaande programma en de intranet applicatie. De rest van dit hoofdstuk en de volgende hoofdstukken zijn op beide applicaties van toepassing.
In beide tools kunt u meestal met de muis te zweven boven een knop of item om een korte uitleg te zien over de functie ervan.
Het losstaande programma bewerkt projectbestanden die zijn opgeslagen op een lokale schijf of netwerkschijf. Projectbestanden worden geopend, bewerkt en opgeslagen net zoals u dat doet met tekstbestanden en spreadsheets. Hierboven staat de Windows versie van de applicatie.
Gebruik het Bestand menu om projectbestanden te openen, op te slaan en af te drukken.
U kunt de huidige weergave opslaan in een PDF bestand. Om een diagram, enkele fouten, gedeelde fouten of de tabellen op het analysescherm op te slaan, kiest u de optie “Opslaan als PDF” in het Bestand menu. Daarmee wordt dus altijd het huidige scherm bewaard. De voorkeuren uit de Instellingen werkbalk en het Beeld menu worden daarbij gerespecteerd.
Voordat u opslaat kunt u de PDF instellingen aanpassen. U kunt:
Gebruik het Beeld menu om de weergave aan te passen en voorkeuren in te stellen. Het eerste deel bevat dezelfde functies als de Instellingen werkbalk: Labels, Kwetsbaarheidsindicator en Minimap. De items in het tweede deel zijn ook in de werkbalken te vinden: Zoek componenten (in de Start werkbalk), Wijzig labels (in de Start werkbalk in het Diagrammenscherm), en Projectdetails (in de Projecten werkbalk).
U kunt de volgende zaken aanpassen:
De intranet applicatie kan meerdere projecten aan, maar er kan maar één gelijktijdig bewerkt worden. Meerdere analisten kunnen gelijktijdig aan hetzelfde project werken, elke wijziging wordt automatisch met de andere deelnemers gedeeld.
Hieronder staat de intranet applicatie met Edge.
Elke bewerking wordt meteen vastgelegd. Dit betekent dat u het venster van uw web-browser kunt sluiten zonder uw werk kwijt te raken. Wanneer u de url van de applicatie opnieuw bezoekt, is uw oorspronkelijke werkomgeving weer volledig hersteld. Het is daarom niet nodig om uw werk op te slaan of om een bestand te openen alvorens u verder gaat.
Projecten kunnen privé zijn of gedeeld worden. Gedeelde projecten kunnen door meerdere mensen gelijktijdig worden bewerkt. Elke verandering die in een gedeeld project wordt aangebracht, wordt onmiddellijk doorgegeven aan de andere mensen die op dat moment aan hetzelfde project werken. Alle wijzigingen die zij doorvoeren worden onmiddellijk zichtbaar in uw eigen web-browser.
Privé projecten zijn niet zichtbaar voor anderen en worden nooit op de server opgeslagen. Als u aan een privé project werkt en de applicatie vanaf een andere computer bezoekt, of zelfs als u een andere web-browser op dezelfde computer gebruikt, wordt uw vorige werk niet hersteld. Dit betekent niet dat uw werk verdwenen is, het is alleen gebonden aan een specifieke web-browser. Om een privé project over te kunnen hevelen naar een andere computer of web-browser, of te kunnen delen met een collega, moet u het project exporteren. Door te exporteren wordt alle data van het project bewaard in een project bestand dat vervolgens kan worden opgeslagen en verplaatst net als elk ander bestand. Exporteren wordt uitgelegd in Project werkbalk. Een project bestand kan eveneens geïmporteerd worden, hiervoor gebruikt u de importeerfunctie. Na het importeren worden alle veranderingen onmiddellijk opgeslagen. Het bestand verandert echter niet, dat wordt pas aangepast als u besluit opnieuw te exporteren.
Bovenaan vindt u werkbalken om de applicaties mee te besturen: Projecten, Start en Instellingen.
Gebruik de Project werkbalk om projecten toe te voegen, te verwijderen, te wijzigen of om tussen projecten te wisselen. De intranet applicatie en de losstaande applicatie hebben een iets verschillende werkbalk.
For the intranet tool:
For the standalone tool:
De Projectbibliotheek toont een lijst van alle projecten die momenteel bekeken en bewerkt kunnen worden. De projectenlijst is onderverdeeld in drie secties: uw privé projecten, gedeelde projecten waaraan u gewerkt heeft en andere gedeelde projecten die op de server zijn opgeslagen.
Als een project geselecteerd is, kunt met met de drie knoppen rechts het volgende doen:
Met de projecteigenschappen kunt u belangrijke kenmerken van uw project aanpassen.
Icoonverzamelingen bevatten grafische weergaven van de componenten in uw diagrammen. Standaard zijn de icoonverzamelingen Default en Classic geïnstalleerd. U kunt uw eigen icoonverzamelingen maken, of de bestaande uitbreiden (zie XXX).
De Projecten werkbalk kan functies voor foutoplossing bevatten. Deze zijn tijdelijk, en kunnen genegeerd worden.
U gebruikt de Start werkbalk voor het redigeren en bekijken van informatie. Hij is hetzelfde voor intranet en losstaande applicatie. Het eerste deel is vast, en bevat de knoppen voor Ongedaan maken, Opnieuw, Zoeken, en Hulp.
Het tweede deel bevat knoppen voor elk van de vier schermen. Hieronder staat de werkbalk voor het diagrammenscherm.
De Instellingen werkbalk bevat diverse instellingen en voorkeuren. Hieronder de versie uit de intranet applicatie.
Het losstaande programma heeft een kleinere werkbalk.
De instellingen voor de afmetingen van de indicators voor het kwetsbaarheidsniveau en de kleur van de labels zijn ook van toepassing op het afdrukken.
De intranet applicatie heeft twee extra instellingen.
U kunt een diagram afdrukken, of de lijst met enkele foutoorzaken, de lijst met gedeelde foutoorzaken, of de tabellen in het Analysescherm. De afdrukweergave ziet er geheel anders uit dan de normale schermweergave; tabbladen, knoppen en andere elementen van de gebruikersinterface zullen niet op de afdruk voorkomen.
Gebruikt u Firefox, dan zal de minimap zich automatisch instellen op de positie links-boven, en de koppen van enkele en gedeelde foutoorzaken zullen vanzelf uitklappen. Met andere web-browsers moet u dit handmatig doen voordat u begint met afdrukken. U kunt daarvoor de knop ‘Alles uitklappen’ gebruiken.
Om de diagrammen af te drukken is het aan te bevelen om A3 in te stellen als papierformaat, en om landschap-stand te gebruiken. A4 papier kan voldoende zijn voor kleinere diagrammen. De overzichten van enkele en gedeelde foutoorzaken kunnen het best worden afgedrukt in portret-stand. Het kan nodig zijn om de afdruk te verkleinen om het te laten passen; gebruik hiervoor de afdruk-instellingen van uw web-browser.
Zorg dat het afdrukken van achtergrondkleuren is toegestaan in uw web-browser, omdat anders de kwetsbaarheidsindicatoren allemaal in het wit worden afgedrukt. De optie om achtergrondafbeeldingen af te drukken is niet van belang voor Raster; de afdruk bevat geen achtergrondafbeeldingen.
U kunt de Instellingen werkbalk gebruiken om de grootte van kwetsbaarheidsindicatoren te kiezen, en of labelkleuren al dan niet worden afgedrukt. Deze instellingen gelden zowel voor de afdrukken als voor de scherm-weergaven in de applicatie.
Zowel het losstaande programma als de intranet applicatie zijn verdeeld in 4 schermen. Dit zijn de tabbladen aan de linkerkant.
Als de diagrammen groter worden en het aantal diagrammen toeneemt kan het lastiger worden om te onthouden in welke diensten een component voorkomt, of wat de naam van een component is. Gebruik het vergrootglas-icoon om een zoekscherm op te roepen.
Zoekresultaten worden gepresenteerd terwijl u typt. Het kwetsbaarheidsniveau (een gekleurd vierkant, indien beschikbaar) en het label (als een gekleurde cirkel) worden ook getoond.
Klik op een van de zoekresultaten om in het diagram die component aan te wijzen. De applicatie springt naar het bijbehorende diagrammenscherm, en markeert de component met een kader.
Dit venster laat de definities van de Frequentie- en Impact-klassen zien, en biedt tips en andere informatie over de applicatie. U opent het Hulpvenster door de vraagteken-knop te gebruiken.
Omdat het belangrijk is de definities van de klassen telkens weer consequent toe te passen, is het nuttig om deze snel bij de hand te hebben.
Het maken van de Frequentie-schattingen is voor de analisten soms lastig. Het hulpvenster biedt daarom een hulpmiddel.
Heeft de organisatie bijvoorbeeld 60 tablets, waarvan er elk jaar twee stuk gaan, dan helpt het hulpmiddel om te zien dat dit een Matige frequentie vormt.
Op verschillende plekken worden kleuren gebruikt om het kwetsbaarheidsniveau van een component aan te geven. Als er ruimte voor is, wordt er ook een letter getoond. De volgende letter- en kleurcombinaties worden gebruikt:
Nog niet geanalyseerd, een
beoordeling heeft nog niet plaatsgevonden (wit)
Tegenstrijdig
(ambigu), de meningen van de analisten zijn verdeeld
(paars)
Extreem (‘very’)
groot, een extreem risico (felrood)
Hoog (rood)
Matig (geel-oranje)
Laag (groen-geel)
Onbekend, vanwege een gebrek
aan kennis (lichtblauw).
Extreem (‘ultra’)
laag, het risico is verwaarloosbaar of afwezig (felgroen)
| Ctrl-Z | Ongedaan maken |
| Ctrl-Y | Opnieuw uitvoeren (ongedaan maken herstellen) |
| Ctrl-Shift-Z | Opnieuw uitvoeren (ongedaan maken herstellen) |
| Ctrl-F | Open het zoekvenster. |
| Ctrl-L | Open het labelvenster |
| F1 | Open het hulpvenster |
| Ctrl-1 | Ga naar het Diagrammenscherm |
| Ctrl-2 | Ga naar het Enkele foutenscherm |
| Ctrl-3 | Ga naar het Gedeelde foutenscherm |
| Ctrl-4 | Ga naar het Analysescherm |
| tab | Verwissel van werkbalk |
MacOS-gebruikers kunnen de Cmd-toets gebruiken in plaats van de Ctrl-toets.
| < | Geef de component het vorige label uit de lijst (zie Labels). |
| > | Geef de component het volgende label uit de lijst (zie Labels). |
| F2 | Hernoem de component, of bewerk de notitie. |
| Delete, Backspace | Verwijder de component. |
| Enter, Return | Open het kwetsbaarhedenvenster, of bewerk de notitie. |
Teken diagrammen van telecomdiensten
Het midden van het scherm bevat de werkbladen waarin de diagrammen getekend worden. Onderaan vindt u een rij tabbladen waarmee u een nieuwe dienst kunt toevoegen en waarmee u kunt wisselen tussen verschillende diensten. Bovenaan vindt u knoppen om het Bibliotheek- en Optiesdashboard te openen, een rij van sjablonen, en de naam van het actieve project.
Sjablonen bevatten standaardinstellingen voor nieuwe diagramcomponenten. U kunt nieuwe componenten tekenen door een van de sjablonen naar het werkblad te slepen.
Voor de eerste drie elementen (draadloze verbindingen, draadgebonden verbindingen, en apparatuur) kunt u de voorgedefinieerde checklist aanpassen. Klik op de ‘wijzig’ knop (het vak met de drie puntjes) om het checklistvenster voor dat componenttype te openen.
Draadloze verbindingen, bedrade verbindingen en apparatuur hebben ieder een lijst met standaard kwetsbaarheden. De kwetsbaarheden die u hier instelt gelden voor elke component van dat type. In het checklistvenster kunt u:
Alle wijzigingen die u maakt worden ook toegepast op alle reeds getekende en toekomstige componenten.
Het werkblad is de plaats waar diagrammen van telecomdiensten worden getekend. Een project bestaat uit een of meer diensten. Voor elke dienst kunt u een diagram tekenen, en de kwetsbaarheden van componenten beoordelen.
Elke dienst heeft een tabblad onderaan het scherm. U kunt:
Het werkblad waarop componenten worden getekend en met elkaar worden verbonden is groter dan op het beeldscherm getoond kan worden. Gebruik de minimap om het beeld aan te passen. De grote grijze rechthoek van de minimap stelt de totale beschikbare werkruimte voor; de kleinere blauwe rechthoek stelt het gebied voor dat momenteel zichtbaar is (het werkblad). Elke rode stip is een van de componenten in het diagram. Een rode stip buiten de blauwe rechthoek is een component die momenteel niet zichtbaar is.
Verschuif het zichtbare gebied verschuiven, door de blauwe rechthoek te verslepen. Of verplaats de minimap zelf als hij in de weg zit, door de grijze rechthoek te verslepen. U kunt ook de minimap uitschakelen op de Instellingen werkbalk.
Als uw diagram groot wordt, kunt u ook de Inzoomen, Uitzoomen functies van uw web-browser gebruiken om meer van het diagram op het beeldscherm te laten passen. Het Beeld-menu van de losstaande applicatie bevat ook een Zoom-functie.
U tekent nieuwe diagramcomponenten door ze uit de sjablonen bovenaan het werkblad te slepen. Elke component wordt weergegeven door een vorm met daarin of onder de naam. Elke component heeft en vijf mogelijke decoraties die zichtbaar worden wanneer u met de muis in de buurt komt. Met de klok mee, vanaf links-boven:
Verplaats componenten op het werkblad door het ze verslepen.
Er zijn twee manieren om meerdere componenten gelijktijdig te verslepen. Houdt de shift-toets ingedrukt tijdens het slepen van een component om alle componenten in het diagram te verslepen. U kunt ook een selectie maken), en de selectierechthoek verslepen om alleen de geselecteerde componenten te verplaatsen.
Hernoem een component door de naam aan te klikken. Merk op dat de naam blauw wordt als u er met de muis boven zweeft. Bevestig de nieuwe naam door ergens te klikken, of met de Enter toets. Annuleer (herstel de oude naam) met de Escape toets.
Van componenten die een grote gelijkenis vertonen kan een componentsoort worden gemaakt. Componentsoorten zijn herkenbaar aan een donkerrode naam. Alle componenten van een soort delen dezelfde beoordeling van kwetsbaarheden. Om de individuele componenten in een soort te onderscheiden krijgt iedere component automatisch een volgletter, die rechts van de naam getoond wordt (de ‘suffix’). Deze volgletter kan worden aangepast naar iets dat meer betekenisvol is, met de ‘Hernoem suffix’ optie in het componentmenu.
U maakt een componentsoort door een component dezelfde naam te geven als een al bestaande component van hetzelfde type. U kunt zoveel componenten toevoegen als u wenst, telkens door de naam van een component te wijzigen in die van de soort. Namen zijn niet hoofdlettergevoelig. Dat betekent dat “interne kabel” en “Interne Kabel” dezelfde naam zijn, en dus één componentsoort vormen.
Let op: door een component in een soort onder te brengen, gaan alle beoordelingen van kwetsbaarheden op die component verloren. De component neemt de kwetsbaarheidsbeoordelingen van de soort over.
Een componentsoort kan meer dan één dienst beslaan; componenten binnen dezelfde soort kunnen in meer dan een dienst (van hetzelfde project) voorkomen. Er bestaan geen actor-soorten.
Als een lid van een soort wordt hernoemd, dan is het niet langer lid en wordt weer een zelfstandige component. Om alle leden van een soort gelijktijdig te hernoemen gebruikt u de ‘Hernoem soort’ optie van het componentmenu.
Binnen een dienst kan elk fysieke onderdeel maar één keer voorkomen. Hetzelfde fysieke onderdeel kan wel in twee verschillende diensten aanwezig zijn. Om aan dat aan te geven, doet u het volgende.
Eerst maakt u een componentsoort door de componenten dezelfde naam te geven in elk dienstendiagram. Dan, om aan te geven dat de soort één fysieke component weergeeft in plaats van twee ‘kopieën’, gebruikt u het menu-item ‘Maak uniek’. Merk op dat de naam van unieke componenten nog steeds in het rood wordt weergegeven, maar dat de volgletter ontbreekt.
‘Maak uniek’ kan alleen gebruikt worden als de componenten van de soort in verschillende diensten voorkomen. Als een componentsoort meer dan één component in een dienst bevat, zal de component opflitsen om aan te geven dat er geen identieke component van gemaakt kan worden.
Om van een unieke component weer een soort te maken, gebruikt u het menu-item ‘Maak soort’.
Ter ondersteuning kunnen notities worden toegevoegd aan een diagram. U maakt notities door het sjabloon naar het werkblad te verslepen, net zoals u dat voor componenten doet.
Notities kunnen willekeurige tekst bevatten. U kunt notities groter en kleiner maken, dupliceren, verwijderen, of van een label en kleur voorzien op dezelfde wijze als diagramcomponenten. De tekst in een notitie kan niet worden opgemaakt (vet, grote letter, e.d.).
Componenten kunnen worden verbonden door de connector (de ronde decoratie bovenaan de component) te verslepen naar een andere component. Als een verbinding niet mogelijk is (actors kunnen bijvoorbeeld niet direct worden verbonden met een draadloze verbinding), dan zullen beide componenten kort opflitsen, en er zal geen verbinding ontstaan. Met verbindingen kunt u:
Verbindingen kunnen niet verplaatst worden; zij volgen automatisch de twee componenten die zij met elkaar verbinden.
Het is soms mogelijk om meer verbindingen te hebben dan volgens de regels zijn toegestaan op een component (zie Diagrammen van telecomdiensten). Tijdens het bewerken van een diagram is dat soms handig. U moet de extra verbindingen later verwijderen om een geldig diagram te hebben. In de tussentijd zal de waarschuwingsdriehoek verschijnen.
Een aantal componenten kan worden geselecteerd, en als groep worden verschoven of verwijderd. Klik en sleep ergens op het werkblad tussen componenten om een selectie te maken. Terwijl u sleept geeft een blauwe rechthoek de huidige selectie aan. Verplaats alle componenten in de selectie door de selectie-rechthoek zelf te verslepen.
U kunt het selectiemenu oproepen met de menu-indicator in de rechter bovenhoek, of met de rechter muisknop. Gebruik het menu om alle componenten in de selectie te verwijderen, of om ze gezamenlijk een label te geven.
Het menu maakt verschillende bewerkingen op een component mogelijk:
bekijk kwetsbaarheidsbeoordelingen in een venster.
label de component met een van de 8 beschikbare labels.
wijzig het icoon van de component, afhankelijk van de huidige icoonverzameling.
Voor componenten die tot een soort behoren:
wijzig het type van de component (bijvoorbeeld van een draadloze verbinding in een wolkje).
dupliceer de component. Dit creëert een componentsoort.
verwijder de component.
Het componenttype aanpassen kan gebruikt worden om een fout te herstellen. Bijvoorbeeld om Apparatuur te wijzigen in een wolkje, als later in te analyse toch blijkt dat de situatie complexer is dan u eerst dacht. Merk op dat kwetsbaarheidsbeoordelingen niet behouden blijven als het type van de component wordt aangepast. Het is meestal niet mogelijk om beoordelingen te behouden, omdat componenten van verschillende typen heel verschillende kwetsbaarheden kennen.
Het type van een component aanpassen en meteen weer herstellen is een snelle manier om alle kwetsbaarheidsbeoordelingen op die component te wissen.
U kunt labels gebruiken om componenten te markeren. Met een label kunt u bijvoorbeeld aangeven dat een component nog ‘ter controle’ is, of andere informatie weergeven die normaal geen onderdeel is van diagrammen, zoals eigenaarschap, verantwoordelijkheid of fysieke locatie. Elk label wordt in de diagrammen weergegeven met een kleur (u kunt dit verbergen door labelkleuren uit e zetten op de Instellingen werkbalk). De labelkleuren hebben geen enkele relatie met de kleuren die kwetsbaarheidsniveaus aangeven.
Kies een label uit het menu om dat label toe te kennen. Verwijder het label door ‘Geen label’ te kiezen uit het menu. Een component kan niet meer dan een label hebben.
Labels zijn ook erg nuttig zijn bij het groeperen van componenten in het gedeelde foutenscherm (Maak clusters).
De labels zelf zijn standaard vernoemd naar hun kleur, maar kunnen worden aangepast door ‘Wijzig labels’ te kiezen uit het componentmenu, of met de Labels-knop op de Start werkbalk. Herstel een label naar zijn standaardwaarde door de naam blanco te maken.
Het venster met beoordelingen van kwets-baarheden wordt opgeroepen met het compo-nentmenu (met uitzondering van actoren). In het venster met kwetsbaarheidsbeoordelingen kunt u kwetsbaarheden toevoegen, verwijderen, en aanpassen. U kunt:
Met de knoppen in de werkbalk kunt u:
Wees voorzichtig met plakken van kwetsbaarheidsbeoordelingen; deze drie regels worden gehanteerd:
Het is nog niet mogelijk om de omschrijving van kwetsbaarheden aan te passen of toe te voegen; dat kan alleen via de checklist van sjablonen.
Beoordeel enkele foutoorzaken van componenten.
In het ‘Enkele fouten’ scherm kunt u kwetsbaarheden beoordelen die één enkele component raken. Dit biedt soortgelijke mogelijkheden als het venster met kwetsbaarheidsbeoordelingen in het diagrammenscherm, maar toont de beoordelingen van meer dan een component.
Het enkele foutenscherm is, net als het diagrammenscherm, verdeeld in meerdere tabbladen, een voor elke dienst. U kunt diensten toevoegen, verwijderen, hernoemen en herschikken op dezelfde manier als in het Diagrammenscherm.
Elke component of componentsoort in de geselecteerde dienst wordt getoond met behulp van een inklapbare kop. De indicatie Onvolledig verschijnt als een van de kwetsbaarheidsbeoordelingen voor de component of soort nog niet klaar is. Een beoordeling is klaar als zowel de Frequentie als de Impact een andere waarde dan ‘–’ hebben. Open of sluit de beoordeling van kwetsbaarheden door te klikken op de kop van de kwetsbaarheidsbeoordeling. De knoppen Alles open en Alles dicht op de Start werkbalk sluiten en openen alle kwetsbaarheidsbeoordelingen.
Als een kop is uitgeklapt (geopend) dan wordt de beoordeling van alle kwetsbaarheden zichtbaar. Dit werkt op dezelfde manier als het venster met kwetsbaarheidsbeoordelingen in het Diagrammenscherm.
Groepeer componenten en beoordeel gedeelde foutoorzaken.
In het gedeelde foutenscherm beoordeelt u de mogelijkheid dat twee of meer componenten gelijktijdig verstoord raken. Meestel moeten twee componenten voldoende dichtbij elkaar zijn voordat een incident beide kan raken. Bijvoorbeeld, twee apparaten in hetzelfde gebouw zullen bij een stroomstoring beide uitvallen.
Het gedeelde foutenscherm heeft geen tabs voor elke dienst. Gedeelde foutoorzaken worden beoordeeld voor het project als geheel. Deze beoordeling wordt voor iedere kwetsbaarheid eenmaal gedaan, mits die kwetsbaarheid minstens tweemaal voorkomt in het project. Kwetsbaarheden die slechts op één component voorkomen worden niet getoond; voor een gedeelde foutoorzaak zijn minstens twee componenten nodig.
Elke kwetsbaarheid wordt gepresenteerd met een kop, gevolgd door de kwetsbaarheids-beoordelingen, en uiteindelijk door de lijst van componenten en clusters.
Elke gedeelde foutoorzaak wordt getoond met behulp van een inklapbare kop. De indicatie Onvolledig verschijnt als een van de kwetsbaarheidsbeoordelingen in het cluster nog niet klaar is. Een beoordeling is klaar als zowel de Frequentie als de Impact een andere waarde dan ‘–’ hebben. Open of sluit de beoordeling van kwetsbaarheden door op de kop te klikken. U kunt alle kwetsbaarheidsbeoordelingen gelijktijdig openen of sluiten met de knoppen Alles inklappen en Alles uitklappen op de Start werkbalk.
Als een kopje is uitgeklapt (geopend) wordt een tabel met kwetsbaarheidsbeoordelingen van clusters zichtbaar.Lijnen geven de structuur van clusters-binnen-clusters aan. Hier kunt een cluster hernoemen door de naam aan te klikken. Bevestig de nieuwe naam door ergens buiten het veld te klikken, of toets Enter. Annuleer (herstel de oude naam) met de Escape toets. Het stam-cluster heeft de naam van de kwetsbaarheid, en kan niet hernoemd worden. Ook kunt u aanpassen wat de Frequentie of Impact is. Klik om het lijstje met opties op te roepen. Klik de gewenste keuze, of toets de letter ervan in. U kunt ook opmerkingen toevoegen of wijzigen.
De frequentieschatting van een cluster is vaak lager dan de frequenties van de afzonderlijke componenten in het cluster. Het gaat immers om een omvangrijker uitvalsscenario. Maar als dat scenario zich voordoet, moet de impact minstens zo groot zijn als de hoogste impact op een van de componenten.
Stel dat uitval een router leidt tot langdurige uitval van een telecomdienst. De impactklasse daarvan is Hoog. Gelijktijdige uitval van die router en nog een andere component zal dus ook minstens leiden tot langdurige uitval, en moet dus ook minstens impact Hoog hebben.
De Raster applicatie laat een waarschuwing zien wanneer de impactschatting zo'n ondergrens kent. Wordt toch een lagere impactklasse toegekend dan verwacht, dan wordt dat in de kwetsbaarheidsbeoordeling aangegeven (zie hieronder).
Om de inhoud van alle clusters bij een kwetsbaarheid te zien klikt u op de kop. De huidige geselecteerde kop wordt in blauw weergegeven. De inhoud ervan wordt dan aan de rechterzijde getoond.
Rechts van de tabel met kwetsbaarheidsbeoordelingen worden alle componenten getoond die de kwetsbaarheid bezitten. In eerste instantie staan alle componenten in één lijst, gesorteerd op label en naam. Er zijn twee manieren om componenten in clusters in te delen: met behulp van de menu's, en door ze heen en weer te slepen. Met beide manieren kunnen componenten worden geclusterd en herschikt in een geneste structuur.
Elke component wordt getoond als een eenvoudige witte regel. U kunt meerdere componenten selecteren en met het menu verplaatsen naar een nieuw of bestaand cluster.
U kunt:
Om alle geselecteerde componenten te verplaatsen gebruikt u de rechter muisknop om het menu op te roepen.
Let op dat na het verplaatsen van de componenten alle clusters met minder dan twee componenten en sub-clusters automatisch worden opgeschoond.
Elk cluster heeft een grijze kop; de componenten in dat cluster staan onder kop, na eventueel de sub-clusters. Anders dan componenten kunnen koppen van clusters niet geselecteerd worden.
Open en sluit een cluster door op de kop te klikken (rechts van de kop, of op het driehoekje).Hernoem een cluster door de naam aan te klikken. Het top-cluster kan niet worden gesloten of hernoemd; het heeft altijd dezelfde naam als de kwetsbaarheid zelf.
Om een cluster te verplaatsen of verwijderen, klikt u erop met de rechter muisknop om het menu op te roepen.
Componenten en sub-clusters kunnen ook worden geordend en herordend door ze heen en weer te slepen. Tijdens het slepen van een component of een sub-cluster zullen alle plaatsen waar die component/sub-cluster kan worden neergezet licht-groen oplichten. U kunt eerst een aantal componenten selecteren en ze dan gezamenlijk verslepen. U kunt:
een nieuw sub-cluster maken, door een component bovenop een andere component te slepen. Beide componenten moeten bij hetzelfde cluster horen, en komen in een nieuw sub-cluster daarvan. Zie de figuur hieronder. Het nieuwe cluster krijgt een standaard naam, met die twee componenten en alle andere selecteerde componenten daaronder, met een ingesprongen kantlijn.
een component verplaatsen, door het op de kop van een willekeurig cluster te slepen.
een cluster verwijderen (opheffen), door de kop van dat cluster op de kop van het bovenliggende cluster te slepen, als in de figuur hieronder. De componenten in het cluster zullen worden opgenomen in het bovenliggende cluster. De beoordeling voor het cluster zal verloren raken.
een cluster verplaatsen, door de kop van dat cluster op de kop van een ander cluster dan dat van zijn direct bovenliggende cluster te slepen. Het cluster wordt een sub-cluster van het cluster waar het neergezet werd. Zie de figuur hieronder:
Bekijk rapportages en hulp bij de risico-evaluatie van het project.
Het analysescherm toont een aantal rapportages, enkele daarvan interactief, die nuttig zijn bij het opstellen van de groslijst en shortlist in de Risico-evaluatie stap. Tabbladen aan de onderkant van het scherm bieden toegang tot de verschillende hulpmiddelen en rapporten.
Deze tabel toont een samenvatting van alle kwetsbaarheden tegen alle enkele en gedeelde foutoorzaken. Het helpt om de meest kritieke componenten snel zichtbaar te maken.
De tabel is interactief. U kunt:
Snelle verbeteringen zijn kwetsbaarheden die het totale kwetsbaarheidsniveau bepalen. Die kwetsbaarheid verkleinen betekent dat meteen het totale kwetsbaarheidsniveau daalt. Snelle verbeteringen zijn daarom een nuttige prioriteit voor beheersmaatregelen (‘laaghangend fruit’).
Deze tabellen tonen een overzicht van alle schattingen. De Frequentie tabel laat zien hoe vaak iedere frequentie-klasse is toegekend in een enkele of gedeelde foutoorzaak, en de totalen per klasse en component-type (in getallen en visueel). De Impact tabel doet hetzelfde voor impactbeoordelingen. De laatste tabel laat de gecombineerde kwetsbaarheidsniveaus zien. Alle tabellen zijn ter informatie.
Deze tabellen tonen het aantal keren dat ieder type component voorkomt in iedere dienst, en voor het project als geheel. Ze zijn slechts ter informatie.
Twee overzichten helpen om te bepalen hoe bruikbaar elke checklist was, en welke kwetsbaarheden zijn toegevoegd tijdens de stap van Enkele Foutoorzaken.
Verwijderde kwetsbaarheden: toont alle kwetsbaarheden die in een checklist voorkomen maar die voor een component zijn verwijderd. Kwetsbaarheden toevoegen en verwijderen waarschuwt ervoor dat kwetsbaarheden alleen mogen worden verwijderd als ze fysiek onmogelijk zijn. Deze rapportage helpt om dat te controleren.
Eigen kwetsbaarheden: toont alle kwetsbaarheden die bij een component voorkomen, maar die niet in een checklist staan. Dit is ter informatie.
Het tabblad Groslijst selecteert alle enkele en gedeelde kwetsbaarheden boven een gekozen niveau. Dit kan de basis vormen voor een eerste versie van de groslijst in Stap 4. Vaak kan de lijst met alle Hoge kwetsbaarheden, samen met alle kwetsbaarheden die als Onbekend en Tegenstrijdig zijn beoordeeld, gebruikt worden als groslijst.
Wat technische informatie ‘achter de schermen’.
De intranet applicatie is ontwikkeld voor recente versies van Firefox, Google Chrome, Safari, en Edge. Het werkt in alle web-browsers identiek, met minimale verschillen. Internet Explorer wordt niet ondersteund.
De applicatie gebruikt automatisch de voorkeurstaal zoals die in uw web-browser is ingesteld. Op dit moment worden alleen Nederlands en Engels (de standaardinstelling) ondersteund. Stel de taalvoorkeur in in uw web-browser om te kiezen welke taal de intranet applicatie gebruikt.
Het is niet mogelijk om Raster te gebruiken in meerdere tabbladen of vensters van dezelfde web-browser. Als Raster in meer dan een browser-venster of -tab actief is, dan zullen uw projectgegevens beschadigd raken en zult u waarschijnlijk al uw werk kwijtraken. De applicatie waarschuwt wanneer het mogelijk in een andere tab al gebruikt wordt.
In zeldzame gevallen kunt u deze waarschuwing zien terwijl Raster toch nergens anders actief is. Dat kan bijvoorbeeld gebeuren wanneer de web-browser crashte en niet in staat was om netjes af te sluiten. Als dat voorkomt, verzeker u er dan van dat Raster nergens anders actief is voordat u verder gaat.
Het is wel mogelijk om Raster te gebruiken in twee aparte web-browsers op dezelfde computer. Bijvoorbeeld in Firefox en Chrome. Als het project niet privé is maar gedeeld (zie sectie Werken met de intranetapplicatie), dan is het mogelijk om gelijktijdig aan hetzelfde project te werken. Gedeelde projecten kunnen ook gelijktijdig bekeken en bewerkt worden vanaf twee computers.
De frequentie van kwaadaardige kwetsbaarheden hangt af van de ergst denkbare aanvaller en van de moeilijkheidsgraad, als in onderstaande tabel.
Onderstaande tabel beschrijft hoe de Raster applicatie het kwetsbaarheidsniveau bepaalt op basis van Frequentie en Impact klassen.
In de tabel is te zien dat het binnenste deel voor Frequentie en Impact L, M, en H overeenkomt met verwachte schade, ondanks dat Frequentie en Impact niet volledig numeriek zijn. Deze drie klassen vertegenwoordigen gematigde waarden, waarvoor de ‘kans maal impact’ benadering geschikt is.
Als de Impact extreem hoog (V) is, dan maakt het niet uit wat de waarschijnlijkheid is, omdat het risico bij elke waarschijnlijkheid onacceptabel is. Als de Frequentie extreem hoog is (als het bijna zeker is), dan is het vrijwel zeker dat schade zal optreden. Het is daarom noodzakelijk om tegenmaatregelen te nemen. Ook in dit geval is het risico dus onacceptabel.
Als de Impact extreem laag is (bijna afwezig, symbool U), dan maakt het weinig uit of een incident optreedt; het risico zal als extreem klein worden ervaren. Dezelfde afweging geldt voor risico's waarin de Frequentie extreem klein is.
Deze afwegingen zijn tegenstrijdig wanneer een van Frequentie of Impact V is en de ander U. Daarvoor bestaat echter de klasse Tegenstrijdig, symbool A.
Als de Frequentie of Impact onbekend is, dan is ook de combinatie ervan niet bekend. We willen echter altijd bijhouden of waarden als Tegenstrijdig waren gemarkeerd, omdat die informatie relevant is voor beslissingnemers. Als een waarde niet-beoordeeld is (het min-teken in de tabel), dan is het resultaat ook niet te beoordelen. De waarde Onbekend kan daarvoor niet gehanteerd worden, omdat de onbekend waarde Tegenstrijdig (A) zou kunnen zijn.
Het kwetsbaarheidsniveau voor een component wordt berekend door het ‘maximum’ te nemen van de niveaus van de afzonderlijke kwetsbaarheden op die component. De volgorde van laagste naar hoogste waren is:
(laagste) - U L M H X A V (hoogste)Het symbool – geeft hier het niveau ‘nog niet beoordeeld’ weer.
An iconset is a collection of cartoon-style images to create Raster diagrams. You can create your iconsets. Use the Default iconset as an example.
Each iconset should be stored in its own directory inside the
iconset directory. The name of the directory should match
the name of the iconset. The iconset must contain a description in JSON
format; the file must be called iconset.json; e.g. for
iconset Medical the description must be stored in
iconset/Medical/iconset.json. See below for the definition
of the the iconset.json file.
Icons have a type (either wired link, wireless link, equipment,
unknown link or actor). There must be one or more icons for each type.
For each icon there must be two files: the icon and its icon mask. If no
mask is specified, the mask is assumed to have the same name as its icon
but with -mask appended (and with the same extension). In
addition to the icon and the mask, the first icon of each type must
specify the template-image (the user drags the template from the toolbar
onto the workspace to create new nodes). If no template image is
specified, then the name is assumed to be the icon name with
-template appended.
E.g;
machine.png will have the default mask
machine-mask.png, and the default template will be
machine-template.png.tube.jpeg will have the default mask
tube-mask.jpeg, and the default template will be
tube-template.jpeg.Files for icons, masks and templates may be stored in the iconset
directory (at the same level as iconset.json) or in
subdirectories.
Icon and mask images typically have transparent areas. The icon is displayed on a colored background. Some areas of the icon will have the background color. The mask image determined the extent and size of the background. Non-transparent areas of the mask will take the background color, transparent areas of the mask will remain transparent. The icon is drawn on top of its background.
This must be a valid JSON file, containing a single object. Some of
the (sub-)fields are multi-language strings. Multi-language strings are
objects in with property names are (capitalized) language codes, and
property values are the string in that language. E.g.
{"EN": "This is an example", "NL": "Dit is een voorbeeld"}
Fields are mandatory, unless specified as optional.
setDescription: Multilanguage string (optional), a
phrase describing this iconset.icons: Array of icon descriptions; see below.The first five icons in the array must be of types tEQT, tWRD, tWLS, tUNK, tACT, in that order. Any additional icons must be specified after these five.
type: String, one of tWLS, tWRD, tEQT, tUNK, tACT.image: String, the name of the image file.mask: String (optional), the name of the mask file.
Default = derived from the image filename.template: String (optional), the name of an image file
that can be used as the template image. Default = derived from the image
filename.name: Multi-language string (optional), description of
this icon. Default = image filename.width: integer (optional), the default width of the
icon in pixels. Default = 100. Allowed range is 20..200height: integer (optional), the default height of the
icon in pixels. Default = 30. Allowed range is 10..100title: String (optional), location of the title, one of
inside, below, topleft. Inside:
the title is centered horizontally and vertically within the icon.
Below: the title is drawn centered and below the icon. Topleft: the
title is aligned to the left margin, and vertically aligned at the top.
Default = inside.margin: String (optional), left and right margin of the
title as a percentage of the icon width. Does not apply when title =
below. Increase the margin to fit the title inside the icon. Default =
0.offsetConnector: real number between 0.00 and 1.00
(optional). The connector is always drawn at the top of the icon; this
offset specifies its horizontal location: 0.00 means at the extreme
left, 0.5 means centered, 1,0 means at the extreme right. Default =
0.5.maintainAspect: boolean (optional). If false, the width
and height can be adjusted independently. Default = true.Make sure that iconset.json is a valid JSON file. Raster
will report parsing errors in the Developer tools|Console.
This section applies to the intranet tool, not to the standalone tool.
A group is a separate area in which projects can be stored
on the web server. The group’s directory can be protected using the web
server’s access authorization; a sample htaccess file is
provided as an example. Although groups are mainly useful for Shared
projects, all Private projects belong to a specific group as well.
The default group is called public_group and has no
access control; the web server administrator can override this if
required.
To create a new project group (called samplegroup in
these instructions):
samplegroup. All files should be readable by the web
server; the directory SharedProjects should be
writable.group.json if
required.The settings for a group are stored in a JSON configuration file. Currently the file may contain these fields:
false) If
true, classroom functionality is enabled on this group. See below.template is specified, the iconset in the
template project takes precedence for new projects. See the
Iconsets.md for details.false) If
true, projects cannot be retrieved nor stored on the server. The
template will still be used, if present. If this set, only private
projects will be possible.A template is most useful to define default iconset, vulnerabilities and labels, instead of the builtin defaults. It is possible, although perhaps less useful, to include services and nodes in the template.
If no shared project with the template name exists, an empty project (with builtin defaults) will be used instead.
classroom optionFor training purposes it may be useful to provide sample projects to
the students, which the students should not be able to modify. This can
be achieved by setting the classroom property to
true. When classroom functionality is enabled, opening a
shared project will create a new private copy instead. This way each
student can open the projects provided by the course teacher, and make
their own personal changes.
Students cannot set their private projects to shared, to prevent them
from uploading their work for others to see. You can think of the
classroom option as “can retrieve but cannot store”.
Note: when classroom functionality is enabled, shared projects will be called “Exercises” in the project library on the Projects toolbar.
localonly optionWhen localonly is set to true, the server
offers even less functionality. No project can be stored on the server,
as is the case when classroom is true. But in
addition, no projects will be retrieved from the server. The list of
projects in the Projects toolbar will only show private projects.
However, the template project will still be retrieved from the server if
localonly is set.
You can think of the localonly option as “cannot
retrieve and cannot store”.
To put the course materials (with the classroom option)
and/or template on the web server, first temporarily disable the
classroom and localonly properties by setting
them to false in the group.json file. Then
create your projects, and share them (in the project properties using
the tool) to upload them to the server. Edit as required. Finally, when
all is set, edit group.json again to set
classroom or localonly options to true.
When either the classroom or localonly
option is true, the SharedProjects directory on the web server can be
made read-only.
Additional iconsets can be installed in two locations: either in the
img/iconset directory or in the group’s directory. Iconsets
installed in img/iconset are available to all groups on the
server. Iconsets installed in a group’s directory are available to
projects in that group only. In either case it is not sufficient to
install the iconset files on the web server: it must also be explicitly
enabled using the iconset field in
group.json.
Installing a new iconset therefore requires two steps: copying the
new set into the iconset directory (either under
img or in de group’s directory), then edit the
group.json file accordingly.
This section applies to the standalone tool, not to the intranet tool.
There are a few advanced settings that can be modified by editing the
prefs.json configuration file. This file is stored in the
user’s application data directory:
%APPDIR% (most often
C:\Users\«username»\AppData\Roaming\Raster).Library/Application Support/Raster in the
user’s home directory.The file prefs.json is used by the Raster application to
save user preferences between sessions. This is a plain JSON file, and
the two relevant properties are:
disablehardwareacceleration: Set this to
false to enable hardware acceleration. It is
disabled by default for maximum compatibility.
iconsets: This is an array of strings that specifies
the names of the available iconsets. The the first name will be used for
new projects. To disable the “default” iconset and only allow iconset
“myicons”, use the following line:
"iconsets": ["myicons"]
Each project will use one iconset for its diagrams. Two iconsets are
provided: “Default” and “Classic”. You can create and add addition
iconsets; see the file Iconsets.md for details. Additional
iconset must be stored in the user’s application data directory, inside
the iconset directory. The iconset directory
does not exist by default; create it before adding custom iconsets.