4 Stap 2 — Analyse enkele foutoorzaken

Beschrijf telecomnetwerken en analyseer kwetsbaarheden van componenten.

In deze stap zult u voor elke telecommunicatiedienst een diagram tekenen, en beoordeelt u de kwetsbaarheden van elke component van de betreffende dienst. Hierdoor krijgt u een goed inzicht in het functioneren van elke telecommunicatiedienst en krijgt u een eerste indruk van de bijbehorende risico's.

Het resultaat wordt vastgelegd in de Raster applicatie: diagrammen van telecomdiensten en de beoordeling van de waarschijnlijkheid en effecten van de kwetsbaarheden van diagram­componenten.

De stap van de analyse van enkele foutoorzaken bestaat uit de volgende stappen:

1.

Werk de checklist met kwetsbaarheden bij

2.

Teken de eerste versie van de diagrammen

3.

Analyseer de kwetsbaarheden van componenten (beoordeel de Frequentie en de Impact)

4.

Werk onverkende verbindingen uit

5.

Review

Op basis van de rampscenario's uit Stap 1, moet u de meest voorkomende kwets­baar­heden van netwerkcomponenten beschrijven. Hiervoor worden checklists gebruikt. Een checklist bevat de naam en de beschrijving van de meest voor­komende kwetsbaarheden. Een goede checklist bespoedigt en vereenvoudigt het analyseproces.

Maak een nieuw Raster project aan (zie paragraaf 8.2.1) en bekijk de voor­gedefinieerde checklist voor elk type netwerkcomponent (zie paragraaf 9.1). Voeg zo nodig nieuwe kwetsbaarheden toe. Neem kwetsbaarheden op die het meest van toepassing zijn op dit type component en laat kwetsbaarheden achterwege die slechts beperkt voorkomen. De checklists hoeven niet compleet te zijn; elke netwerk­component kan eigen kwetsbaarheden hebben die niet in de checklist voor­komen. Als de meest voorkomende kwetsbaarheden al zijn opgenomen in de checklist, dan hoeven nog maar weinig uitzonderingen te worden meegenomen.

Er zijn drie checklists: één voor apparatuur, draadgebonden en draadloze verbin­dingen. Voor actorcomponenten bestaat er geen checklist. Kwetsbaarheden bij actoren vallen buiten de reikwijdte van de Raster methode. Er is ook geen aparte checklist voor onverkende verbindingen. Deze kunnen namelijk bestaan uit een mix van de drie andere componenttypen en kunnen daarom alle kwetsbaarheden uit de bijbehorende checklists bevatten.

De kwetsbaarheden van actoren worden buiten beschouwing gelaten. Voorbeeld: in Raster wordt het door een actor verkeerd begrijpen van een ontvangen boodschap niet opgenomen, maar configuratiefouten, het verkeerd gebruik van hand­sets of cybercriminaliteit kunnen wel worden meegenomen. Dit soort kwets­baarheden vormen in Raster een onderdeel van de apparatuurcomponenten en niet van de actor die ervoor verantwoordelijk is. Onderhoudspersoneel zijn geen actoren in de diagrammen.

Maak voor elke telecommunicatiedienst een diagramtab in de Raster applicatie (zie paragraaf 9.3.1). Als twee diensten veel overlap vertonen in onderliggende technische componenten, kan het handiger zijn om die twee in één diagram te combineren. Dat voorkomt dat dezelfde componenten in meerdere diagrammen voorkomen, maar maakt dat diagram wel complexer en minder overzichtelijk.

Voorbeeld: als het interne kantoornetwerk ook gebruikt wordt voor VoIP telefonie, is het handiger om telefonie en kantoorautomatisering in één diagram te combineren.

Teken vervolgens, op basis van de informatie die op dat moment beschikbaar is, voor elke telecomdienst een eerste versie van het diagram. De diagrammen zullen naar alle waarschijnlijkheid nog niet al te gedetailleerd zijn, maar in ieder geval moeten alle bij de dienst betrokken actoren getekend worden. Het is altijd mogelijk om een diagram te tekenen, ook als er los van de betrokken actoren, helemaal geen informatie beschikbaar is. In dat geval kunnen de actoren verbonden worden met een onverkende verbinding (‘wolk’ symbool). Het tekenen en redigeren van de diagrammen met behulp van de Raster applicatie, wordt uitgelegd in paragraaf 9.3.

De volgende richtlijnen kunnen worden gehanteerd bij het maken van diagrammen:

Een kabel met meerdere aders of bundels moet als een enkele draad­gebonden verbinding worden weergegeven. Twee kabels binnen dezelfde leiding moeten in het diagram worden weergegeven als twee draadgebonden verbindingen.

Point-to-multipoint verbindingen moeten worden weergegeven als enkele draadloze verbindingen, maar soms komt het beter uit om ze als aparte draadloze verbindingen aan de ontvangende componenten te verbinden. Als u van tevoren al weet dat een verbinding naar een bepaald type componenten tot een zelfde soort risico leidt, dan dient u voor het gemak ook een enkele draadloze verbinding gebruiken.

Apparatuurcomponenten kunnen bestaan uit een enkel apparaat of een gehele installatie. Voorbeeld: een kleine telefoon exchange kan worden weergegeven als een enkele apparatuurcomponent. Dergelijke installaties bevatten vaak meerdere kabels en subcomponenten. Meestal is het niet nodig om deze apart weer te geven, maar als een installatie over meerdere ruimtes is verspreid of als er draadloze verbindingen worden gebruikt, dan moeten de subcomponenten apart worden weergegeven. Als alternatief mag er ook een onverkende verbinding worden gebruikt voor deze apparatuur.

Deze activiteit moet voor elke component worden uitgevoerd. Iedere stap wordt er één component gekozen voor nadere analyse.

Bekijk per component de lijst met kwetsbaarheden. Er kunnen andere kwetsbaar­heden bestaan die niet in de algemene checklist staan. Deze kwetsbaarheden moeten nog worden toegevoegd. De rampscenario's die in Stap 1 zijn gemaakt, dienen als richtlijn bij het besluit om eventuele kwetsbaarheden toe te voegen.

Voorbeeld: telecommunicatiesatellieten zijn kwetsbaarheid voor ruimteafval. Deze kwetsbaarheid doet zich niet voor bij andere vormen van apparatuur en staat daar­om ook niet op de apparatuur checklist. Anderzijds zijn satellieten niet kwetsbaar voor overstromingen. Om die reden moet ‘Botsing met ruimteafval’ worden toe­gevoegd en ‘Overstroming’ worden verwijderd.

Een kwetsbaarheid mag niet verwijderd worden tenzij ze duidelijk onzinnig is. Een configuratiefout op een apparaat waar niets aan te configureren valt bijvoorbeeld, of waterschade bij een ruimtesatelliet. Om een kwetsbaarheid te kunnen verwijderen, moet ze fysiek onmogelijk zijn en dus niet alleen praktisch onwaarschijnlijk. In alle andere gevallen moet de waarschijnlijkheid en de effecten van de kwetsbaarheid worden beoordeeld (hoewel ze beide als extreem laag kunnen worden bepaald). De kwetsbaarheid moet onderdeel zijn van de review in aan het einde van Stap 2.

Als een kwetsbaarheid is verwijderd, zal die component ook niet meer getoond worden in de lijst onder gedeelde foutoorzaken. Ook dat is een reden om kwetsbaarheden niet te verwijderen.

Het is van belang om kwetsbaarheden die hoogst onwaarschijnlijk zijn maar niet fysiek onmogelijk voor de analyse te behouden omdat dit soort kwetsbaarheden een extreme groot effect kunnen hebben. Gebeurtenissen van het type geringe waarschijnlijkheid / groot effect moeten niet buiten beschouwing blijven bij de risico­analyse.

Als de lijst met kwetsbaarheden compleet is, moeten alle kwetsbaarheden worden beoordeeld. De analisten moeten op basis van hun gezamenlijke kennis de volgende twee factoren inschatten:

1.

de waarschijnlijkheid (de Frequentie) dat een kwetsbaarheid tot een incident zal leiden;

2.

de effecten (de Impact) van het incident.

De factoren Frequentie en Impact zijn in acht klassen onderverdeeld, samengevat in tabellen 4.1 en 4.2. Een klasse betekent niet een getalsmatig bereik (een hoogst en laagst mogelijke waarde), maar beschrijft een kenmerkende eigenschap van deze klasse. De keuze voor de juiste klassen vereist wellicht enige discussie onder de analisten. De analisten moeten overtuigende argumenten aanvoeren voor de keuze van een klasse.

Soms is een factor (de Frequentie of de Impact) extreem groot of extreem klein. Extreem hoge waarden zijn niet gewoon heel erg groot, maar zo groot dat ze niet binnen de normale schaal passen; ze zijn onaanvaardbaar en ontoelaatbaar hoog. Hetzelfde geldt voor waarden die zo extreem laag zijn dat ze buiten de schaal van normale waarden vallen en daarom soms probleemloos genegeerd kunnen worden. Extreme waarden vallen buiten de normale ervaringen van de analisten en de andere belanghebbenden waardoor er geen normale redeneertrant op toe te passen valt.

Als er tussen de analisten geen consensus kan worden bereikt, dan kan de klasse ‘Tegenstrijdig’ worden gebruikt. In het opmerkingenveld zouden de analisten kort moeten uitleggen wat de oorzaak van het meningsverschil is en welke klassen de verschillende analisten zelf zouden hebben gekozen.

Een beperkte hoeveelheid onzekerheid is onvermijdelijk en hoort ook bij een risicobeoordeling. Maar als de onzekerheid zo groot wordt dat er meerdere klassen aan een factor toegekend kunnen worden, dan moet gekozen worden voor de klasse ‘Onbekend’.

De Raster applicatie ondersteunt bij het vastleggen van de resultaten uit de analyse. De applicatie berekent ook automatisch de gecombineerde kwetsbaarheidsscore voor elke kwetsbaarheid en het totale kwetsbaarheidsniveau voor elke compo­nent (zie paragraaf 9.3.11 en hoofdstuk 10, en paragraaf 13.2 voor de technische details).

Vaar niet blind op uw eerste inschatting van de Frequentie en de Impact. U moet vertrouwen op de informatie die uw inschatting bevestigen, maar ook actief zoeken naar bewijs van het tegendeel.

De factor Frequentie geeft de waarschijnlijkheid aan waarmee de kwetsbaarheid tot een incident zal leiden met gevolgen voor de telecommunicatiedienst. Alle 8 klassen kunnen worden gebruikt voor Frequentie (zie tabel 4.1).

Een Frequentie van ‘Eens in de 50 jaar’ is een gemiddelde en betekent niet dat er gegarandeerd elke 50 jaar een incident plaatsvindt. Het kan als volgt geïnter­preteerd worden:

De gemiddelde looptijd tussen twee incidenten bij een enkele component is 50 jaar.

Bij 50 identieke componenten kan er gemiddeld elk jaar bij één daarvan een incident voorkomen.

De component heeft elk jaar een kans van 1 op 50 op een incident.

Als de levensduur van een component 5 jaar is (of als de component elke 5 jaar wordt vervangen), dan nog kan de Frequentie van de kwetsbaarheid ‘eens in de 500 jaar’ zijn.

Voorbeeld: een component wordt altijd na een jaar vervangen, ook als het nog steeds werkt. Gemiddeld valt 10% van de componenten uit voor dat jaar voorbij is. De algemene waarschijnlijkheid voor deze uitval wordt daarom geschat op ‘eens in de 10 jaar’ ook al wordt een component nooit zo lang gebruikt.

Deze waarde ligt tussen de kenmerkende waarden voor Hoog en Matig. De analisten moeten samen besluiten welke van deze twee klassen wordt toegekend.

Doorloop de volgende 3 stappen om de factor Frequentie te bepalen:

1.

Bepaal de klasse die in het algemeen toepasbaar is op dit type component.

Dit kan gebaseerd zijn op, bijvoorbeeld, ervaringen uit het verleden of op expertise. Indien beschikbaar, zouden ook MTBF-cijfers (‘Mean Time Between Failures’. de gemiddelde tijd dat een dienst zonder onderbreking zijn afgesproken functie kan uitvoeren) moeten worden gebruikt, of anders uitvalpercentages.

2.

Bedenk waarom deze specifieke component een hogere of lagere Frequentie moet hebben dan gebruikelijk.

Bestaande tegenmaatregelen maken de waarschijnlijkheid lager dan gebruikelijk. Als een organi­satie, bij voorbeeld, al een generator klaar heeft staan die aanslaat zodra de stroom uitvalt, dan wordt de waarschijnlijkheid van incidenten door stroomuitval daardoor teruggebracht. Onthoud dat de factor Frequentie niet gaat over de waarschijnlijkheid dat de kwetsbaarheid optreedt, maar over de waarschijnlijkheid dat de kwetsbaarheid zal leiden tot een incident.

Bij sommige componenten kan door bewaking uitval worden ontdekt voordat deze daadwerkelijk plaatsvindt. Dit zal ook de waarschijnlijkheid van incidenten doen afnemen. Een ander voorbeeld is het gebruik van hoogwaardige componenten, of van beveiligde en bewaakte apparatuurruimten. Al deze maatregelen maken incidenten onwaar­schijnlijker.

Klasse

Waarde

Symbool

Hoog

Eens in de 5 jaar.

Bij 100 identieke componenten zullen er elke maand 1 of 2 incidenten plaatsvinden.

H

Matig

Eens in de 50 jaar.

Bij 100 identieke componenten zullen er elk jaar 2 incidenten plaatsvinden.

M

Laag

Eens in de 500 jaar.

Bij 100 identieke componenten zal er eens in de 5 jaar een incident plaatsvinden.

L

Extreem hoog

Normale gang van zaken. Zeer vaak.

V

Extreem laag

Zeer zeldzaam, maar niet fysiek onmogelijk.

U

Tegenstrijdig

Geeft aan dat er onder de analisten een gebrek aan consensus is.

A

Onbekend

Geeft aan dat er een gebrek aan kennis of informatie is.

X

Nog niet geanalyseerd

Standaardinstelling. Geeft aan dat er nog geen beoordeling gedaan is.

Tabel 4.1 : Kenmerkende waarden voor Frequentie klassen.

De rampscenario's kunnen een aanwijzing zijn dat de waarschijnlijkheid groter is dan gebruikelijk. In crisissituaties is het vaak waarschijnlijker dat een incident zich zal voordoen. Stroomuitval komt bijvoorbeeld niet veel voor, maar is veel waar­schijnlijker tijdens overstromingen. Deze rampen komen vrij weinig voor. De algehele waarschijnlijkheid wordt daarom bepaald door:

de waarschijnlijkheid van stroomuitval onder normale omstandigheden;

de waarschijnlijkheid van stroomuitval tijdens een overstroming in combinatie met de waarschijnlijkheid van overstroming.

3.

Bepaal de Frequentie-klasse per component.

Meestal zullen Laag, Matig of Hoog worden gebruikt. Als geen van deze de klassen op een juiste manier de waarschijnlijkheid weergeeft, dan kan een van de extreme klassen worden gebruikt. Als er geen van deze klassen met consensus kan worden toegekend, dan moet er gebruik gemaakt worden van ‘Tegenstrijdig’ of ‘Onbekend’.

De factor Impact geeft de ernst van het effect aan wanneer een kwetsbaarheid tot een incident leidt. Deze ernst is het effect op de dienst in het geheel, en dus niet alleen op de component die de kwetsbaarheid ervoer. Een stroomuitval zal bijvoor­beeld ervoor zorgen dat apparatuur tijdelijk niet meer werkt. Dat is normaal en op zichzelf nauwelijks relevant, tenzij dit van invloed is op de beschikbaarheid van de telecommunicatiedienst. De stroomuitval kan ertoe leiden dat de dienst uitvalt (als de apparatuur essentieel is), maar kan net zo goed helemaal geen gevolgen hebben (als de apparatuur een back-up voorziening heeft). Of iets daartussen.

In deze stap moet alleen rekening worden gehouden met de effecten op de telecom­municatiediensten. Verlies van handel, boetes en andere vormen van schade worden buiten beschouwing gelaten, maar kunnen wel van belang zijn voor de risico-evaluatie (zie paragraaf 6.3.2).

Schade kan worden veroorzaakt door een incident waardoor ook andere compo­nenten getroffen worden. Een kabel kan bijvoorbeeld beschadigd worden door een aardbeving; dezelfde aardbeving zal waarschijnlijkheid ook tot schade aan andere componenten leiden. Maar deze extra schade moet niet meegenomen worden. Alleen de schade aan de component zelf bepaalt de Impact. In de volgende stap, over gedeelde foutoorzaken, wordt wel gekeken naar incidenten die tot meer­voudige uitval leiden.

De Impact van een kwetsbaarheid op een component bestrijkt:

– alleen gevolgen voor de dienst, niet de gevolgen voor de component zelf,

– alleen gevolgen voor de dienst, niet de gevolgschade voor de organisatie,

– alleen effecten die het gevolg zijn van schade aan een individuele component, niet de gevolgen van een uitvalscenario.

Alle 8 klassen kunnen gebruikt worden voor de Impact. Kenmerkende waarden voor de klassen hoog, matig en laag vindt u in tabel 4.2.

Gebruik de volgende stappen om de factor Impact te bepalen:

1.

Kies de Impact-klasse die in het algemeen van toepassing is op de Impact van het incident.

2.

Bedenk redenen waarom de Impact groter of kleiner zou zijn dan uit de eerste beoordeling naar voren kwam.

Bestaande redundantie kan het effect terugbrengen of opheffen. Een telecom­municatie­dienst kan zo ontworpen zijn dat wanneer een draadloze verbinding uitvalt, een back-up kabelverbinding in werking treedt. Het effect van de uitval van de draad­loze verbinding is daardoor afgenomen.

Een automatisch alarm en bewaking kunnen het effect van incidenten beperken. Als incidenten snel opgepikt worden, kunnen herstelwerkzaamheden sneller worden uitgevoerd. Het op voorraad hebben van reserveonderdelen, het hebben van een goed opgeleid reparatieteam en het regelmatig doen van oefeningen dragen alle bij aan het verlagen van het effect van uitval en moeten dan ook in de beoordeling meegenomen worden. Anderzijds, kan de afwezigheid van dergelijke maatregelen het effect van een incident juist vergroten.

3.

Bepaal de Impact-klasse.

Meestal zullen Laag, Matig of Hoog worden gebruikt. Als geen van deze de klassen het effect op een juiste manier weergeeft, dan kan een van de extreme klassen worden gebruikt. Als er geen van deze klassen met consensus kan worden toe­gekend, dan moet er gebruik gemaakt worden van ‘Tegenstrijdig’ of ‘Onbekend’.

Het maakt bij de keuze van een Impact-klasse normaalgesproken niet uit of één actor getroffen is, of dat het er meerdere zijn. Alle actoren zijn belangrijk, anders zouden ze niet in het diagram staan. Als de analisten het eens zijn dat slechts een klein aantal actoren getroffen is, dan kunnen ze een lagere klasse kiezen (bijvoor­beeld Laag in plaats van Matig).

De betekenis van ‘korte termijn’ en ‘lange termijn’ hangt af van de taken activiteiten van de actoren. Een uitval van twee minuten is kort voor vaste telefonie maar lang voor een ‘realtime’ op afstand besturen van drones en robots.

Klasse

Waarde

Symbool

Hoog

Gedeeltelijk onbeschikbaar, indien niet te repareren.

Totale onbeschikbaarheid, indien het langdurig is.

H

Matig

Gedeeltelijk onbeschikbaar, indien te repareren (op de korte of lange termijn).

Totale onbeschikbaarheid, indien van korte duur.

M

Laag

Waarneembare achteruitgang, te repareren (op de korte of lange termijn) of niet te repareren.

L

Extreem hoog

Zeer langdurende of niet te repareren onbeschikbaarheid

V

Extreem laag

Geen waarneembare gevolgen, of geen getroffen actoren.

U

Tegenstrijdig

Geeft aan dat er onder de analisten een gebrek aan consensus is.

A

Onbekend

Geeft aan dat er een gebrek aan kennis of informatie is.

X

Nog niet geanalyseerd

Standaardinstelling. Geeft aan dat er nog geen beoordeling gedaan is.

Tabel 4.2 : Kenmerkende waarden voor Impact klassen.

‘Degradatie’ betekent dat actoren een achteruitgang in dienstverlening merken (bijvoor­beeld ruis tijdens telefoongesprekken, ongebruikelijke vertraging in de verzen­ding van e-mail­berichten), maar niet in die mate dat de uitvoering van taken of verantwoordelijkheden wordt gehinderd.

‘Gedeeltelijke onbeschikbaarheid’ is een ernstige vorm van degradatie of onbeschik­baarheid van bepaalde onderdelen van de dienst zodat actoren hun taken of verantwoordelijkheden niet goed kunnen uitvoeren. Bijvoorbeeld: e-mail kan alleen intern verzonden worden, door ruis zijn telefoongesprekken nauwelijks te verstaan, mobiele data is onbeschikbaar maar mobiele gesprekken en SMS zijn niet getroffen. Actoren kunnen nog steeds een deel van hun taken uitvoeren, maar andere taken zijn onmogelijk of kosten meer moeite.

‘Totale onbeschikbaarheid’ betekent dat actoren geen van hun taken of verantwoor­de­lijkheden goed kunnen uitvoeren met de telecommunicatiedienst (er kan bijvoor­beeld wel gebeld worden maar gesprekken zijn volstrekt onverstaanbaar vanwege de slechte kwaliteit van de verbinding).

‘Extreem hoog’ betekent dat als het incident optreedt de schade zo groot is dat een volledig herontwerp van de telecommunicatie­dienst noodzakelijk is, of de dienst moet worden beëindigd en vervangen omdat reparatie niet doenlijk is.

Het totale kwetsbaarheidsniveau van een component wordt bepaald door de ergste kwetsbaarheid van die component. Als sommige kwetsbaarheden niet zijn beoordeeld (de Frequentie en de Impact zijn niet bepaald), dan zullen ze ook niet bijdragen aan het totale kwetsbaarheidsniveau. Het kan dus tijd schelen om de beoordeling van onbelangrijke kwetsbaarheden links te laten liggen.

Het is van groot belang om alle kwetsbaarheden met een Hoge en Extreem Hoge Impact volledig te beoordelen. Dit geldt ook als de Frequentie laag is.

Als een onverkende verbinding een kwetsbaarheidsniveau van Tegenstrijdig of Onbekend heeft, moeten de analisten bepalen of ze de component verder uitwerken of niet. Uitwerken betekent dat de interne opbouw van de compo­nent wordt onderzocht; de onverkende verbinding wordt uit het diagram verwijderd en de verschillende onderdelen ervan worden als separate componenten aan het diagram toegevoegd, als nieuwe draadgebonden en draadloze verbindingen en apparatuur, wellicht met nieuwe onverkende verbindingen. Uitwerking resulteert in een gedetailleerder model en leidt tot extra diagramcomponenten. De kwetsbaar­heden van deze nieuwe componenten moeten ook worden geanalyseerd, net als bij de andere diagramcomponenten.

Het is niet altijd nodig om onverkende verbindingen verder uit te werken. Als de analisten denken dat de moeite die erin gestoken moet worden te groot is of niet tot een nauwkeuriger of meer verhelderend resultaat leidt, dan kan verdere uitwerking achterwege blijven.

Nadat alle componenten zijn geanalyseerd, moet er een review plaatsvinden. Alle analisten moeten deelnemen aan deze review. Het doel van deze review is om fouten en inconsistenties te signaleren en om te bepalen of de analyse van enkele foutoorzaken afgesloten kan worden.

Als een van de componenten een kwetsbaarheidsniveau van ‘Tegenstrijdig’ of ‘Onbekend’ heeft, dan moeten de analisten bepalen of er verder onderzoek gedaan moet worden om de kwetsbaarheden in de component beter te kunnen beoordelen. Als de analisten denken dat de moeite die erin gestoken moet worden te groot is of niet tot een nauwkeuriger of meer verhelderend resultaat leidt, dan kunnen ze de component zo laten.

Als de analisten besluiten om een deel van de analyse van enkele foutoorzaken over te doen, dan moeten ze afloop ook opnieuw een review doen. Deze review kan achterwege blijven als analisten van mening zijn dat het alleen om kleine veranderingen gaat.