7 De Raster methode uitvoeren

Praktische leidraad voor het uitvoeren van de Raster methode.

Uitvoeren van een risicoanalyse met Raster is een project waarvoor een geschikte projectleider nodig is. De projectleider moet over de volgende vaardigheden beschikken:

effectief kunnen begeleiden van projectbijeenkomsten,

ruime ervaring met de Raster methode,

voldoende kennis van ICT en telecomtechniek.

Tijdens de projectbijeenkomsten zorgt de projectleider ervoor dat iedere deelnemer voldoende aan het woord is, en dat alle standpunten besproken worden. Waar nodig vraagt de projectleider door, om meningen en schattingen aan te scherpen. De projectleider hoeft zelf geen telecom-expert te zijn, maar moet wel over voldoende ICT- en telecomkennis beschikken om de discussies te kunnen begeleiden. De projectleider kan zelf een van de analisten zijn, of zich alleen met de projectleiding bezig houden.

De volgende drie factoren zijn van invloed op het aantal en de keuze van de analisten.

1.

Om de Raster methode toe te passen op een organisatie is kennis nood­zakelijk vanuit diverse disciplines. Het analyseren van bedreigingen van com­po­nenten van telecomdiensten vereist diepgaande kennis van techniek, crisis­management, politieke en juridische onderwerpen, en de voor­keuren van externe belang­hebbenden. Van geen enkele analist kan verwacht worden dat hij of zij expert is op al deze gebieden.

2.

Raster vraagt analisten om te oordelen over onzekere scenario‘s, vaak zonder dat alle gewenste informatie beschikbaar is. Dit betekent dat beoordelingen onver­mijdelijk voor een deel subjectief zijn. Door analisten met diverse achter­gronden te laten deelnemen kan de mate van subjectiviteit binnen de perken blijven.

3.

Verschillende stappen in de Raster methode vragen om consensus. Als de groep te groot is, kost het meer tijd om overeenstemming te bereiken.

Deze factoren maken dat de groep analisten niet te klein, maar ook weer niet te groot kan zijn. De groep zou moeten bestaan uit experts op verschillende terreinen, en zou niet groter moeten zijn dan 10 personen.

 

Voordat een Raster project van start kan gaan, moet er een introductiebijeenkomst worden gehouden waarbij de projectleider de belangrijkste stappen demonstreert aan de hand van een verzonnen voorbeeld.

Het is vaak handig om met een kerngroep te werken. Die kerngroep bestaat dan uit de twee tot drie meest ervaren analisten, en de projectleider. De kerngroep heeft als taak om het meeste uitvoerende werk te verrichten, zodat de overige analisten zich kunnen beperken tot het aanleveren van hun kennis.

 

Gedurende stappen 2 en 3 zou een van de analisten moeten worden aangesteld als rapporteur. De taak van de rapporteur is om de diagrammen en de beoordelingen van kwetsbaarheden van componenten bij te houden met behulp van de Raster applicatie. De rapporteur kan een computer met een beamer gebruiken, zodat iedereen in de zaal één gemeenschappelijk beeld van de applicatie ziet. De projectleider kan ook de rapporteurs-rol vervullen.

Omdat de rapporteur alle beoordelingen bijhoudt, is hij of zij de meest aangewezen persoon om inconsistenties in de beoordelingen op te merken. De rapporteur moet extra goed opletten om conflicterende scores tussen componenten te zien, en deze ter discussie te stellen. Bijvoorbeeld, als een kwetsbaarheid als Matig wordt beoor­deeld in één component, maar als Laag in een andere, vergelijkbare compo­nent, dan zou de groep moeten overleggen of een van beide scores aanpassing behoeft.

In vervolgbijeenkomsten kan het handig zijn als de rapporteur afdrukken vanuit de Raster applicatie uitdeelt ter naslag.

Als een kerngroep gebruikt wordt, zal deze groep Stap 1 verzorgen. De resultaten worden dan bij de eerste projectbijeenkomst toegelicht, zodat ook de overige analisten hun bijdrage eraan kunnen leveren.

Meestal kan de analyse niet in één werkbijeenkomst worden afgerond. Om effectief gebruik te maken van de kennis van de analisten besluit de projectleider welke telecomdiensten en welke componenten tijdens de projectbijeenkomsten uitgewerkt worden. Het doel is om zoveel mogelijk standpunten te bespreken, en om elkaars argumenten voor frequentie- en impactschattingen te leren kennen. Op basis van het opgedane inzicht, kan de kerngroep dan de overige componenten uitwerken. Die resultaten worden dan bij de volgende projectbijeenkomst gepresenteerd en kort besproken. Vervolgens worden de enkele fouten van de volgende componenten uitgewerkt. Dat herhaalt zich totdat alle enkele fouten zijn uitgewerkt. Het is niet ongewoon dat er twee tot drie projectbijeenkomsten nodig zijn.

In de beoordeling van de frequentie en impact worden de al getroffen maatregelen meegenomen. Bestaande maatregelen verlagen kunnen de frequentie verlagen, de impact, of beide. Door de aanwezigheid van een noodstroomaggregaat, bijvoorbeeld, valt bij uitval van de netspanning apparatuur minder snel uit. Of doordat er een beschermhoesje om een mobieltje zit, zal het mobieltje minder snel fysiek beschadigd raken. De UPS en het beschermhoesje voorkomen niet dan de netspanning verstoort raakt of dat het mobieltje valt, maar helpen wel om te voorkomen dat dat tot een incident leidt, en dat is wat de Frequentie bepaalt.

Maatregelen die zorgen voor alternatieven of terugval-opties verlagen de impact. Bijvoorbeeld door een back-up server die de hoofdserver overneemt wanneer deze uitvalt. Of door het hebben van twee kabelverbindingen, zodat bij kabelbreuk het verkeer nog met gehalveerde capaciteit door kan gaan.

Tijdens het uitwerken moet telkens goed voor ogen worden gehouden wat de definitie van de frequentie- en impactklassen is. Ook de precieze interpretatie van de verschillende kwetsbaarheden moet consistent gehanteerd worden. De rapporteur of projectleider waken hierover.

De volgende toelichtingen bij de standaard kwetsbaarheden kunnen nuttig zijn. Ook staan hierbij suggesties voor andere kwetsbaarheden die voor kunnen komen.

Het gaat hier bijvoorbeeld om mobiele telefonie (GSM, UMTS, LTE), WiFi, draadloze DECT telefoons, bluetooth, draadloze audio- of videoverbindingen, toegangspassen voor elektronische sloten op deuren, portofoons, en afstandsbedieningen.

Interferentie. Onbedoelde verstoring door een radiobron in dezelfde frequentieband. WiFi, bijvoorbeeld, kan verstoord raken door andere zenders die in dezelfde frequentieband werken, of zelfs door een slecht afgeschermde magnetron. Verstoring door interferentie is vaak onvoorspelbaar, en van beperkte duur.

Jammen. Opzettelijke verstoring door een derde partij. Iemand probeert bijvoorbeeld doelgericht mobiele telefonie onmogelijk te te maken. Jammers worden soms door criminelen gebruikt, om opsporing moeilijker te maken. Jammen is vaak langdurig, en soms lastig op te sporen en te verhelpen.

Overbelasting. Verkeersaanbod overstijgt de capaciteit van de verbinding. WiFi-verbindingen kunnen op drukke plaatsen erg traag worden; ook mobiele telefonie kan moeilijk worden wanneer een menigte massaal gaat bellen of social media gaat gebruiken, bijvoorbeeld tijdens een festival of een groot incident. Overbelasting is vaak van kortere duur, maar kan bij grote incidenten ook hardnekkig zijn.

Zwak signaal. Verlies van signaalsterkte door afstand of afscherming door gebouwen, begroeiing, enz. In moderne gebouwen is de kwaliteit van mobiele telefonie soms minder goed, door metaalfolie in de isolerende beglazing. Ook onderin parkeergarages kunnen mobiele telefoons of portofoons last hebben van een zwak signaal. Vaak weten de gebruikers wel op welke plekken zij rekening moeten houden met signaalzwakte.

Binnenshuis gaat het bijvoorbeeld om snoeren, netwerkkabels, en patchkabels. Buitenshuis gaat het om glasvezel, coax, of traditionele koperkabels die ondergronds of bovengronds lopen. Elektrische netsnoeren vallen hier niet onder; kwetsbaarheden daarin kunnen worden meegenomen bij stroomuitval op apparatuur.

Kabelbreuk. Beschadiging door natuurlijke oorzaken, graafschade bij bouw­werkzaamheden, scheepsankers (bij zeekabels of kabels onder rivieren of kanalen), slechte contacten (corrosie, loszittende stekkers), of andere externe invloeden. Vooral bij patchkabels komt het voor dat bij onderhoud per ongeluk een verkeerde kabel wordt ontkoppeld. Ook die vergissing kan meegenomen worden onder kabelbreuk.

Overbelasting. Verkeersaanbod overstijgt de capaciteit van de verbinding. Deze kwetsbaarheid is vergelijkbaar met die op draadloze verbindingen. Ga uit van de werkelijke capaciteit, en niet van de theoretische capaciteit. Glasvezelkabels kunnen een enorme datasnelheid aan, maar als met de aanbieder een 2 Mbps contract is afgesloten, is de snelheid begrensd tot 2 Mbps. Vaak zijn de effecten al merkbaar bij een belasting van 50%. Een voorbeeld van overbelasting is de situatie waarin alle kantoor PC’s tegelijkertijd hun maandelijkse updates downloaden.

Kabelveroudering. De isolatie van kabels verzwakt mettertijd. Dit speelt vooral bij kabels buitenshuis, die worden blootgesteld aan weer en wind. Kabelveroudering uit zich in ruis of storing. Wanneer een kabel door veroudering geheel verbroken raakt, valt dat onder kabelbreuk.

Aanvullende kwetsbaarheden. Sommige kabels zijn gevoelig voor elektro­magnetische interferentie. Dat houdt in dat de kabel werkt als antenne voor stoorsignalen uit nabije zenders of andere apparaten.

Fysieke schade. Brand, aardbeving, bluswater, vallen, stoten of andere fysieke schade. Het gaat hier om ongewone externe invloeden. Een gebruiker laat zijn mobiele telefoon of portofoon vallen, een kop koffie valt over een laptop, of de automatische blusinstallatie gaat af.

Stroomuitval. Uitval van voedingen of stroomtoevoer. Voor apparaten die gevoed worden met een oplaadbare accu betekent dit dat de accu leeg is. Als noodstroom aanwezig is, verlaagt dat de kans op stroomuitval. De stroomtoevoer naar het apparaat wordt immers niet onderbroken. Pas wanneer ook de noodstroom ermee ophoudt, is er sprake van stroomuitval. Een defect aan de voeding van het apparaat wordt meestal meegenomen in de kwetsbaarheid Stroomuitval, en niet in Defect. Per ongeluk uitschakelen van het apparaat, of per ongeluk de stekker eruit trekken, wordt ook meestal meegenomen in Stroomuitval, en niet in Configuratie. Wanneer een apparaat geen netsnoer heeft en niet accu-gevoed is, kan de kwetsbaarheid Stroomuitval voor dat apparaat worden verwijderd. Bijvoorbeeld voor WiFi access points of IP-telefoons die Power over Ethernet (PoE) gebruiken.

Configuratie. Verkeerde instellingen of fouten door beheerders of gebruikers. Het kan gaan om hardware instellingen (knopjes, volumeregelaars) of om software instellingen. Apparaten kunnen worden beheerd door de eindgebruiker zelf, door een IT-afdeling, door een externe leverancier, of een combinatie daarvan. Op complexe apparaten als smartphones en laptops zijn er veel instellingen die een gebruiker zelf verkeerd kan doen, waardoor zijn apparaat niet meer naar behoren functioneert. Een IT-afdeling kan een verkeerde patch uitrollen, waardoor alle PC’s in de organisatie verstoord raken. Een portofoon kan op het verkeerde kanaal zijn ingesteld. of de volumeknop kan laag gezet zijn waardoor een oproep gemist wordt. Per ongeluk uitschakelen wordt meestal als Stroomuitval meegerekend. Alleen heel eenvoudige apparaten kennen geen configuratiemogelijkheden. Soms worden apparaten eenmalig ingesteld, om er vervolgens nooit meer aan te wijzigen. Ook bij die apparaten kan de kwetsbaarheid Configuratie worden verwijderd.

Defect. Uitval van een intern onderdeel zonder aanwijsbare oorzaak, mogelijk veroudering. Het gaat hier om spontane uitval; apparaten hebben nu eenmaal een beperkte levensduur. Ook een nieuw apparaat kan toevallig stuk gaan binnen de garantietermijn. Defect en Fysieke schade lijken erg op elkaar, en de impact van beide zal vaak hetzelfde zijn. De frequenties zullen vaak wel verschillen.

Aanvullende kwetsbaarheden. Op sommige locaties is Diefstal een probleem. Het ene apparaat is aantrekkelijker voor dienstal dan andere. Ook Oververhitting kan een probleem zijn. In grote serverruimtes zijn de problemen niet te overzien wanneer de airconditioning zou uitvallen. Verder is apparatuur, net als kabels, soms gevoelig voor Elektromagnetische interferentie.

De volgende tips kunnen helpen bij het kiezen van de kenmerkende eigenschap en bij het indelen van de clusters. Bij elk cluster en sub-cluster hoort een verhaal, een uitvalsscenario. Bijvoorbeeld: “als in deze ruimte de stroom uitvalt, zullen al deze apparaten uitvallen”. Het bedenken van zo’n verhaal is een goede controle; als u geen plausibel verhaal kan geven, is de clusterindeling waarschijnlijk niet juist.

Interferentie. De kenmerkende eigenschap is hier de frequentieband, in combinatie met geografische nabijheid. Voor twee draadloze verbindingen om gestoord te worden door dezelfde radiobron, moet die bron op een nabijgelegen frequentie uitzenden, en relatief dichtbij staan.

Jammen. De meeste jammers werken op één bepaalde frequentieband. Omdat het hier om opzettelijke verstoring gaat, is ook het motief van de verstoorder relevant. De meeste jammers hebben een beperkt bereik. Clusters worden dus ingedeeld op “wie zou waar en om welke reden de communicatie willen verstoren?”

Overbelasting. Overbelasting kent meestal een tijdelijke oorzaak. Wanneer er veel activiteit is, kan het mobiele telefoonnet of private communicatienetten overbelast raken. Dit kan dus meerdere frequentiebanden tegelijk raken (GSM, UMTS en LTE, bijvoorbeeld). Afhankelijk van de gebruikte technologie kan overbelasting lokaal zijn, of het hele netwerk raken.

Zwak signaal. Een zwak signaal komt eigenlijk alleen voor bij mobiele apparatuur. Een gelijktijdig incident vereist dus dat één gebruiker met twee apparaten (bijvoorbeeld een portofoon en een mobiele telefoon) op een plek is met slechte dekking, of dat twee gebruikers op zo’n plek zijn.

Kabelbreuk. De kenmerkende eigenschap is geografische nabijheid; kabels de dezelfde plaats liggen, kunnen gelijktijdig getroffen worden door invloed van buitenaf. Ondergrondse kabels lopen vaak via hetzelfde tracé, of door dezelfde onderdoorgangen bij wegen of kanalen.

Overbelasting. Zie onder draadloze verbindingen.

Kabelveroudering. De kenmerkende eigenschap kan hier zijn of de kabel ondergronds, bovengronds, of binnenshuis gebruikt wordt. Indien de leeftijd van kabels bekend is, kan er een onderverdeling op leeftijd gemaakt worden.

Fysieke schade. Voor vaste apparatuur is de kenmerkende eigenschap geografische nabijheid. Mobiele apparatuur vormt een eigen cluster, waarbij eventueel onderscheid gemaakt kan worden tussen verschillende soorten gebruikers.

Stroomuitval. Voor vaste apparatuur is de kenmerkende eigenschap geografische nabijheid. Mobiele apparatuur vormt een eigen cluster, waarbij onderscheid gemaakt kan worden aan de hand van akkuduur.

Configuratie. De kenmerkende eigenschap is wie de instellingen beheert of kan wijzigen: de IT-afdeling, een externe leverancier, professionele eindgebruikers, of algemene eindgebruikers. Computers worden beheerd door een IT-afdeling maar eindgebruikers kunnen ook zelf (per ongeluk) instellingen wijzigen. Breng de apparatuur dan onder in de meest risicovolle groep.

Defect. Apparatuur wordt vaak in batches gekocht. Het is dan niet ondenkbaar dat meerdere apparaten (ongeveer) gelijktijdig defect raken. Leeftijd is een relevante eigenschap, maar ook het soort gebruik maakt uit. Apparaten waar ruw mee omgesprongen wordt, hebben een grotere kans op spontane defecten dan apparatuur die vast opgesteld is.

 

Vaak is één projectbijeenkomst voldoende, waarna de kerngroep de uitwerking van alle gedeelde foutoorzaken voor zijn rekening neemt.

Het opstellen van de groslijst en de shortlist kan waarschijnlijk in één werksessie worden afgerond. De kerngroep kan deze keuze ook voorbereiden. Op basis van de shortlist moeten de maatschappelijke risicofactoren worden beoordeeld.

Het samenvoegen van het materiaal tot een eindrapport kan bij de kerngroep worden belegd. Het leeuwendeel van de rapportage voor Stap 1 kan worden herbruikt en de afdrukken uit de Raster applicatie kunnen als bijlage worden gebruikt, zoals werd voorgesteld in het sjabloon in paragraaf 6.4.