Wiik, Johannes, Virkningsfull håndtering av IT-sikkerhetshendelser, PhD, disputas: 08.06.2007

Universitetet i Bergen : Doktorgrader : 2007

NY DOKTORGRAD

Virkningsfull håndtering av IT-sikkerhetshendelser

Cand.Polit. Johannes Wiik disputerer fredag 8. juni 2007 for PhD graden ved Universitetet i Bergen med avhandlingen:

"Dynamics of Incident Response Effectiveness – A System Dynamics Approach"

Computer Security Incident Response Teams (CSIRTs) eksisterer med det formål å hjelpe organisasjoner som opplever sikkerhetshendelser og angrep i nettverk og informasjonssystemer tilknyttet Internet. En CSIRT fungerer dermed på mange måter som Internets brannvesen ved at en CSIRT bistår organisasjoner som har blitt offer for angrep, samtidig som de koordinerer global informasjonsflyt mellom andre involverte parter. Per dags dato finnes det ingen helhetlige studier som har analysert:

1. hva virkningsfull hendelseshåndtering er over tid
2. hva som forhindrer virkningsfull hendelseshåndtering
3. hvilke tiltak som kan forbedre hendelseshåndtering

For å belyse disse overordnede problemstillingene har kandidaten gjort en studie av DFN-CERT. Dette er en CSIRT som er ansvarlig for å koordinere responsen til sikkerhetshendelser relatert til universiteter og forskningsinstitusjoner i hele det tyske forskningsnettverket. En systemdynamisk simuleringsmodell har blitt utviklet for å forstå og gjenskape den dynamiske utvikling for DFN-CERT fra 1993 til 2005 med en holistisk tilnærming. Den samme modellen har også blitt benyttet til å analysere mulige langtidsvirkninger av alternative tiltak for å forbedre hendelseshåndtering ti år frem i tid. Modellen fremstår dermed som en teori som forklarer dynamikken rundt hendelseshåndtering.

Gjennom simuleringsmodellen avdekket studien tre områder med problemdynamikk av betydning innenfor henholdsvis høyprioritetshåndtering, lavprioritetshåndtering og forholdet mellom intern og ekstern rapportering innenfor og utenfor ansvarsområdet.

For det første viste studien at arbeidsmengden og antallet rapporterende organisasjoner av høyprioritetshendelser varierte syklisk. Dette skyldtes feedbackløkker med lange tidsforsinkelser. Den mest betydningsfulle forsinkelsen lå i forholdet mellom den faktiske kvaliteten på hendelseshåndtering og den antatte kvaliteten på hendelseshåndtering blant dem som rapporterer. Syklisk adferd er uheldig fordi organisasjonen vil svinge mellom enten å tilby tjenester med redusert nytteverdi fordi overutnyttelse av ressurser gir lav kvalitet, eller ved at man har tilgjengelige ressurser som blir bortkastet ved å tilby for høy kvalitet til færre av dem som trenger hjelp. Studien foreslår at en CSIRT kan oppnå større stabilitet ved å redusere tidsforsinkelser i feedbackprosessen, for eksempel ved å aktivt kommunisere det nivå av tjenestetilbud man til enhver tid er i stand til å tilby.

For det andre viste studien at arbeidsmengden av lavprioritetshendelser vokste eksponentielt over tid pga. automatiserte angrep og automatisert rapportering av slike hendelser. Til tross for betydelig effektiviseringstiltak, var ikke CSIRT-organisasjonen i stand til å håndtere denne voksende arbeidsmengden med sine relativt stabile manuelle ressurser over tid. Dette førte til at man gradvis håndterte en mindre og mindre andel. I tillegg underminerte det enorme arbeidsvolumet ressursallokeringen til høyprioritetshendelser så vel som til utvikling av automatisert lavprioritetshåndtering. Studien foreslår at man enten må ignorere slike lavprioritetshendelser eller utvikle en automatisert respons som kan skalere til en økende arbeidsmengde uavhengig av de menneskelige ressurser som er til rådighet. Utvikling og vedlikehold av slik automatisering må foretas med egne separate ressurser da deling av ressurser med hendelseshåndteringsprosessen vil underminere ressursallokeringen over tid.

For det tredje viste studien at sterkere sosiale nettverk blant organisasjoner utenfor ansvarsområdet av DFN-CERT gjorde at tiltrekningen av slike rapporterende organisasjoner var sterkere eksternt enn internt innenfor ansvarsområdet. CSIRT-organisasjonen ble derfor gradvis ble mer og mer avhengig av ekstern rapportering som fylte opp arbeidskapasiteten på bekostning av intern rapportering. Denne forskyvningen er uheldig fordi CSIRT-organisasjonen finansieres av de interne kunder i ansvarsområdet som da får mindre oppmerksomhet. Studien foreslår at det beste tiltaket for å opprettholde balansen mellom intern og ekstern rapportering er å redusere tapsraten av internt rapporterende kunder.

Personalia:
Johannes Wiik tok cand.polit. graden ved Institutt for informasjonsvitenskap, UiB i 2001. Han har deretter jobbet flere år som konsulent. I slutten av 2003 ble han ansatt som stipendiat ved Høgskolen i Agder (HiA) som har finansiert arbeidet, og fra 1. januar 2004 ble han tatt opp som doktorgradsstudent ved UiB.

Tidspunkt og sted for prøveforelesningen:
08.06.2007, kl. 10:15. Oppgitt emne: Proactive versus reactive policy tradeoffs: in computer security and more generally in other areas.”
Sted: Ulrike Pihls hus, Professor Keysersgt. 1

Tidspunkt og sted for disputasen:
08.06.2007, kl. 13:15, Ulrike Pihls hus, Professor Keysersgt. 1

Kontaktpersoner:
Johannes Wiik, tlf. 951 25 981, epost: Johannes.Wiik@broadpark.no
Formidlingsavdelingen v/ mediekontakt Monika Sandnesmo, tlf. 55 58 91 70 (a), e-post: monika.sandnesmo@form.uib.no

Avhandlingen kan lånes på Det samfunnsvitenskapelige fakultetsbibliotek. For kjøp/bestilling av avhandlingen kontakt kandidaten direkte.