Værktøj til risiko- og sårbarhedsvurdering af cybersikkerhed
Trafikstyrelsens decentrale cyber- og informationsenhed (DCIS) har udarbejdet et værktøj som transportvirksomheder og andre organisationer kan anvende til at gennemføre risiko- og sårbarhedsvurderinger.
I alle organisationer er brugen af digitale data og systemer forbundet med risici i større eller mindre omfang. Risici kan ikke fjernes helt, men ved at organisationen danner sig et overblik over aktuelle risici kan ledelsen træffe beslutning om, hvordan organisationens ressourcer bedst skal prioriteres for at nedbringe risici til et acceptabelt niveau.
Trafikstyrelsen har i samarbejde med branchen og Center for Cybersikkerhed (CFCS) udviklet et værktøj til at udarbejde risiko- og sårbarhedsvurderinger i forhold til cyber- og informationssikkerhed. Værktøjet består af en række trusselsscenarier for digitale systemer og data, som anvendes i transportsektoren. Værktøjet kan anvendes uanset, om virksomheden i forvejen har en metode for risiko- og sårbarhedsvurderinger ift. cyber- og informationssikkerhed og blot søger input til analysen, eller hvis virksomheden skal have etableret en ny fast struktur for risikovurderinger på området. Værktøjet kan også benyttes af organisationer, som ikke er knyttet til transportsektoren.
Værktøjet til risikovurdering består af:
- Vejledning
- Trusselskatalog
- Risikoklassificeringsskema
- Analyseskema
Vejledningen er virksomhedens hjælp til at anvende risikovurderingsværktøjet. I vejledningen gennemgås både materialet samt risikovurderingsprocessen nærmere.
Download vejledningen her.
Trusselskataloget beskriver trusselsscenarier, som er relevante for virksomheden at forholde sig til. Scenarierne i trusselskataloget fokuserer b.la. på opretholdelsen af mobilitet og samfundskritiske transportfunktioner og på at sikre systemer, som er kritiske for passagernes sikkerhed både i relation til security-aspekter og safety-aspekter. Trusselsscenarierne kan dog også have andre konsekvenser, fx økonomiske tab eller mindre driftsmæssige forstyrrelser, som er vigtige for virksomheden.
Download trusselskataloget her.
Risikoklassificeringsskemaet anvendes til at fastsætte virksomhedens niveau for risikoaccept, dvs. risici, som virksomheden har identificeret som acceptable, og som ikke derfor ikke vurderes at skulle fjernes eller begrænses (yderligere).
Download skemaet her.
Analyseskemaet kan dokumentere og gennemgå risikovurderingens faser – identificering, analyse, evaluering og håndtering af risici – ud fra forskellige trusselsscenarier, der kan true virksomhedens data- og informationssikkerhed.
Download skemaet her.
Alle spørgsmål omkring risikovurderingsværktøjet kan rettes til Trafikstyrelsens DCIS via e-mailadressen cyber@trafikstyrelsen.dk, som også kan give hjælp og nærmere information.
Vil du vide mere?
Mere generel information om risikostyring og cybertruslen i Danmark kan findes på CFCS' hjemmeside eller via sikkerdigital.dk.
Læs mere her
CFCS Trusselsvurderinger
Sikkerdigital dk