Vad är dataanalys och hur arbetar man med det för att öka säkerheten?

Martin Palmqvist 2 januari, 2024

Introduktion

Förstå omvärlden för att hantera risker

Lägesbild, omvärldsbevakning, hotbildsanalys… kärt barn har många namn men gemensamt är behovet att förstå sin omvärld och hur den kan påverka den egna verksamheten. I sin enklaste form handlar det om att jobba med informationsinsamling och -analys för att få mer information om exempelvis olika hot, sårbarheter och i slutändan risker, – eller möjligheter.

Kom igång med Dataanalys

Många frågor kan uppstå när man ska starta i gång sitt analysarbete. Hur ska vi börja? Vilken information ska samlas in? Hur ska vi analysera informationen och var ska vi egentligen hitta den information vi behöver? I många fall kan det vara så att man hört talas om begrepp så som OSINT eller kanske någon analysmetod som exempelvis PMESII men inte riktigt hur man ska applicera dem – eller om det ens är dessa metoder som ska användas. I den här artikeln ska vi försöka reda ut dessa frågetecken och förhoppningsvis bidra med en tydligare bild av hur man kan komma i gång med att förstå sin omvärld.

Två personer sitter vid ett bord. En person bakom en dator samtalar med person framför datorn

En stabil grundstomme ger rätt slutresultat

För att få ut så mycket som möjligt av den här typen av arbete är det viktigt att man har en stabil grundstomme att stå på, med andra ord att man jobbar strukturerat och metodiskt. Vilket arbetssätt man sedan använder skiljer sig ibland mellan olika verksamheter. Även om olika metoder kan lämpa sig olika väl i olika fall, är vår erfarenhet att det viktigaste är att komma i gång och arbeta systematiskt enligt någon av de metoderna som finns – man kan alltid utvärdera och justera senare. Detta minskar risken för ett planlöst arbete och sporadiska resultat som i värsta fall kanske inte ens besvarar det ursprungliga behovet eller syftet med arbetet.

Så här börjar du

Fem steg sätter grunden

Ett grundläggande flöde inspirerat av underrättelsemetodik som ofta används för att strukturera upp sitt arbete bygger på fem steg:

1. Inriktning

2. Insamling

3. Bearbetning

4. Analys

5. Rapportering

1. Inriktning

Definiera vad det är ni vill samla in information om.

Det kan låta lättare sagt än gjort men svaren ni i slutändan får, blir inte bättre än de frågor ni ställer. Det är därför av vikt att försöka vara så precis i sitt informationsbehov som möjligt.

Detta inkluderar vem informationen är till för, i vilket syfte, hur den ska presenteras/användas och om det finns några andra begränsningar i form av resurser eller metoder. Ofta kan det börja med ett mer eller mindre vagt behov som att förstå potentiella risker – vilket kan besvaras på en mängd olika sätt.

Någon kanske skulle associera ett sådant behov till att samla in information om olika cyberhotaktörer medan någon annan kanske tänker på kommande lagstiftningar som skulle kunna leda till juridiska påföljder. Det är därför viktigt att jobba tillsammans med uppgiftsställaren för att konkretisera frågeställningen så mycket som möjligt – ju bättre frågor, desto bättre svar!

Exempelvis, handlar det om att bättre förstå er exponering på internet så är det viktigt att definiera vilken exponering det handlar om. Handlar det om möjliga sårbarheter i er nätverksinfrastruktur (och inkluderas i sådana fall era underleverantörer?), läckta användarkonton (vilka användarkonton?) eller något annat?

2. Insamling

Samla in informationen.

Med utgångspunkt i de frågeställningar, behov och begränsningar ni definierat i inriktningssteget så behöver ni nu fundera på var informationen kan finnas, och vilka metoder som kan vara lämpliga för att få tag på informationen. I dagens digitala informationssamhälle är den absolut vanligaste källan internet och det som kallas för Open Source Intelligence (OSINT).

Om man använder en sådan insamlingsmetod behöver man fundera på var den öppna informationen ni är intresserade av att hitta finns. Ni behöver också fundera på vilka specifika källor som ni behöver använda er av och om ni behöver någon slags stöd i form av verktyg för att genomföra insamlingen.

En frågeställning som kan vara nyttig att ha med sig är om det faktiska svaret på frågan man ställer finns i klartext eller om man behöver arbeta med indikatorer av något slag. Exempelvis, vill man bevaka risken för att bli utsatt för ett cyberangrepp kanske inte ett konkret svar på den frågan står att finna i alla lägen.

Man kanske i stället väljer att bevaka hur det egna företaget, branschen och/eller landet omskrivs för att fånga upp eventuella förändringar – och därmed få en indikator kring det egna riskläget.

3. Bearbetning

Bearbeta informationen.

Mängden information som samlas in är i direkt relation till hur precis fråga man ställt – ju precisare frågeställning, desto mindre informationsmängd. Det är dock ofta inte praktiskt möjligt att enbart samla in relevant information. Förmodligen kommer ni att samla in mer information än den som behövs för att besvara er fråga.

Informationen kommer därför att behöva filtreras, sorteras, struktureras eller bearbetas på något annat sätt för att den ska bli begriplig och hanterbar. På grund av den enorma informationsmängd som finns på internet leder ofta en insamling från öppna källor till stora datamängder och därmed uppstår behovet av specifika verktyg för att kunna hantera och strukturera detta på ett effektivt sätt.

Notera dock att detta steg inte handlar om att börja analysera informationen, även om bearbetningen kan ses som ett första steg till analysen, utan att göra informationen redo för analys. En liknelse kan vara att om man har en mängd olika fysiska nyhetstidningar utifrån vilka man vill förstå det nuvarande konfliktläget i världen så kan bearbetningssteget handla om att klippa ut enskilda artiklar och göra en mapp med artiklar för varje pågående konflikt, samtidigt som man sorterar bort artiklar som inte berör konflikter alls. Slutresultatet är då mer redo för analys än en stor hög med blandade artiklar.

4. Analys

Analysera informationen.

I vissa fall är analyssteget överflödigt om frågans natur och bearbetningen vaskat fram det enda och exakta svaret på frågeställningen. Dessa fall är dock inte majoriteten och även om informationen är bearbetad så behövs det ofta någon slags analys av den för att den ska ge största möjliga värde.

Beroende på vilken typ av information och frågeställning det handlar om kan det röra sig om statistiska bearbetningar eller andra kvantitativa metoder såväl som att med hjälp av experter granska informationen mer kvalitativt. Gemensamt för detta steg är att det ofta handlar om att applicera någon slags analysmetodik och att det ofta kräver ett stort kunnande om både sakfrågorna och analysmetodik hos den som utför analysen.

Inte sällan handlar det om att få fram ett resultat som är större än den ingående informationsmängden i stil med att 1 + 1 blir 3 där de två ettorna skulle kunna motsvara den insamlade informationsmängden medan det som adderas för att få resultatet till tre är analytikerns kunnande. Exempelvis kan det handla om kunnande om lagstiftningsprocesser för att bedöma hur sannolik en kommande EU-lagstiftning är att gå igenom och i sådana fall vilka tidsramar det kan röra sig om innan den är fullt implementerad och ska efterlevas.

5. Rapportering

Presentera informationen och besvara frågan.

Beroende på vilken typ av fråga som ställts och vilken typ av information som samlats in kan olika metoder för att presentera slutsatsen vara lämpliga. Detta steg är viktigt att belysa eftersom det ofta försummas och därmed i värsta fall helt riskerar att förstöra värdet av informationen och det arbetet som gjorts.

Det är lätt att vara för snabb i sitt arbete efter att man genomfört sin analys och utan ytterligare tanke skicka resultatet vidare. Här behöver man gå tillbaka till inriktningen för att säkerställa att analysens svar verkligen besvarar frågeställningen man hade – och på rätt sätt. Särskilt påverkande är det vem som ska ha svaret på frågan, är det exempelvis era IT-tekniker vill de kanske inte ha strategiska utmaningar på fem års sikt och er styrelse vill förmodligen inte ha en lång lista på tekniska signaturer. Svaret behöver därför presenteras på olika sätt för att ge bästa möjliga värde.

Avslutning

Följer du alla steg ovan kommer du att vara en god bit på väg med att strukturera upp ditt arbete med att besvara informationsbehov med hjälp av öppna källor på internet. Behöver du lite extra hjälp på vägen eller är i behov av en mer utförlig lägesbild, omvärldsbevakning eller annan form av hotanalys, tveka inte att kontakta oss så hjälper vi dig att komma i gång.

Martin Palmqvist
Senaste inläggen av Martin Palmqvist