PublikacjePunkt Widzenia

Niedoskonałości oceny ryzyka cyberbezpieczeństwa

Odpowiednie rozpoznanie i opisanie struktury ryzyka podstawą jego właściwej oceny

Ważne
  • Zarządzanie ryzykiem nie jest sprawą łatwą. Regulacje prawne i wszelakie wytyczne zawsze pozostają w tyle. Niezbędnym elementem skutecznego zarządzania ryzykiem jest staranność i nie pomijanie (nie lekceważenie) nieistotnych – jak by się wydawało – zjawisk i okoliczności. Zarządzanie ryzykiem, w tym ocena ryzyka, jest również narażone na ryzyko. Je również powinno się ograniczać.

Wygląda na to, że do Singapuru będziemy zaglądać często. Nie zasypiają tam gruszek w popiele i co jakiś czas (jak widać – często) można znaleźć tam informacje i publikacje, które mogą dostarczyć wiedzy dotyczącej zarządzania ryzykiem – szczególności w obszarze cyberbezpieczeństwa.

Cyber Security Agency of Singapore (CSA Singapore) w lutym tego roku zamieściła na swoich stronach internetowych dwie publikacje (wytyczne):

  1. Guide to Cyber Threat Modelling
  2. Guide to Conducting Cybersecurity Risk Assessment for Critical Information Infrastructure

Pierwsza z wymienionych publikacji stanowi próbę opisu techniki modelowania zagrożeń w cyber przestrzeni. Modelowanie – w ujęciu zaprezentowanym w publikacji – należy rozumieć jako technikę graficznego przedstawiania zagrożeń i wsparcie procesu opracowywania oraz analizy scenariuszy powstawania i rozwoju (propagacji) zagrożeń w sieci. Dla specjalistów nie będzie to jakieś szczególne odkrycie ale dla osób, które nie mają wykształcenia kierunkowego może to być interesująca lektura. Tym bardziej, że język wytycznych nie jest wybitnie specjalistyczny.

Ale naszą uwagę zwróciła ta druga pozycja, odnosząca się do prowadzenia oceny ryzyka dotyczącego ochrony infrastruktury informatycznej. Chociaż Autorzy nie odkrywają ani Singapuru ani Ameryki to w tej publikacji znaleźliśmy coś, co potwierdza nasze obserwacje i co – w naszej ocenie – pozostaje słabością w ogólnej praktyce zarządzania ryzykiem.

CSA postawiła bowiem krótką ale rzeczową diagnozę dotyczącą najczęstszych nieprawidłowości (słabości) w procesie przeprowadzania oceny ryzyka. Ujęto ją w 5 punktach:

  1. Niedostateczne formułowanie ryzyka i jego scenariuszy

Wyraża się to w ogólnikowym opisie ryzyka – jego struktury: słabości, zagrożeń, potencjalnych zdarzeń a także konsekwencji i wpływu na działalność. Podstawowym celem zarządzania ryzykiem jest jego zrozumienie, zrozumienie jego struktury. Ogólnikowość rozpoznania nie daje możliwości podjęcia skutecznych środków zaradczych, zarówno zapobiegających niepożądanym zdarzeniom jak i ograniczających potencjalne konsekwencje i wpływ na organizację.

  1. „Compliance” jako wyznacznik oceny ryzyka

Dla wielu organizacji, na przykład jednostek samorządu terytorialnego, najważniejsza jest zgodność z przepisami i regulacjami. Dla organizacji? Raczej dla kierujących nimi…

CSA twierdzi, że organizacje często oceniają ryzyko wyłącznie na podstawie zgodności stosowanych mechanizmów kontrolnych z przepisami i regulacjami „dając fałszywe poczucie bezpieczeństwa, że ​​organizacja nie jest narażona na żadne ryzyko, o ile spełnia wszystkie wymagania dotyczące zgodności”.

Niestety, cyberprzestępcy za nic mają aktualnie obowiązujące i przestrzegane przepisy i regulacje a te – siłą rzeczy – mogą jedynie być aktualizowane post factum.

  1. Brak powiązania oceny ryzyka cyberbezpieczeństwa z zarządzaniem ryzykiem na poziomie całej organizacji

CSA zarzuca, że organizacje nie integrują swoich planów zarządzania ryzykiem cyberbezpieczeństwa z działaniami w zakresie zarządzania ryzykiem podejmowanymi w skali całej organizacji (wszystkich aktywności) – traktując cyberbezpieczeństwo jako osobny silos. To powoduje, że tolerancja na ryzyko cyberbezpieczeństwa – o ile jest określona – nie jest brana pod uwagę przy podejmowaniu decyzji w zakresie ogólnego dopuszczalnego poziomu ryzyka, na jakie narażona jest organizacja.

Na marginesie: publikacja niejako utożsamia 2 pojęcia: „limit ryzyka” oraz „apetyt na ryzyko”.

  1. Określanie możliwości materializacji ryzyka cyberbezpieczeństwa na podstawie zdarzeń historycznych

Organizacje często opierają swoje oceny na bazie przeszłości stosując częstotliwość zaistniałych zdarzeń jako podstawę do oszacowania prawdopodobieństwa ryzyka w przyszłości. Problem w tym, że zdarzenia związane z cyberbezpieczeństwem bardzo często nie są rozpoznawane stąd szacunki bywają bardzo zaniżone. Jeżeli ktoś ukradnie samochód to po prostu to widać. Jeżeli ktoś ulegnie wypadkowi to trudno to pominąć. Ale jeżeli z organizacji wyciekają informacje w postaci elektronicznej to jest możliwe, że takie zdarzenie nie będzie wykryte i to przez dłuższy czas o ile w ogóle zostanie rozpoznane.

Jak zapisano w publikacji: „w kontekście cyberbezpieczeństwa prawdopodobieństwo incydentu związanego z cyberbezpieczeństwem jest niezależne od częstotliwości występowania w przeszłości”.

I z powyższym trzeba się zgodzić.

  1. Reagowanie na ryzyko oparte na nieistotnych mechanizmach kontrolnych

CSA wskazuje na częste stosowanie mechanizmów kontrolnych, które nie eliminują w pełni pierwotnych przyczyn zagrożeń a koncentrują się raczej na widocznych i oczywistych podatnościach infrastruktury informatycznej i ograniczanie ogólnie wskazanych potencjalnych zdarzeń. Wynika to przede wszystkim z braku precyzji lub błędów w opisie ryzyka i jego scenariuszy. A w konsekwencji z braku pełnego zrozumienia całego łańcucha przyczynowo-skutkowego.


Słabości, braków i nieprawidłowości w ocenie ryzyka a także w realizacji wszystkich procesów zarządzania ryzykiem w organizacjach jest dużo, dużo więcej. I nie dotyczą one wyłącznie sfery cyberbezpieczeństwa. W tym artykule jednak nie chcieliśmy wykraczać poza ramy przywoływanej publikacji.

Czy ta konkretna, przywoływana przez nas publikacja pomoże innym podmiotom eliminować wymienione słabości oceny ryzyka? Chyba nie, ale przywołujemy te wytyczne nie ze względu na ich jakość i kompletność (tu mamy zastrzeżenia) ale ze względu na postawioną krótką diagnozę, którą uważamy za odpowiadającą rzeczywistości.

Niemniej, jak zawsze podkreślamy, wiedzy nigdy dosyć …

Maturus

“Homines periti non modo ea quae perspicua sunt vident, verum etiam occulta suspicari possunt” >>>> Ludzie doświadczeni nie tylko widzą to, co jest jasne, lecz również mogą wypatrzeć rzeczy skrywane.

Powiązane artykuły