Avtor: Jure Habbe, operativni direktor, Silver Bullet Risk
Lani je začelo veljati več predpisov EU na področju digitaliziranih dejavnosti, med katerimi je tudi Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (NIS 2). Na njeni osnovi naj bi bila jeseni sprejeta nova slovenska regulativa za informacijsko varnost, kar je lepa priložnost za izboljšave nekaterih sedanjih pristopov.
V primerjavi z informacijsko varnostjo, ki poleg digitalnih vključuje tudi druge oblike informacij, se kibernetska varnost osredotoča na zaščito informacijskih omrežij in sistemov pred digitalnimi napadi in nezakonitim dostopom, kot so hekerski vdori, virusi, zlonamerna programska oprema, napadi DDoS in druge spletne grožnje.
Cilj kibernetske varnosti je zagotavljanje neprekinjenega in varnega delovanja digitalnih sistemov, vključno s celovitostjo, avtentičnostjo, razpoložljivostjo in zaupnostjo informacij.
Njen temelj pa je analiza tveganj, s katero organizacije sistematično prepoznavajo in ocenjujejo ter nato obvladujejo nevarnosti, ki jih ogrožajo na informacijskem področju.
To potrjuje tudi Direktiva NIS 2, ki v 2. točki 21. člena kot prvi ukrep za zagotavljanje kibernetske varnosti navaja analizo tveganja in varnosti informacijskih sistemov.
Analiza kibernetskih tveganj na podlagi sredstev
Pri analizi kibernetskih tveganj večina organizacij uporablja pristop, ki temelji na sredstvih (ang. Asset Based Approach). Najdemo ga v smernicah Agencije Evropske skupnosti za kibernetsko varnost (ENISA), v standardu za obvladovanje informacijskih tveganj ISO/IEC 27005 in še marsikje.
Vendar izkušnje kažejo, da splošna razširjenost še ne pomeni najboljše možne rešitve.
Kot vemo, pristop temelji na popisih informacijskih sredstev, ki jim pripišemo grožnje in ranljivosti glede na dejavnike celovitosti, razpoložljivosti in zaupnosti, katerim NIS 2 dodaja še avtentičnost.
Tveganje izračunamo kot produkt verjetnosti in vpliva uresničitve možne nevarnosti. Za ocenjevanje obeh faktorjev ISO/IEC 27005 predvideva kvalitativne in kvantitativne metode. Pri prvih tveganja vrednotimo opisno (npr. malo, srednje, veliko), pri drugih pa številčno (npr. od 1 do 3, 5 ali 10).
Rezultati takšnih analiz so seznami stotin in več informacijskih sredstev s številčnimi ocenami tveganj, za katere v organizacijah porabijo ogromno časa, vendar nimajo skoraj nobene uporabne vrednosti.
Zato je marsikdo zagotovo že podvomil o njihovi smiselnosti ter pomislil, če je to zares edina možnost in ali poznamo bolj praktične metode.
Procesni pristop analize kibernetskih tveganj
Za odgovor najprej razmislimo, čemu so informacijska sredstva namenjena. Omrežja in sisteme uporabljamo, da z njimi opravljamo dejavnosti, ki so v poslovnem in delovnem okolju organizirane v procese. Vendar vsi procesi niso enako pomembni, zato jih delimo na primarne in podporne.
S primarnimi procesi, kot so proizvodnja, prodaja izdelkov in storitev ter podpora strankam, v gospodarstvu ustvarjamo prihodke, v negospodarstvu pa izvajamo temeljne dejavnosti, kot so zdravljenje bolnikov, varstvo in šolanje otrok, oskrba starejših občanov in podobno.
Omogočajo jih podporni procesi, kot so nabava, logistika, računovodstvo, informatika, ravnanje z zaposlenimi in vodenje.
Vsi procesi so stalno izpostavljeni različnim nevarnostim, da gre pri njihovem delovanju nekaj narobe, kar organizacijam povzroči manjšo ali večjo škodo. In kadar je nastala škoda lahko velika, govorimo o tveganjih.
Če takšno razmišljanje uporabimo za analizo kibernetskih tveganj in pri tem upoštevamo predpisane smernice, jo izvedemo v naslednjih korakih:
- Ključni procesi. V prvem koraku določimo ključne, kar običajno pomeni primarne poslovne procese, pri katerih motnje in izpadi povzročijo največjo škodo.
- Skupine sredstev. Za izvajanje procesov potrebujemo informacijska sredstva, ki jih najprej razdelimo v skupine, kot so kadri (zaradi katerih sredstva raje imenujemo viri), strojna in programska oprema, komunikacijski sistemi in podobno.
- Sredstva. V vsaki skupini določimo sredstva, ki so najbolj pomembna za nemoteno delovanje primarnih procesov. Pri tem ne navajamo vsake posamezne naprave, temveč jih združujemo v skupine z enakim pomenom, kot so na primer osebni računalniki in omrežna stikala.
- Grožnje in ranljivosti. Izdelamo seznama groženj in ranljivosti, pri katerih si lahko pomagamo z vzorci za posamezne dejavnosti. Praviloma upoštevamo, da so grožnje zunanji vplivi in ranljivosti notranje slabosti, čeprav srečujemo tudi drugačne razlage.
- Prepoznavanje tveganj. Za posamezna sredstva opredelimo grožnje in ranljivosti glede na dejavnike celovitosti, avtentičnosti, razpoložljivosti in zaupnosti.
- Ocenjevanje tveganj. Ocena tveganja je sestavljena iz verjetnosti (ali pogostosti) in vpliva uresničitve tveganja, kar pomeni nastale škode. Delimo jo na neposredno, ki predstavlja strošek na primer popravila ali zamenjave informacijskega sredstva, in posredno, ki nastane zaradi zastoja primarnega procesa, kar v gospodarstvu večinoma lahko ovrednotimo s finančnimi ocenami.
- Razvrščanje tveganj. Na podlagi ocen sredstva razvrstimo po pomembnosti, pri čemer kot kriterij upoštevamo tveganja, ki lahko organizaciji povzročijo največjo škodo. Če imamo določeno lestvico s finančnimi kriteriji, lahko sredstva razvrstimo tudi glede na stopnje tveganja z ocenami na primer od 1 do 5.
Učinkovitost in skladnost procesnega pristopa
Če povzamemo, s procesnim pristopom pri analizi kibernetskih tveganj dosežemo dvojno korist.
Prvič, pridobimo uporaben seznam informacijskih sredstev, ki so najbolj izpostavljena različnim nevarnostim, na podlagi finančnih posledic.
In drugič, z ocenami tveganj informacijskih sredstev v skladu s predvidenimi dejavniki zagotovimo skladnost z regulativnimi smernicami.
Procesni pristop niti ni revolucija, temveč je smiselna izboljšava analize kibernetskih tveganj, zato upamo, da najde pot tudi v posodobljene predpise za informacijsko varnost in prakso.
Celovita informacijska rešitev za obvladovanje kibernetskih tveganj
Analiza, ki sestoji iz prepoznavanja, ocenjevanja in razvrščanja informacijskih sredstev je šele prvi korak pri upravljanju in zagotavljanju kibernetske varnosti. Sledijo ukrepi za zmanjševanje tveganj in obvladovanje kibernetskih incidentov, če se zgodijo. Podatke o vseh teh procesih pogosto srečujemo v običajnih preglednicah ali preprostih lastnih aplikacijah, kar ima različne slabosti pri uporabnosti, sledljivosti in varnosti. Profesionalna in celovita rešitev v skladu s sodobnimi tehnološkimi in varnostnimi standardi pa je aplikacija SBR, ki jo lahko najdete na www.silverbulletrisk.com.
Članek je bil izvirno objavljen v februarski številki revije Korporativna varnost, ki jo izdaja Inštitut ICS.