Iz teorije v prakso: Analiza kibernetskih tveganj in direktiva NIS 2

Avtor: Jure Habbe, operativni direktor, Silver Bullet Risk

Lani je začelo veljati več predpisov EU na področju digitaliziranih dejavnosti, med katerimi je tudi Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (NIS 2). Na njeni osnovi naj bi bila jeseni sprejeta nova slovenska regulativa za informacijsko varnost, kar je lepa priložnost za izboljšave nekaterih sedanjih pristopov.

V primerjavi z informacijsko varnostjo, ki poleg digitalnih vključuje tudi druge oblike informacij, se kibernetska varnost osredotoča na zaščito informacijskih omrežij in sistemov pred digitalnimi napadi in nezakonitim dostopom, kot so hekerski vdori, virusi, zlonamerna programska oprema, napadi DDoS in druge spletne grožnje.

Cilj kibernetske varnosti je zagotavljanje neprekinjenega in varnega delovanja digitalnih sistemov, vključno s celovitostjo, avtentičnostjo, razpoložljivostjo in zaupnostjo informacij.

Njen temelj pa je analiza tveganj, s katero organizacije sistematično prepoznavajo in ocenjujejo ter nato obvladujejo nevarnosti, ki jih ogrožajo na informacijskem področju.

To potrjuje tudi Direktiva NIS 2, ki v 2. točki 21. člena kot prvi ukrep za zagotavljanje kibernetske varnosti navaja analizo tveganja in varnosti informacijskih sistemov.

Analiza kibernetskih tveganj na podlagi sredstev

Pri analizi kibernetskih tveganj večina organizacij uporablja pristop, ki temelji na sredstvih (ang. Asset Based Approach). Najdemo ga v smernicah Agencije Evropske skupnosti za kibernetsko varnost (ENISA), v standardu za obvladovanje informacijskih tveganj ISO/IEC 27005 in še marsikje.

Vendar izkušnje kažejo, da splošna razširjenost še ne pomeni najboljše možne rešitve.

Kot vemo, pristop temelji na popisih informacijskih sredstev, ki jim pripišemo grožnje in ranljivosti glede na dejavnike celovitosti, razpoložljivosti in zaupnosti, katerim NIS 2 dodaja še avtentičnost.

Tveganje izračunamo kot produkt verjetnosti in vpliva uresničitve možne nevarnosti. Za ocenjevanje obeh faktorjev ISO/IEC 27005 predvideva kvalitativne in kvantitativne metode. Pri prvih tveganja vrednotimo opisno (npr. malo, srednje, veliko), pri drugih pa številčno (npr. od 1 do 3, 5 ali 10).

Rezultati takšnih analiz so seznami stotin in več informacijskih sredstev s številčnimi ocenami tveganj, za katere v organizacijah porabijo ogromno časa, vendar nimajo skoraj nobene uporabne vrednosti.

Zato je marsikdo zagotovo že podvomil o njihovi smiselnosti ter pomislil, če je to zares edina možnost in ali poznamo bolj praktične metode.

Procesni pristop analize kibernetskih tveganj

Za odgovor najprej razmislimo, čemu so informacijska sredstva namenjena. Omrežja in sisteme uporabljamo, da z njimi opravljamo dejavnosti, ki so v poslovnem in delovnem okolju organizirane v procese. Vendar vsi procesi niso enako pomembni, zato jih delimo na primarne in podporne.
S primarnimi procesi, kot so proizvodnja, prodaja izdelkov in storitev ter podpora strankam, v gospodarstvu ustvarjamo prihodke, v negospodarstvu pa izvajamo temeljne dejavnosti, kot so zdravljenje bolnikov, varstvo in šolanje otrok, oskrba starejših občanov in podobno.

Omogočajo jih podporni procesi, kot so nabava, logistika, računovodstvo, informatika, ravnanje z zaposlenimi in vodenje.

Vsi procesi so stalno izpostavljeni različnim nevarnostim, da gre pri njihovem delovanju nekaj narobe, kar organizacijam povzroči manjšo ali večjo škodo. In kadar je nastala škoda lahko velika, govorimo o tveganjih.

Če takšno razmišljanje uporabimo za analizo kibernetskih tveganj in pri tem upoštevamo predpisane smernice, jo izvedemo v naslednjih korakih:

Učinkovitost in skladnost procesnega pristopa

Če povzamemo, s procesnim pristopom pri analizi kibernetskih tveganj dosežemo dvojno korist.

Prvič, pridobimo uporaben seznam informacijskih sredstev, ki so najbolj izpostavljena različnim nevarnostim, na podlagi finančnih posledic.

In drugič, z ocenami tveganj informacijskih sredstev v skladu s predvidenimi dejavniki zagotovimo skladnost z regulativnimi smernicami.

Procesni pristop niti ni revolucija, temveč je smiselna izboljšava analize kibernetskih tveganj, zato upamo, da najde pot tudi v posodobljene predpise za informacijsko varnost in prakso.

Celovita informacijska rešitev za obvladovanje kibernetskih tveganj

Analiza, ki sestoji iz prepoznavanja, ocenjevanja in razvrščanja informacijskih sredstev je šele prvi korak pri upravljanju in zagotavljanju kibernetske varnosti. Sledijo ukrepi za zmanjševanje tveganj in obvladovanje kibernetskih incidentov, če se zgodijo. Podatke o vseh teh procesih pogosto srečujemo v običajnih preglednicah ali preprostih lastnih aplikacijah, kar ima različne slabosti pri uporabnosti, sledljivosti in varnosti. Profesionalna in celovita rešitev v skladu s sodobnimi tehnološkimi in varnostnimi standardi pa je aplikacija SBR, ki jo lahko najdete na www.silverbulletrisk.com.

Članek je bil izvirno objavljen v februarski številki revije Korporativna varnost, ki jo izdaja Inštitut ICS.