Pre študentov bezpečnosti
Krátky slovník slovenského jazyka definuje riziko ako možnosť či nebezpečenstvo straty, neúspechu, alebo škody.
Pri výučbe rád vysvetľujem riziko na príklade. Predstavte si, že šoférujete naprieč horským priesmykom a všetko okolo je zasnežené. Už teraz sa bojíte, aby ste nedostali šmyk. Vtom sa pred vami objaví plne naložený kamión, ktorý sa prešmykuje na mieste a nevie sa pohnúť.
Musíte zastaviť. Hrozí, že už sa nerozbehnete. A kamión sa môže navyše zviesť priamo do vášho auta. Stav, v ktorom sa nachádzate, je rizikom.
Ešte jeden príklad
V kalendári je Medarda, pravidelne vonku prší a vy sa ráno chystáte do práce, kam sa pravidelne prechádzate, lebo to trvá 20 minút svižnou chôdzou. Pri dverách máte, tak ako vždy, odložený dáždnik a premýšľate, či si ho zobrať, alebo nie. Existuje teda nenulové riziko premoknutia do nitky pri vašej dnešnej ceste do práce.
Poďme do praxe
Dnes už každý z nás riadi svoje osobné riziká, a niekedy za nás túto úlohu preberú iné organizácie. Markantným príkladom sú riziká, ktoré vyhodnocuje banka, keď žiadame o úver.
Riadenie rizík v informačnej a kybernetickej bezpečnosti nie je v ničom iné. Dokonca táto doména je ešte viac o riadení, pretože sa tu snažíme preventívne zavádzať bezpečnostné opatrenia. A ak už bezpečnostný incident nastane, tak cez vybrané opatrenia sa snažíme čo najviac minimalizovať jeho dopad.
Začiatok ľahší ako sa zdá
Prvým krokom je samotná analýza rizík, kde identifikujeme všetky potenciálne riziká. Na pomoc prichádzajú profesionálne služby a metodiky, kde sú zoznamy známych hrozieb, zraniteľností a aj formy dopadu.
Tu treba upriamiť pozornosť na analýzu rizík založenú na udalostiach, ktoré spôsobí útočník, alebo používateľ. Rizikom môže byť napríklad DDoS externý útok na perimetrové zariadenia organizácie a následkom možné znefunkčnenie webových služieb.
Obohrané a pritom riešiteľné
Na Slovensku v organizáciách často chýba expertíza alebo funkcia bezpečnostného analytika či špecialistu riadenia rizík, ktorí by vedeli pripraviť kvalitnú a aplikovateľnú metodiku na výkon analýzy rizík.
Preto sa Národný bezpečnostný úrad chopil úlohy a pripravil vzorovú metodiky analýzy rizík. Je dostupná na ich webovej stránke, avšak jej aplikovanie bude stále vyžadovať expertov. Ich úlohou bude aplikovať niektorú z metodík a správne určiť úroveň identifikovaných rizík.
Posúdenie rizík
Posúdenie rizík sa dá robiť kvalitatívnou metódou, kedy analytik určí škály a hodnoty - napríklad nízka, stredná a vysoká úroveň. Väčšinou tu však ide o subjektívne hodnotenie.
Matematicky presnejšie je kvantitatívne určenie rizík. Pravdepodobnosť sa určí v percentách, čo vyjadruje výskyt danej hrozby v predošlom období početnosťou bezpečnostných udalostí a incidentov.
Druhou zložkou je určenie dopadu v súvislosti s reputačnými, legislatívnymi, prevádzkovými alebo život ohrozujúcimi dopadmi.
Každá metóda určenia hodnoty rizika má svoje „pre a proti“ a teda sú aj rôzne používané v rôznych organizáciách.
Najhoršie riešenie
Často sa v praxi stretávame s tým, že organizácia vedie v katalógu rizík iba jedno všeobecné ICT riziko. Vtedy doň analytik vloží všetky možné úmyselné aj neúmyselné, aj prírodné hrozby.
Upozorňujem, že sa tu môžu zlúčiť rôzne riziká do jedného a chýba tu adekvátna rozlišovacia schopnosť. Ak organizácia nevie identifikovať príslušné riziká, je možné, že nevie ani adresovať adekvátne bezpečnostné opatrenia. Tento postup je preto neefektívny na riadenie zdrojov.
Inšpiratívny prístup
Ako audítor si pamätám klienta, kde analýza rizík nebola vo veľkých IT aplikáciách a nástrojoch a ani len v obyčajných excel tabuľkách. Bola urobená v stromovej štruktúre a zakreslená s identifikovanými hrozbami a zraniteľnosťami.
Pod „listami“ v tejto myšlienkovej mape boli aj úrovne pravdepodobnosti rizika a dopad na predom definovanej škále.
Táto evidencia a zobrazenie analýzy rizík ma veľmi zaujali a presvedčili, že jeho autor rozumie procesu a aj prínosu riadenia rizík.
Čo nás čaká
Skúsené organizácie nezabúdajú ani na posúdenie rizík plynúcich z dodávateľských reťazcov. Navyše, bezpečnostné opatrenia v oblasti riadenia rizík tretích strán sú už zahrnuté aj v aktuálnych smerniciach NIS2, DORA a v európskej regulácii budú aj ďalej pribúdať.
Čo teda s identifikovanými vysokými rizikami? Nastavte si plán zvládania rizík, aplikujte adekvátne bezpečnostné opatrenia v súlade s legislatívou a bojujte so známymi ale aj novými hrozbami. Tie sa budú objavovať každý jeden deň.
Michal Ďorda partner pre expertné služby, Cyllium