Podstawy analizy ryzyka w cyberbezpieczeństwie

2 lat temu

Autorzy:

r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o. – www.dapr.pl

r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak – www.ludwiczak-radcaprawny.pl

W poprzednich artykułach „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach – wstęp do zagadnienia” i „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach – analiza ryzyka to podstawa cyberbezpieczeństwa” napisaliśmy:

1) czym jest cyberbezpieczeństwo,

2) dlaczego przedsiębiorcy powinni zająć się/zaangażować się w zarządzanie cyberbezpieczeństwem w swoich organizacjach,

3) iż Hakerzy zaatakują każdego, pytanie tylko kiedy, jak i które zasoby,

4) od czego zacząć budowę cyberbezpieczeństwa w organizacji.

5) o poziomach cyberbezpieczeństwa,

6) celach cyberbezpieczeństwa,

7) o zarządzaniu systemem bezpieczeństwa danych osobowych a zarządzaniu Cyberbezpieczeństwem,

W niniejszym artykule będziemy kontynuować temat cyberbezpieczeństwa, starając się przekazać Państwu garść praktycznych porad od czego zacząć.

Jeżeli rozejrzycie się wokół siebie w poszukiwaniu elektroniki, to co widzicie?

Komputer, telefon, tablet. Co jeszcze? Myszki, klawiatury, drukarki, kamerki, wbudowane i zewnętrzne i głośniki, inteligentne telewizory, inteligentne lodówki, inteligentne pralki, inteligentne odkurzacze, zdalnie zarządzane żarówki, itd. Ponadto każdy wie, choć tego nie widzi, iż Internet dociera poprzez router, a potem rozprowadzony jest po pomieszczeniach poprzez kable (bezpieczniej) lub wifi (mniej bezpiecznie) po całym przedsiębiorstwie, urzędzie lub mieszkaniu.

A czego nie widać na pierwszy rzut oka? Ano całego mnóstwa aplikacji, zainstalowanych na naszych urządzeniach. Część instalujemy sami, część instaluje producent, a część mogą nam zainstalować hakerzy. Bez aplikacji nasza elektronika by nie działała. Z jednej strony aplikacje ułatwiają nam życie, umożliwiają pracę, ale z drugiej mogą stanowić dla nas zagrożenie.

Internet of Things, słynne i wszechobecne „IoT”, są dużym wyzwaniem z perspektywy cyberbezpieczeństwa. Tłumacząc na polski IoT to urządzania, które podłączamy do sieci Internetowej by miały pełną funkcjonalność oferowaną przez producentów, a mogą to być: zamki do drzwi, zarządzanie oświetleniem, lodówki, telewizory, wieże Hi-Fi, wzmacniacze, konsole do gier, zegarki, zabawki dla dzieci, samochody itd.

Jak pisaliśmy wcześniej, identyfikacja zasobów to istotny moment pozwalający uświadomić sobie, iż zagrożenia z sieci mogą pojawić się różnymi kanałami. Chcąc się zabezpieczyć powinniśmy zlokalizować te kanały, zidentyfikować ich podatności i je odpowiednio zabezpieczyć. Proponujemy pewne ćwiczenie – zróbcie listę, a potem sprawdźcie jakie urządzenia są podłączone u was do Internetu czy bluetooth. Zweryfikujcie ją. o ile ją zrobicie, to będzie to pierwszy praktyczny krok w identyfikacji zasobów. Identyfikacja zasobów jest ważna, bo każdy z nich może się okazać tym ogniwem, dzięki którego intruz dostanie się do Waszej sieci.

Od czego zacząć?

W poprzednim artykule pisaliśmy, iż analiza ryzyka to podstawa cyberbezpieczeństwa. jeżeli więc to podstawa, to zacznijmy od tej analizy. Analiza ryzyka w uproszczeniu polega na tym, żeby zidentyfikować najważniejsze aktywa, ich podatności i w sposób efektywny alokować zasoby tak, aby zapewnić bezpieczeństwo sieci i systemów informatycznych. Jak to zrobić? Oczywiście poprzez szacowanie ryzyka. Jak oszacować ryzyko? Bardzo upraszczając, ryzyko to kombinacja (która może być np. iloczynem) dwóch składników: poziomu (powagi) konsekwencji (skutków) oraz prawdopodobieństwa zdarzenia, które do zaistnienia tych skutków może doprowadzić.

Podstawową analizę ryzyka można zrobić choćby w Excelu.

W pierwszej kolumnie można wypisać zidentyfikowane urządzenia, w drugiej aplikacje przypisane do tych urządzeń. Następnie, stosując kryteria, można określić powagę konsekwencji w przypadku utraty przez te aktywa atrybutów bezpieczeństwa: poufności, integralności, dostępności i autentyczności, zastanawiając się co by się stało organizacji, gdyby doszło np. do utraty dostępu do danych na urządzeniu (np. ktoś skasowałby te dane lub je zaszyfrował) lub ktoś zmodyfikowałby te dane lub je skopiował lub utracona zostałaby pewność ich autentyczności. Należy również zbadać, jakie konsekwencje w przypadku takich zdarzeń mogą wystąpić z perspektywy ciągłości działania produktów i usług IT, tzn. czy utrata dostępności jakiegoś aktywa nie spowoduje przerwania w świadczenia priorytetowej dla firmy usługi, np. dostępu do serwera, dostaw energii elektrycznej. Ocena może być różna dla każdej z tych sytuacji.

Następnie trzeba określić prawdopodobieństwo takiego zdarzenia. Szacując prawdopodobieństwo trzeba wziąć pod uwagę podatności oraz zastosowane zabezpieczenia. Warto przy tym skorzystać z pomocy specjalistów, którzy rozumieją kontekst analizowanych zagrożeń, np. w przypadku szacowania prawdopodobieństwa pożaru serwerowni, należy skonsultować się ze specjalistą p.poż, w przypadku badania zagrożenia atakiem bruteforce, należy skonsultować się ze specjalistą od cyberbezpieczeństwa itd. Specjaliści powinni zaproponować wartość prawdopodobieństwa na podstawie swojej oceny stanu faktycznego. Mogą od tego użyć skali 3, 4, 5 stopniowej lub innej. Ocenę prawdopodobieństwa powinna opierać się na wcześniej określonych kryteriach. Warto zaznaczyć, iż są dwie metody szacowania prawdopodobieństwa – jakościowa i ilościowa. Powyższa metoda jakościowa to tzw. metoda ekspercka, tzn. pozwalamy specjaliście, na podstawie jego ekspertyzy i doświadczenia określić poziom prawdopodobieństwa. W przypadku szacowania ilościowego powinno się zaprząc do analizy również rachunek prawdopodobieństwa.

W związku z tym, iż do rachunku prawdopodobieństwa potrzebne są dane, do których zwykle dostępu nie mamy, w praktyce większość analiz opiera się na opinii ekspertów. Zestawienie (np. wymnożenie) wartości powagi konsekwencji oraz przypisanego poziomu prawdopodobieństwa pozwala określić poziom ryzyka. On z kolei umożliwia wskazanie tych elementów, które wymagają zabezpieczenia. Oczywiście jest to przepis na bardzo uproszczoną analizę ryzyka, taką do zrobienia w domowych warunkach, aby wiedzieć czym się zająć w pierwszej kolejności, w myśl przysłowia „Lepszy rydz niż nic”. To bardzo uproszczony model, bo w rzeczywistości należy też uwzględnić kwestie kontekstu, źródeł ryzyka, itd., ale komplikować będziemy w przyszłości.

Jeśli masz pytania zapraszamy do kontaktu. Tutaj możesz przeczytać poprzedni artykuł dotyczący cyberbezpieczeństwa.

Wiele informacji na temat RODO i cyberbezpieczeństwa znajdziesz na naszym profilu LinkedIn oraz kanale Youtube, gdzie publikujemy wywiady ze specjalistami.

Idź do oryginalnego materiału