Chaos. I to w kosmicznej skali. Takie przynajmniej można odnieść wrażenie podczas rozmów z klientami, ponieważ każdy traktuje bezpieczeństwo cyber inaczej. Brak wspólnej platformy pojęć powoduje nieporozumienia, prowadzi do błędnych wniosków i potęguje niewiedzę, a co gorsza zniechęca do prób zrozumienia ryzyka cybernetycznego.
Spróbujmy więc okiełznać ten chaos, zaczynając od podstaw. Odpowiedzmy na pytanie, czym właściwie jest i na czym polega cyberryzyko.
Organizacje, małe i duże, czy to w sektorze publicznym czy prywatnym, w coraz większym stopniu polegają na technologiach IT, wspieranych przez ludzi i zasoby tychże organizacji, aby skutecznie realizować procesy biznesowe, które z kolei wspierają świadczenie usług.
Jeśli zasoby organizacji ulegną awarii, może to mieć negatywny wpływ na obsługiwane przez nią procesy biznesowe i ostatecznie przerodzić się w niezdolność do świadczenia usług. Biorąc pod uwagę opisane zależności, zarządzanie ryzykiem jest kluczowym czynnikiem w osiągnięciu sukcesu przez organizacje.
W 2014 r. ukazała się druga wersja publikacji autorstwa Jamesa J. Cebuli, Mary E. Popeck i Lisy R. Young A Taxonomy of Operational Cyber Security Risks („Cyberbezpieczeństwo – klasyfikacja zagrożeń”). Autorzy definiują cyberryzyko jako ryzyko dotyczące aktywów informatycznych i technologicznych organizacji, którego zmaterializowanie się negatywnie oddziałuje na poufność, dostępność lub integralność informacji lub systemów informatycznych.
Ze względu na źródła autorzy wyróżnili cztery klasy ryzyka: I. Działania ludzkie; II. Wadliwe funkcjonowanie systemów i urządzeń IT; III. Nieprawidłowe procesy wewnętrzne – procesy, które negatywnie wpływają na zdolność wdrażania i utrzymywania cyberbezpieczeństwa oraz zarządzania nim; IV. Zdarzenia zewnętrzne – kwestie często pozostające poza kontrolą organizacji, takie jak katastrofy, problemy prawne, problemy biznesowe i uzależnienie od usługodawcy.
Każda z wyróżnionych klas podlega dalszym podziałom. Należy zauważyć, że ryzyko w jednej z klas może wywołać ryzyko w innej, np.: awaria oprogramowania spowodowana nieprawidłową konfiguracją może być efektem nieumyślnego lub celowego działania człowieka.
I. Działania ludzkie
Źródłem ryzyka są zaniechania lub działania podejmowane rozmyślnie lub przypadkowo przez osoby fizyczne działające w obrębie organizacji jak i poza nią, mające wpływ na cyberbezpieczeństwo.
- Nieumyślność
Pomyłka – osoba zna prawidłową procedurę, jednak podejmuje nieprawidłowe działanie.
Błąd – osoba nie zna prawidłowej procedury i podejmuje nieprawidłowe działanie.
Zaniechanie – osoba nie podejmuje prawidłowego działania, często z powodu pośpiesznego wykonania procedury.
2. Umyślność
Oszustwo – celowe działanie podjęte w celu uzyskania korzyści kosztem organizacji.
Sabotaż – celowe działanie podjęte w celu spowodowania awarii kluczowych zasobów lub procesów organizacyjnych.
Kradzież – umyślne, nieuprawnione przywłaszczenie mienia organizacji.
Wandalizm – celowe niszczenie zasobów organizacji.
3. Bezczynność
Zdolności – osoba nie ma umiejętności potrzebnych do podjęcia niezbędnych działań.
Nieświadomość – osoba nie wie o potrzebie podjęcia działania.
Wytyczne – osoba posiada wiedzę, jednak brakuje jej wskazówek do działania.
Dostępność – niedostępność lub brak zasobu potrzebnego do przeprowadzenia działania.
II. Wadliwe funkcjonowanie systemów i urządzeń IT
Źródłem ryzyka jest wadliwe funkcjonowanie sprzętu, oprogramowania i systemów informatycznych.
- Sprzęt
Pojemność – brak możliwości przetworzenia danych ze względu na ilość.
Wydajność – brak możliwości wykonania instrukcji lub przetworzenia danych przy akceptowalnych parametrach (prędkość, zużycie energii, obciążenie cieplne itp.).
Konserwacja – niewykonanie wymaganej lub zalecanej konserwacji sprzętu.
Zużycie – eksploatacja sprzętu po upływie okresie eksploatacji.
2. Oprogramowanie
Kompatybilność – brak możliwości współpracy między oprogramowaniem zgodnie z oczekiwaniami.
Konfiguracja – niewłaściwy dobór odpowiednich ustawień i parametrów pracy.
Zmiany – wprowadzone w oprogramowaniu lub jego konfiguracji bez stosownej autoryzacji i weryfikacji.
Bezpieczeństwo – niewłaściwy dobór odpowiednich ustawień i parametrów zabezpieczeń (zbyt luźne lub zbyt restrykcyjne).
Kod – błędy w oprogramowaniu, w tym składniowe i logiczne oraz nieprzestrzeganie zasad bezpiecznego kodowania.
Testy – niewłaściwe lub nietypowe testy działania lub zabezpieczeń oprogramowania.
3. Systemy informatyczne
Projekt – system nieodpowiedni do realizacji zamierzonych działań.
Specyfikacja – błędne zdefiniowanie lub niestosowanie się do wymagań postawionych w celu budowy systemu.
Integracja – brak współdziałania połączonych ze sobą elementów systemu; kategoria ta obejmuje również błędy podczas testowania systemu.
Złożoność – złożoność systemu lub zbyt duże zależności między komponentami systemu.
III. Nieprawidłowe procesy wewnętrzne
Źródłem ryzyka są procesy, które negatywnie wpływają na zdolność wdrażania i utrzymywania cyberbezpieczeństwa oraz zarządzania nim.
- Projekt lub wykonanie procesu
Przebieg procesu – niewłaściwe określenie przepływu wyników procesu do wskazanych odbiorców.
Udokumentowanie procesu – niewłaściwa dokumentacja założeń, wyników, przebiegu i uczestników procesu.
Role i obowiązki – niewystarczające zdefiniowanie i zrozumienie ról i obowiązków uczestników procesu.
Powiadomienia i alerty – niewłaściwe powiadomienia dotyczące potencjalnych problemów w trakcie przebiegu procesu.
Przepływ informacji – nieefektywny przepływ informacji związanych z procesem między zainteresowanymi stronami i uczestnikami.
Wystąpienie problemu – brak możliwości wywołania niewłaściwych lub nieoczekiwanych warunków przebiegu procesu przez odpowiednie służby.
Umowy o gwarantowanym poziomie usług – brak porozumienia między uczestnikami procesu co do oczekiwań dotyczących usług, które uniemożliwiają wykonanie oczekiwanych działań.
Przekazanie zadania – przerwanie procesu z powodu jego niewłaściwego przekazania.
2. Kontrola procesu
Monitorowanie statusu – brak przeglądów i reakcji na rutynowe informacje o działaniu procesu.
Metryki – brak przeglądu przebiegów procesu w celu określenia zmian ich wydajności.
Przegląd okresowy – brak okresowego przeglądu przebiegu całego procesu i wdrażania niezbędnych zmian.
Zarządzanie procesem – niepowodzenie realizacji procesu z powodu nieodpowiedniego określenia osób odpowiedzialnych za jego przebieg lub z powodu niewłaściwego zarządzania.
3. Wspieranie procesów
Obsada – brak odpowiednich zasobów ludzkich do wsparcia działania procesu.
Finansowanie – brak środków finansowych na wsparcie działania procesu.
Szkolenie i rozwój – zbyt niski poziom wiedzy i umiejętności zapewniający utrzymanie procesów.
Zaopatrzenie – niezapewnienie właściwego poziomu usług lub materiałów niezbędnych do wsparcia procesu.
IV. Zdarzenia zewnętrzne
Źródłem ryzyka są kwestie często pozostające poza kontrolą organizacji, takie jak katastrofy, problemy prawne, problemy biznesowe i uzależnienie od usługodawcy.
- Katastrofy
Zjawiska pogodowe – niekorzystne zjawiska naturalne, takie jak deszcz, śnieg, silny wiatr.
Pożar – ogień na terenie lokalizacji lub zakłócenia spowodowane przez ogień poza lokalizacją.
Zalanie – zalanie na terenie lokalizacji lub zakłócenia spowodowane przez zalanie poza lokalizacją.
Trzęsienie ziemi – zakłócenie działalności spowodowane trzęsieniem ziemi.
Niepokoje społeczne – zakłócenie działalności spowodowane przez zamieszki lub akty terroryzmu.
Pandemie – zakłócenie działalności spowodowane zaleceniami zdrowotnymi.
2. Kwestie prawne
Zgodność z przepisami – nowe przepisy prawa lub brak zgodności z obowiązującymi przepisami.
Legislacja – nowe przepisy prawa, mające bezpośredni wpływ na organizację.
Postępowanie sądowe – postępowanie sądowe podjęte przeciwko organizacji przez dowolną osobę, w tym pracowników i klientów.
3. Kwestie biznesowe
Dostawcy – tymczasowa lub trwała niezdolność dostawcy do dostarczenia produktów lub usług niezbędnych organizacji do działania.
Warunki rynkowe – zmniejszona zdolność organizacji do sprzedaży swoich produktów i usług na rynku.
Uwarunkowania ekonomiczne – niezdolność organizacji do pozyskania niezbędnych środków finansowych na swoją działalność.
4. Zależność od usług
Media – awaria zasilania organizacji w energię elektryczną, wodę lub usługi telekomunikacyjne.
Służby ratunkowe – uzależnienie od służb ratunkowych, takich jak straż pożarna, policja, ratownictwo medyczne.
Paliwo – awaria zewnętrznych źródeł paliwa, np.: do zasilania generatora zapasowego.
Transport – braki w zewnętrznych systemach transportowych, np.: brak możliwości zgłaszania się pracowników do pracy oraz brak możliwości wykonania i odbioru dostaw.
Należy wyraźnie podkreślić, że powyższy podział dotyczy cyberryzyka jako ryzyka operacyjnego, tj. związanego z bieżącą działalnością organizacji. Niech będzie to fundament do dalszych rozważań.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland sp. z o.o.
