Na początku był… cyberchaos

0
630

Chaos. I to w kosmicznej skali. Takie przynajmniej można odnieść wrażenie podczas rozmów z klientami, ponieważ każdy traktuje bezpieczeństwo cyber inaczej. Brak wspólnej platformy pojęć powoduje nieporozumienia, prowadzi do błędnych wniosków i potęguje niewiedzę, a co gorsza zniechęca do prób zrozumienia ryzyka cybernetycznego.

Spróbujmy więc okiełznać ten chaos, zaczynając od podstaw. Odpowiedzmy na pytanie, czym właściwie jest i na czym polega cyberryzyko.

Organizacje, małe i duże, czy to w sektorze publicznym czy prywatnym, w coraz większym stopniu polegają na technologiach IT, wspieranych przez ludzi i zasoby tychże organizacji, aby skutecznie realizować procesy biznesowe, które z kolei wspierają świadczenie usług.

Jeśli zasoby organizacji ulegną awarii, może to mieć negatywny wpływ na obsługiwane przez nią procesy biznesowe i ostatecznie przerodzić się w niezdolność do świadczenia usług. Biorąc pod uwagę opisane zależności, zarządzanie ryzykiem jest kluczowym czynnikiem w osiągnięciu sukcesu przez organizacje.

W 2014 r. ukazała się druga wersja publikacji autorstwa Jamesa J. Cebuli, Mary E. Popeck i Lisy R. Young A Taxonomy of Operational Cyber Security Risks („Cyberbezpieczeństwo – klasyfikacja zagrożeń”). Autorzy definiują cyberryzyko jako ryzyko dotyczące aktywów informatycznych i technologicznych organizacji, którego zmaterializowanie się negatywnie oddziałuje na poufność, dostępność lub integralność informacji lub systemów informatycznych.

Ze względu na źródła autorzy wyróżnili cztery klasy ryzyka: I. Działania ludzkie; II. Wadliwe funkcjonowanie systemów i urządzeń IT; III. Nieprawidłowe procesy wewnętrzne – procesy, które negatywnie wpływają na zdolność wdrażania i utrzymywania cyberbezpieczeństwa oraz zarządzania nim; IV. Zdarzenia zewnętrzne – kwestie często pozostające poza kontrolą organizacji, takie jak katastrofy, problemy prawne, problemy biznesowe i uzależnienie od usługodawcy.

Każda z wyróżnionych klas podlega dalszym podziałom. Należy zauważyć, że ryzyko w jednej z klas może wywołać ryzyko w innej, np.: awaria oprogramowania spowodowana nieprawidłową konfiguracją może być efektem nieumyślnego lub celowego działania człowieka.

I. Działania ludzkie

Źródłem ryzyka są zaniechania lub działania podejmowane rozmyślnie lub przypadkowo przez osoby fizyczne działające w obrębie organizacji jak i poza nią, mające wpływ na cyberbezpieczeństwo.

  1. Nieumyślność

Pomyłka – osoba zna prawidłową procedurę, jednak podejmuje nieprawidłowe działanie.

Błąd – osoba nie zna prawidłowej procedury i podejmuje nieprawidłowe działanie.

Zaniechanie – osoba nie podejmuje prawidłowego działania, często z powodu pośpiesznego wykonania procedury.

2. Umyślność

Oszustwo – celowe działanie podjęte w celu uzyskania korzyści kosztem organizacji.

Sabotaż – celowe działanie podjęte w celu spowodowania awarii kluczowych zasobów lub procesów organizacyjnych.

Kradzież – umyślne, nieuprawnione przywłaszczenie mienia organizacji.

Wandalizm – celowe niszczenie zasobów organizacji.

3. Bezczynność

Zdolności – osoba nie ma umiejętności potrzebnych do podjęcia niezbędnych działań.

Nieświadomość – osoba nie wie o potrzebie podjęcia działania.

Wytyczne – osoba posiada wiedzę, jednak brakuje jej wskazówek do działania.

Dostępność – niedostępność lub brak zasobu potrzebnego do przeprowadzenia działania.

II. Wadliwe funkcjonowanie systemów i urządzeń IT

Źródłem ryzyka jest wadliwe funkcjonowanie sprzętu, oprogramowania i systemów informatycznych.

  1. Sprzęt

Pojemność – brak możliwości przetworzenia danych ze względu na ilość.

Wydajność – brak możliwości wykonania instrukcji lub przetworzenia danych przy akceptowalnych parametrach (prędkość, zużycie energii, obciążenie cieplne itp.).

Konserwacja – niewykonanie wymaganej lub zalecanej konserwacji sprzętu.

Zużycie – eksploatacja sprzętu po upływie okresie eksploatacji.

2. Oprogramowanie

Kompatybilność – brak możliwości współpracy między oprogramowaniem zgodnie z oczekiwaniami.

Konfiguracja – niewłaściwy dobór odpowiednich ustawień i parametrów pracy.

Zmiany – wprowadzone w oprogramowaniu lub jego konfiguracji bez stosownej autoryzacji i weryfikacji.

Bezpieczeństwo – niewłaściwy dobór odpowiednich ustawień i parametrów zabezpieczeń (zbyt luźne lub zbyt restrykcyjne).

Kod – błędy w oprogramowaniu, w tym składniowe i logiczne oraz nieprzestrzeganie zasad bezpiecznego kodowania.

Testy – niewłaściwe lub nietypowe testy działania lub zabezpieczeń oprogramowania.

3. Systemy informatyczne

Projekt – system nieodpowiedni do realizacji zamierzonych działań.

Specyfikacja – błędne zdefiniowanie lub niestosowanie się do wymagań postawionych w celu budowy systemu.

Integracja – brak współdziałania połączonych ze sobą elementów systemu; kategoria ta obejmuje również błędy podczas testowania systemu.

Złożoność – złożoność systemu lub zbyt duże zależności między komponentami systemu.

III. Nieprawidłowe procesy wewnętrzne

Źródłem ryzyka są procesy, które negatywnie wpływają na zdolność wdrażania i utrzymywania cyberbezpieczeństwa oraz zarządzania nim.

  1. Projekt lub wykonanie procesu

Przebieg procesu – niewłaściwe określenie przepływu wyników procesu do wskazanych odbiorców.

Udokumentowanie procesu – niewłaściwa dokumentacja założeń, wyników, przebiegu i uczestników procesu.

Role i obowiązki – niewystarczające zdefiniowanie i zrozumienie ról i obowiązków uczestników procesu.

Powiadomienia i alerty – niewłaściwe powiadomienia dotyczące potencjalnych problemów w trakcie przebiegu procesu.

Przepływ informacji – nieefektywny przepływ informacji związanych z procesem między zainteresowanymi stronami i uczestnikami.

Wystąpienie problemu – brak możliwości wywołania niewłaściwych lub nieoczekiwanych warunków przebiegu procesu przez odpowiednie służby.

Umowy o gwarantowanym poziomie usług – brak porozumienia między uczestnikami procesu co do oczekiwań dotyczących usług, które uniemożliwiają wykonanie oczekiwanych działań.

Przekazanie zadania – przerwanie procesu z powodu jego niewłaściwego przekazania.

2. Kontrola procesu

Monitorowanie statusu – brak przeglądów i reakcji na rutynowe informacje o działaniu procesu.

Metryki – brak przeglądu przebiegów procesu w celu określenia zmian ich wydajności.

Przegląd okresowy – brak okresowego przeglądu przebiegu całego procesu i wdrażania niezbędnych zmian.

Zarządzanie procesem – niepowodzenie realizacji procesu z powodu nieodpowiedniego określenia osób odpowiedzialnych za jego przebieg lub z powodu niewłaściwego zarządzania.

3. Wspieranie procesów

Obsada – brak odpowiednich zasobów ludzkich do wsparcia działania procesu.

Finansowanie – brak środków finansowych na wsparcie działania procesu.

Szkolenie i rozwój – zbyt niski poziom wiedzy i umiejętności zapewniający utrzymanie procesów.

Zaopatrzenie – niezapewnienie właściwego poziomu usług lub materiałów niezbędnych do wsparcia procesu.

IV. Zdarzenia zewnętrzne

Źródłem ryzyka są kwestie często pozostające poza kontrolą organizacji, takie jak katastrofy, problemy prawne, problemy biznesowe i uzależnienie od usługodawcy.

  1. Katastrofy

Zjawiska pogodowe – niekorzystne zjawiska naturalne, takie jak deszcz, śnieg, silny wiatr.

Pożar – ogień na terenie lokalizacji lub zakłócenia spowodowane przez ogień poza lokalizacją.

Zalanie – zalanie na terenie lokalizacji lub zakłócenia spowodowane przez zalanie poza lokalizacją.

Trzęsienie ziemi – zakłócenie działalności spowodowane trzęsieniem ziemi.

Niepokoje społeczne – zakłócenie działalności spowodowane przez zamieszki lub akty terroryzmu.

Pandemie – zakłócenie działalności spowodowane zaleceniami zdrowotnymi.

2. Kwestie prawne

Zgodność z przepisami – nowe przepisy prawa lub brak zgodności z obowiązującymi przepisami.

Legislacja – nowe przepisy prawa, mające bezpośredni wpływ na organizację.

Postępowanie sądowe – postępowanie sądowe podjęte przeciwko organizacji przez dowolną osobę, w tym pracowników i klientów.

3. Kwestie biznesowe

Dostawcy – tymczasowa lub trwała niezdolność dostawcy do dostarczenia produktów lub usług niezbędnych organizacji do działania.

Warunki rynkowe – zmniejszona zdolność organizacji do sprzedaży swoich produktów i usług na rynku.

Uwarunkowania ekonomiczne – niezdolność organizacji do pozyskania niezbędnych środków finansowych na swoją działalność.

4. Zależność od usług

Media – awaria zasilania organizacji w energię elektryczną, wodę lub usługi telekomunikacyjne.

Służby ratunkowe – uzależnienie od służb ratunkowych, takich jak straż pożarna, policja, ratownictwo medyczne.

Paliwo – awaria zewnętrznych źródeł paliwa, np.: do zasilania generatora zapasowego.

Transport – braki w zewnętrznych systemach transportowych, np.: brak możliwości zgłaszania się pracowników do pracy oraz brak możliwości wykonania i odbioru dostaw.

Należy wyraźnie podkreślić, że powyższy podział dotyczy cyberryzyka jako ryzyka operacyjnego, tj. związanego z bieżącą działalnością organizacji. Niech będzie to fundament do dalszych rozważań.

Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland sp. z o.o.