Chaos. I to w kosmicznej skali. Takie przynajmniej można odnieść wrażenie rozmawiając z klientami, ponieważ każdy traktuje cyber bezpieczeństwo inaczej. Brak wspólnej platformy pojęć powoduje nieporozumienia, prowadzi do błędnych wniosków i potęguje niewiedzę, a co gorsza zniechęca do prób zrozumienia ryzyka cybernetycznego. Spróbujmy więc okiełznać ten chaos zaczynając od podstaw. Odpowiedzmy sobie zatem na pytanie…
Czym właściwie jest i na czym polega cyberryzyko?
Organizacje, małe i duże, czy to w sektorze publicznym czy prywatnym, w coraz większym stopniu polegają na technologiach IT, wspieranych przez ludzi i zasoby tychże organizacji, aby skutecznie realizować procesy biznesowe, które z kolei wspierają świadczenie usług. Jeśli zasoby organizacji ulegną awarii, może mieć to negatywny wpływ na obsługiwane przez nią procesy biznesowe. To zaś może przerodzić się w niezdolność do świadczenia usług, co ostatecznie wpływa na realizację działalności przez organizację. Biorąc pod uwagę opisane zależności, zarządzanie ryzykiem jest kluczowym czynnikiem w osiągnięciu sukcesu przez organizacje.
W 2014 r. ukazała się druga wersja publikacji autorstwa Jamesa J. Cebuli, Mary E. Popeck i Lisy R. Young pod tytułem „A Taxonomy of Operational Cyber Security Risks” („Cyber bezpieczeństwo – klasyfikacja zagrożeń” – tłumaczenie własne). Autorzy definiują cyberryzyko jako ryzyko dotyczące aktywów informatycznych i technologicznych organizacji, którego zmaterializowanie się negatywnie oddziałuje na poufność, dostępność lub integralność informacji lub systemów informatycznych.
Ze względu na źródła, autorzy wyróżniki cztery klasy ryzyka:
- Działania ludzkie
- Wadliwe funkcjonowanie systemów i urządzeń IT
- Nieprawidłowe procesy wewnętrzne – procesy, które negatywnie wpływają na zdolność wdrażania, zarządzania i utrzymywania cyber bezpieczeństwa
- Zdarzenia zewnętrzne – kwestie często pozostające poza kontrolą organizacji, takie jak katastrofy, problemy prawne, problemy biznesowe i uzależnienie od usługodawcy
Każda z wyróżnionych klas podlega dalszym podziałom. Należy zauważyć, że ryzyko w jednej z klas może wywołać ryzyko w innej klasie, np.: awaria oprogramowania spowodowana nieprawidłową konfiguracją może być efektem nieumyślnego lub celowego działania człowieka.
I. Działania ludzkie
Źródłem ryzyka są zaniechania lub działania, podejmowane rozmyślnie lub przypadkowo przez osoby fizyczne działające w obrębie organizacji jak i poza nią, mające wpływ na cyber bezpieczeństwo.
- Nieumyślność
- Pomyłka – osoba zna prawidłową procedurę jednak podejmuje nieprawidłowe działanie
- Błąd – osoba nie zna prawidłowej procedury i podejmuje nieprawidłowe działanie
- Zaniechanie – osoba nie podejmuje prawidłowego działania, często z powodu pośpiesznego wykonania procedury
- Umyślność
- Oszustwo – celowe działanie podjęte w celu uzyskania korzyści kosztem organizacja
- Sabotaż – celowe działanie podjęte w celu spowodowania awarii kluczowych zasobów lub procesów organizacyjnych
- Kradzież – umyślne, nieuprawnione przywłaszczenie mienia organizacji
- Wandalizm – celowe niszczenie zasobów organizacji
- Bezczynność
- Zdolności – osoba nie ma umiejętności potrzebnych do podjęcia niezbędnych działań
- Nieświadomość – osoba nie wie o potrzebie podjęcia działania
- Wytyczne – osoba posiada wiedzę, jednak brakuje jej wskazówek do działania
- Dostępność – niedostępność lub brak zasobu potrzebnego do przeprowadzenia działania
II. Wadliwe funkcjonowanie systemów i urządzeń IT
Źródłem ryzyka jest wadliwe funkcjonowanie sprzętu, oprogramowania i systemów informatycznych.
- Sprzęt
- Pojemność – brak możliwości przetworzenia danych ze względu na ilość
- Wydajność – brak możliwości wykonania instrukcji lub przetworzenia danych przy akceptowalnych parametrach (prędkość, zużycie energii, obciążenie cieplne itp.)
- Konserwacja – niewykonanie wymaganej lub zalecanej konserwacji sprzętu
- Zużycie – eksploatacja sprzętu po upływie okresie eksploatacji
- Oprogramowanie
- Kompatybilność – brak możliwości współpracy między oprogramowaniem zgodnie z oczekiwaniami
- Konfiguracja – niewłaściwy dobór odpowiednich ustawień i parametrów pracy
- Zmiany – zmiany wprowadzone w oprogramowaniu lub jego konfiguracji bez stosownej autoryzacji i weryfikacji
- Bezpieczeństwo – niewłaściwy dobór odpowiednich ustawień i parametrów zabezpieczeń (zbyt luźne lub zbyt restrykcyjne)
- Kod – błędy w oprogramowaniu, w tym składniowe i logiczne oraz nieprzestrzeganie zasad bezpiecznego kodowania
- Testy – niewłaściwe lub nietypowe testy działania lub zabezpieczeń oprogramowania
- Systemy informatyczne
- Projekt – system nieodpowiedni do realizacji zamierzonych działań
- Specyfikacja – błędne zdefiniowanie lub niestosowanie się do wymagań postawionych w celu budowy systemu
- Integracja – brak współdziałania połączonych ze sobą elementów systemu; kategoria ta obejmuje również błędy podczas testowanie systemu
- Złożoność – złożoność systemu lub zbyt duże zależności między komponentami systemu
III. Nieprawidłowe procesy wewnętrzne
Źródłem ryzyka są procesy, które negatywnie wpływają na zdolność wdrażania, zarządzania i utrzymywania cyber bezpieczeństwa
- Projekt lub wykonanie procesu
- Przebieg procesu – niewłaściwe określenie przepływu wyników procesu do wskazanych odbiorców
- Udokumentowanie procesu – niewłaściwa dokumentacja założeń, wyników, przebiegu i uczestników procesu
- Role i obowiązki – niewystarczające zdefiniowanie i zrozumienie ról i obowiązków uczestników procesu
- Powiadomienia i alerty – niewłaściwe powiadomienia dotyczące potencjalnych problemów w trakcie przebiegu procesu
- Przepływ informacji – nieefektywny przepływ informacji związanych z procesem między zainteresowanymi stronami i uczestnikami
- Wystąpienie problemu – brak możliwości wywołania niewłaściwych lub nieoczekiwanych warunków przebiegu procesu przez odpowiednie służby
- Umowy o gwarantowanym poziomie usług – brak porozumienia między uczestnikami procesu co do oczekiwań dotyczących usług, które uniemożliwiają wykonanie oczekiwanych działań
- Przekazanie zadania – przerwanie procesu z powodu jego niewłaściwego przekazania
- Kontrola procesu
- Monitorowanie statusu – brak przeglądów i reakcji na rutynowe informacje o działaniu procesu
- Metryki – brak przeglądu przebiegów procesu w celu określenia zmian ich wydajności
- Przegląd okresowy – brak okresowego przeglądu przebiegu całego procesu i wdrażania niezbędnych zmian
- Zarządzanie procesem – niepowodzenie realizacji procesu z powodu nieodpowiedniego określenia osób odpowiedzialnych za jego przebieg lub z powodu niewłaściwego zarządzania
- Wspieranie procesów
- Obsada – brak odpowiednich zasobów ludzkich do wsparcia działania procesu
- Finansowanie – brak środków finansowych na wsparcie działania procesu
- Szkolenie i rozwój – zbyt niski poziom wiedzy i umiejętności zapewniający utrzymanie procesów
- Zaopatrzenie – niezapewnienie właściwego poziomu usług lub materiałów niezbędnych do wsparcia procesu
IV. Zdarzenia zewnętrzne
Źródłem ryzyka są kwestie często pozostające poza kontrolą organizacji, takie jak katastrofy, problemy prawne, problemy biznesowe i uzależnienie od usługodawcy.
- Katastrofy
- Zjawiska pogodowe – niekorzystne zjawiska naturalne, takie jak deszcz, śnieg, silny wiatr
- Pożar – ogień na terenie lokalizacji lub zakłócenia spowodowane przez ogień poza lokalizacją
- Zalanie – zalanie na terenie lokalizacji lub zakłócenia spowodowane przez zalanie poza lokalizacją
- Trzęsienie ziemi – zakłócenie działalności spowodowane trzęsieniem ziemi
- Niepokoje społeczne – zakłócenie działalności spowodowane przez zamieszki lub akty terroryzmu
- Pandemie – zakłócenie działalności spowodowane zaleceniami zdrowotnymi
- Kwestie prawne
- Zgodność z przepisami – nowe przepisy prawa lub brak zgodności z obowiązującymi przepisami
- Legislacja – nowe przepisy prawa, mające bezpośredni wpływ na organizację
- Postępowanie sądowe – postępowanie sądowe podjęte przeciwko organizacji przez dowolną osobę, w tym pracowników i klientów
- Kwestie biznesowe
- Dostawcy – tymczasowa lub trwała niezdolność dostawcy do dostarczenia produktów lub usług niezbędnych organizacji do działania
- Warunki rynkowe – zmniejszona zdolność organizacji do sprzedaży swoich produktów i usług na rynku
- Uwarunkowania ekonomiczne – niezdolność organizacji do pozyskania niezbędnych środków finansowych na swoją działalność
- Zależność od usług
- Media – awaria zasilania organizacji w energię elektryczną, wodę lub usługi telekomunikacyjne
- Służby ratunkowe – uzależnienia od służb ratunkowych, takich jak straż pożarna, policja, ratownictwo medyczne
- Paliwo – awaria zewnętrznych źródeł paliwa, np.: do zasilania generatora zapasowego
- Transport – braki w zewnętrznych systemach transportowych, np.: brak możliwości zgłaszania się pracowników do pracy oraz brak możliwości wykonania i odbioru dostaw
Należy wyraźnie podkreślić, że powyższy podział dotyczy cyberyzyka jako ryzyka operacyjnego, tj. związanego z bieżącą działalnością organizacji. Niech będzie to fundament do dalszych rozważań.