V příspěvku nazvaném identifikace hrozeb jsme si hrozby rozdělili podle zdroje na interní a externí a dále podle úmyslu na náhodné a úmyslné. Kombinací jsme získali matici, která zachycovala 4 základní typy hrozeb. Pozorný čtenář si jistě všiml, že jich ve skutečnosti bylo 5. (Je zajímavé, že na to nikdo v diskusi pod článkem neupozornil;-). Konkrétně se tedy jedná o hrozby: 

• přírodního původu (ENV)
• technické selhání (TFA)
• lidská chyba (HER)
• hacking (HCK)
• sabotáž (SBT)

 Pokud máme stanovit míru hrozby, musíme zohlednit následující faktory:

• četnost výskytu
• příležitost
• motiv
• schopnosti
• peníze
• vybavení
• čas
• atraktivitu aktiva
• počet osob
• stáří aktiva

Vytvoříme si proto matici, která bude zachycovat, které faktory je třeba vzít při hodnocení jednotlivých hrozeb v úvahu.

Na první pohled vidíme, že u úmyslných hrozeb, bez ohledu na to zda pochází ze vnitř nebo z vnějšku organizace, vstupují do hodnocení všechny faktory. Běžně se sice uvádí, že k realizaci úmyslných hrozeb stačí příležitost, motiv a schopnost, ale je třeba si uvědomit, že útočník si v mnoha případech svůj cíl vybírá. Proto je vhodné vzít v úvahu i další faktory jako je např. atraktivita aktiva a náročnost na zdroje (čas, peníze, vybavení). Níže si jednotlivé faktory stručně popíšeme. 

Četnost výskytu

U všech typů hrozeb můžeme pro stanovení míry hrozby vzít v úvahu četnost výskytu, ať už ze statistik, nejrůznějších průzkumů informační bezpečnosti nebo z ještě lépe z vlastní pečlivě vedené evidence bezpečnostních incidentů. Tímto způsobem můžeme poměrně spolehlivě určit pravděpodobnost výskytu dané hrozby.

Příležitost

Pravděpodobnost realizace hrozby je tím vyšší, čím vyšší je příležitost danou hrozbu realizovat. Pokud zaměstnanci denně přichází do styku s důvěrnými informace a ví, že jejich činnost v systému není monitorována, je větší pravděpodobnost, že některý z nich svého přístupu do systému zneužije a dojde tak např. k úniku informací.

Motiv

Motiv útočníka může být různý a někdy i těžko pochopitelný. Podstatné však je, že pravděpodobnost realizace hrozby je vyšší v době krize, fůzování, outsourcingu. To je dáno tím, že lidé v tomto období velice často přicházejí o místo a svůj příjem. Mohou se chtít pomstít nebo si „jen“ odnést něco, co se dá snadno zpeněžit nebo využít v novém zaměstnání.

Schopnosti

To, že jsou schopnosti uvedené jak u lidského selhání, tak i hackingu a sabotáže není náhoda. Vycházíme z toho, že méně chyb obvykle dělá člověk, který své práci rozumí. U hackingu a sabotáže zase předpokládáme, že pravděpodobnost dané hrozby bude vyšší v případě, kdy žádné speciální znalosti, schopnosti a dovednosti nejsou k realizaci hrozby potřeba.

Peníze

Pravděpodobnost hrozby je tím vyšší, čím nižší jsou náklady na její realizaci. Je to v celku logické, protože i útočník zvažuje, zdali se mu vyplatí do přípravy a realizace útoku investovat své prostředky.

Čas

Pravděpodobnost hrozby je tím vyšší, čím kratší je doba potřebná k přípravě a vlastní realizaci dané hrozby. To je dáno tím, že čím rychleji je možné daný útok provést, tím nižší je pravděpodobnost, že si někdo přípravy nebo vlastního provedení útoku všimne.

Vybavení

Pravděpodobnost hrozby je tím vyšší, čím jsou nižší nároky na HW a SW vybavení útočníka. Je rozdíl, zda nástroj k realizaci hrozby je možné stáhnout z internetu nebo je nutné ho vyvinout.

Atraktivita

Čím atraktivnější cíl, tím vyšší pravděpodobnost hrozby. Když chce hacker provést např. defacement vybere si spíš takový server, který je hodně navštěvován a znám, než web, na který nikdo nechodí. Je to podobné jako u zlodějů aut, jestliže se takový zloděj má rozhodnout, zda ukradne Jaguára nebo Trabanta, které auto to bude? Samozřejmě můžete namítnout, že Škodovka, protože těch je víc a nebude v ní budit takovou pozornost;-)

Počet osob

Čím větší počet osob přichází s hodnoceným aktivem do styku, tím větší je pravděpodobnost, že někdo z nich hrozbu realizuje. Podle jedné studie je v každé společnosti 10% lidí absolutně poctivých, 10% absolutně nepoctivých a ostatních 80% se nachází někde mezi. Do jaké skupiny patříte vy?

Stáří aktiva

To, že je stáří aktiva posuzováno i u lidí, není chyba. Možná to zní trochu cynicky, ale v obou případech je pro stanovení pravděpodobnosti selhání nebo chyby možno použít vanovou křivku, jen bude mít u různých aktiv trochu jiný průběh (např. nezkušený zaměstnanec – zkušený zaměstnanec – opotřebovaný zaměstnanec).

Jednotlivec vs. organizovaný zločin

Usoudíme-li, že danou hrozbu je velice náročné provést a jedinec toho není prakticky schopen, protože nejenže obvykle nemá současně motiv, příležitost a schopnosti, ale nedisponuje ani potřebnými zdroji (vybavení, čas, peníze), nabízí se označit danou hrozbu jako málo pravděpodobnou. To by však mohla být chyba, protože vysoká atraktivita aktiva může vést ve zformování virtuální organizované skupiny a pokud se podíváme na statistiky, zjistíme, že tomu tak skutečně je a dokonce ne jen v případě cenných aktiv. Nejsou to tedy osamocení hackeři, jako tomu bylo v počátku rozvoje internetu, ale organizované skupiny, které stojí za většinou útoků a operující celosvětově bez ohledu na hranice států.

Stanovení míry hrozby

Stanovení výsledné míry hrozby pro konkrétní dvojici hrozba – aktivum není triviální. V případě hrozby přírodního původu je určení míry hrozby poměrně snadné, neboť nám k jejímu stanovení stačí určit pravděpodobnost výskytu dané hrozby. V případě technického selhání můžeme kromě statistik vyjít i ze stáří aktiva a míru hrozby stanovit podle toho, v jakém bodě vanové křivky se právě nacházíme. V případě lidského selhání je možné též vyjít ze statistiky a vzít v úvahu aktuální náladu ve společnosti a kvalitu lidské obsluhy a určit trend. V případě hodnocení úmyslných hrozeb však narazíme na problém. I kdybychom vzali v úvahu jen 3 nejčastěji uváděné faktory jako je schopnost, příležitost a motiv, znamená to zkoumat 7 různých kombinací a posoudit, která z nich je závažnější. V případě, že bychom chtěli vzít v úvahu všech 9 výše uvedených faktorů, které při hodnocení pravděpodobnosti realizace úmyslné hrozby připadají v úvahu, dostali bychom se na 511 různých kombinací. (Z čistě matematického pohledu se jedná o kombinace bez opakování, jejichž počet lze snadno spočítat.) Z tohoto pohledu se jeví vyhodnocení trendu a náročnosti provedení útoku jako zcela dostačující k určení pravděpodobnosti realizace dané hrozby. Vycházíme z toho, že v době, kdy se členem organizované skupiny může stát v podstatě kdokoliv, vždy se najde někdo, kdo má motiv, příležitost, schopnosti a prostředky. Ostatní výše uvedené faktory je tedy třeba brát pouze jako doplňkové nebo se jimi vážně zabývat pouze v okamžiku, kdy statistické údaje nejsou k dispozici.

Závěr: Stanovení míry hrozby na základě četnosti výskytu dané hrozby je managementem obvykle akceptováno, neboť se tento způsob opírá o matematický aparát a míru hrozby je tak možné jednoduše vysvětlit a obhájit.

Poznámka: Co se týká kombinace jednotlivých faktorů, problém spočívá v tom, jak hodnotit např. takovou kombinaci, kdy bude pro jednu hrozbu splněna podmínka motivu a příležitosti, zatímco pro druhou naopak bude existovat příležitost a schopnost. Která hrozba bude v takovém případě závažnější? Jak spočítat míru hrozby? Je lepší vyhodnotit každý faktor a pak spočítat průměr? Nebo je vhodnější přidělit jednotlivým faktorům různé váhy?

Related posts:

1. Analýza rizik: identifikace hrozeb
2. Analýza rizik: kvantitativní analýza rizik
3. Analýza rizik: kvalitativní analýza rizik

Hrozbu můžeme definovat jako náhodnou nebo úmyslně vyvolanou událost, která může mít negativní dopad na důvěrnost, integritu a dostupnost aktiv. Každý informační systém je vystaven působení mnoha různých hrozeb a pokud chceme těmto hrozbám čelit, musíme nejprve zjistit, které to jsou. Vzhledem k tomu, že většina informačních systémů bývá obvykle vystavena působení stejných hrozeb, můžeme hovořit o tzv. obecných neboli generických hrozbách, jejichž výčet bývá často uveden v nejrůznějších standardech a metodikách. Kromě těchto hrozeb bychom se však měli zamyslet i nad tím, zda náš systém neohrožují ještě nějaké jiné, pro něj specifické hrozby a pokud ano, měli bychom je do našeho seznamu hrozeb přidat. Tento výše uvedený proces se v analýze rizik označuje pojmem identifikace hrozeb.

Hrozby můžeme dělit mnoha různými způsoby. Nejčastěji se hrozby dělí podle úmyslu a umístění zdroje hrozby.

Podle úmyslu:

• náhodné hrozby (accidental threat) – jedná se o hrozby, které byly způsobeny zcela náhodně (původce hrozby se označuje jako threat event);
• úmyslné hrozby (deliberate/intentional threat) – jedná se o hrozby, které byly naplánovány (původce hrozby se označuje jako threat agent).

Podle zdroje:

• vnitřní hrozby (internal/insider threat) – zdroj (příčina) hrozby se nachází uvnitř organizace;
• vnější hrozby (external/outsider threat) – zdroj (příčina) hrozby se nachází mimo organizaci.

Kombinací výše uvedeného způsobu dělení získáváme matici, která zachycuje čtyři základní typy hrozeb.

Další možné dělení hrozeb je podle dopadu na systém. Toto dělení již není tak časté, ale umožňuje určit, na jaký atribut bezpečnosti (důvěrnost, integrita, dostupnost) hrozba působí:

• aktivní hrozby (active threat) – dochází ke změně stavu systému v důsledku narušení integrity a dostupnosti
• pasivní hrozby (passive threat) – nedochází ke změně stavu systému, dochází k úniku informací

Pro vlastní provedení analýzy rizik nemá výše uvedené dělení hrozeb příliš velký smysl. Ovšem v okamžiku, kdy se definuje hloubka analýzy rizik, může být takovéto dělení přínosem, neboť je tímto způsobem možné přibližně vymezit typ hrozeb, které budou předmětem analýzy. Stejně tak nám ve fázi vyhodnocení rizik může zařazení hrozby do odpovídající kategorie poskytnout zajímavý obrázek o tom, který typ hrozeb představuje pro společnost největší riziko. Vzhledem k tomu, že ne všechna aktiva jsou vystavena působení všech hrozeb, je vhodné hrozby seskupit podle toho na jaké aktivum působí:

• operační systém (operating system threats)
• aplikace (application threats)
• databáze (database threats)
• síť (network threats)
• klient (host threats)

V okamžiku, kdy budeme posuzovat míru zranitelnosti aktiva vůči působení hrozby, již nebudeme ztrácet čas vyhodnocováním, zda je daná hrozba relevantní či nikoliv.

Related posts:

1. Analýza rizik: kvantifikace hrozeb
2. Analýza rizik: Jemný úvod do analýzy rizik
3. Analýza rizik: Identifikace datových aktiv