Analýza rizik: kvantifikace hrozeb
Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi„ a přináší odpověď na otázku, jakým způsobem můžeme přistoupit v rámci analýzy rizik k hodnocení hrozeb.
V příspěvku nazvaném identifikace hrozeb jsme si hrozby rozdělili podle zdroje na interní a externí a dále podle úmyslu na náhodné a úmyslné. Kombinací jsme získali matici, která zachycovala 4 základní typy hrozeb. Pozorný čtenář si jistě všiml, že jich ve skutečnosti bylo 5. (Je zajímavé, že na to nikdo v diskusi pod článkem neupozornil;-). Konkrétně se tedy jedná o hrozby:
- přírodního původu (ENV)
- technické selhání (TFA)
- lidská chyba (HER)
- hacking (HCK)
- sabotáž (SBT)
Pokud máme stanovit míru hrozby, musíme zohlednit následující faktory:
- četnost výskytu
- příležitost
- motiv
- schopnosti
- peníze
- vybavení
- čas
- atraktivitu aktiva
- počet osob
- stáří aktiva
Vytvoříme si proto matici, která bude zachycovat, které faktory je třeba vzít při hodnocení jednotlivých hrozeb v úvahu.
faktor/hrozba | ENV | TFA | HER | HCK | SBT |
četnost výskytu | x | x | x | x | x |
příležitost | x | x | |||
motiv | x | x | x | ||
schopnosti | x | x | x | ||
peníze | x | x | |||
čas | x | x | |||
vybavení | x | x | |||
atraktivita aktiva | x | x | |||
počet osob | x | x | |||
stáří aktiva | x | x | x | x |
Na první pohled vidíme, že u úmyslných hrozeb, bez ohledu na to zda pochází zevnitř nebo z vnějšku organizace, vstupují do hodnocení všechny faktory. Běžně se sice uvádí, že k realizaci úmyslných hrozeb stačí příležitost, motiv a schopnost, ale je třeba si uvědomit, že útočník si v mnoha případech svůj cíl vybírá. Proto je vhodné vzít v úvahu i další faktory jako je např. atraktivita aktiva a náročnost na zdroje (čas, peníze, vybavení). Níže si jednotlivé faktory stručně popíšeme.
Četnost výskytu
U všech typů hrozeb můžeme pro stanovení míry hrozby vzít v úvahu četnost výskytu, ať už ze statistik, nejrůznějších průzkumů informační bezpečnosti nebo z ještě lépe z vlastní pečlivě vedené evidence bezpečnostních incidentů. Tímto způsobem můžeme poměrně spolehlivě určit pravděpodobnost výskytu dané hrozby.
Příležitost
Pravděpodobnost realizace hrozby je tím vyšší, čím vyšší je příležitost danou hrozbu realizovat. Pokud zaměstnanci denně přichází do styku s důvěrnými informace a ví, že jejich činnost v systému není monitorována, je větší pravděpodobnost, že některý z nich svého přístupu do systému zneužije a dojde tak např. k úniku informací.
Motiv
Motiv útočníka může být různý a někdy i těžko pochopitelný. Podstatné však je, že pravděpodobnost realizace hrozby je vyšší v době krize, fúzování, outsourcingu. To je dáno tím, že lidé v tomto období velice často přicházejí o místo a svůj příjem. Mohou se chtít pomstít nebo si „jen“ odnést něco, co se dá snadno zpeněžit nebo využít v novém zaměstnání.
Schopnosti
To, že jsou schopnosti uvedené jak u lidského selhání, tak i hackingu a sabotáže není náhoda. Vycházíme z toho, že méně chyb obvykle dělá člověk, který své práci rozumí. U hackingu a sabotáže zase předpokládáme, že pravděpodobnost dané hrozby bude vyšší v případě, kdy žádné speciální znalosti, schopnosti a dovednosti nejsou k realizaci hrozby potřeba.
Peníze
Pravděpodobnost hrozby je tím vyšší, čím nižší jsou náklady na její realizaci. Je to v celku logické, protože i útočník zvažuje, zdali se mu vyplatí do přípravy a realizace útoku investovat své prostředky.
Čas
Pravděpodobnost hrozby je tím vyšší, čím kratší je doba potřebná k přípravě a vlastní realizaci dané hrozby. To je dáno tím, že čím rychleji je možné daný útok provést, tím nižší je pravděpodobnost, že si někdo přípravy nebo vlastního provedení útoku všimne.
Vybavení
Pravděpodobnost hrozby je tím vyšší, čím jsou nižší nároky na HW a SW vybavení útočníka. Je rozdíl, zda nástroj k realizaci hrozby je možné stáhnout z internetu nebo je nutné ho vyvinout.
Atraktivita
Čím atraktivnější cíl, tím vyšší pravděpodobnost hrozby. Když chce hacker provést např. defacement vybere si spíš takový server, který je hodně navštěvován a znám, než web, na který nikdo nechodí. Je to podobné jako u zlodějů aut, jestliže se takový zloděj má rozhodnout, zda ukradne Jaguára nebo Trabanta, které auto to bude? Samozřejmě můžete namítnout, že Škodovka, protože těch je víc a nebude v ní budit takovou pozornost;-)
Počet osob
Čím větší počet osob přichází s hodnoceným aktivem do styku, tím větší je pravděpodobnost, že někdo z nich hrozbu realizuje. Podle jedné studie je v každé společnosti 10% lidí absolutně poctivých, 10% absolutně nepoctivých a ostatních 80% se nachází někde mezi. Do jaké skupiny patříte vy?
Stáří aktiva
To, že je stáří aktiva posuzováno i u lidí, není chyba. Možná to zní trochu cynicky, ale v obou případech je pro stanovení pravděpodobnosti selhání nebo chyby možno použít vanovou křivku, jen bude mít u různých aktiv trochu jiný průběh (např. nezkušený zaměstnanec – zkušený zaměstnanec – opotřebovaný zaměstnanec).
Jednotlivec vs. organizovaný zločin
Usoudíme-li, že danou hrozbu je velice náročné provést a jedinec toho není prakticky schopen, protože nejenže obvykle nemá současně motiv, příležitost a schopnosti, ale nedisponuje ani potřebnými zdroji (vybavení, čas, peníze), nabízí se označit danou hrozbu jako málo pravděpodobnou.
To by však mohla být chyba, protože vysoká atraktivita aktiva může vést ve zformování virtuální organizované skupiny a pokud se podíváme na statistiky, zjistíme, že tomu tak skutečně je a dokonce ne jen v případě cenných aktiv. Nejsou to tedy osamocení hackeři, jako tomu bylo v počátku rozvoje internetu, ale organizované skupiny, které stojí za většinou útoků a operující celosvětově bez ohledu na hranice států.
Stanovení míry hrozby
Stanovení výsledné míry hrozby pro konkrétní dvojici hrozba – aktivum není triviální. V případě hrozby přírodního původu je určení míry hrozby poměrně snadné, neboť nám k jejímu stanovení stačí určit pravděpodobnost výskytu dané hrozby. V případě technického selhání můžeme kromě statistik vyjít i ze stáří aktiva a míru hrozby stanovit podle toho, v jakém bodě vanové křivky se právě nacházíme. V případě lidského selhání je možné též vyjít ze statistiky a vzít v úvahu aktuální náladu ve společnosti a kvalitu lidské obsluhy a určit trend.
V případě hodnocení úmyslných hrozeb však narazíme na problém. I kdybychom vzali v úvahu jen 3 nejčastěji uváděné faktory jako je schopnost, příležitost a motiv, znamená to zkoumat 7 různých kombinací a posoudit, která z nich je závažnější. V případě, že bychom chtěli vzít v úvahu všech 9 výše uvedených faktorů, které při hodnocení pravděpodobnosti realizace úmyslné hrozby připadají v úvahu, dostali bychom se na 511 různých kombinací. (Z čistě matematického pohledu se jedná o kombinace bez opakování, jejichž počet lze snadno spočítat.)
Z tohoto pohledu se jeví vyhodnocení trendu a náročnosti provedení útoku jako zcela dostačující k určení pravděpodobnosti realizace dané hrozby. Vycházíme z toho, že v době, kdy se členem organizované skupiny může stát v podstatě kdokoliv, vždy se najde někdo, kdo má motiv, příležitost, schopnosti a prostředky. Ostatní výše uvedené faktory je tedy třeba brát pouze jako doplňkové nebo se jimi vážně zabývat pouze v okamžiku, kdy statistické údaje nejsou k dispozici.
Závěr: Stanovení míry hrozby na základě četnosti výskytu dané hrozby je managementem obvykle akceptováno, neboť se tento způsob opírá o matematický aparát a míru hrozby je tak možné jednoduše vysvětlit a obhájit.
Poznámka: Co se týká kombinace jednotlivých faktorů, problém spočívá v tom, jak hodnotit např. takovou kombinaci, kdy bude pro jednu hrozbu splněna podmínka motivu a příležitosti, zatímco pro druhou naopak bude existovat příležitost a schopnost. Která hrozba bude v takovém případě závažnější? Jak spočítat míru hrozby? Je lepší vyhodnotit každý faktor a pak spočítat průměr? Nebo je vhodnější přidělit jednotlivým faktorům různé váhy?
Štítky: analýza hrozeb, analýza rizik, hrozby, řízení informačních rizik
K článku “Analýza rizik: kvantifikace hrozeb” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.