Rychlé zhodnocení metodiky Open FAIR
Metodika Open Factor Analysis of Information Risk, zkr. Open FAIR poskytuje návod, jak provést analýzu informačních rizik, nic víc od ní ale nečekejte.
Na řízení rizik v celém jejich životním cyklu jsou tady jiné, vhodnější metodiky, např. M_o_R, takže jestliže proces řízení rizik ve vaší organizaci zavedený ještě nemáte, začněte nejdříve s ním, než vám začne management řídit rizika kreativně.
Pojďme se společně podívat na jednotlivé faktory informačních rizik, se kterými metodika FAIR pracuje a v čem je její přístup naprosto unikátní a s čím se u ostatních metodik zpravidla vůbec nesetkáme:
- Všechny faktory ovlivňující riziko umožňuje stanovit na základě aritmetického průměru 3 hodnot, tedy nejlepší, nejpravděpodobnější a nejhorší, jako rozsah od do, nebo pomocí metody Monte Carlo.
- Rozlišuje jak frekvenci výskytu hrozby (threat event. frequency, zkr. TEF), tak i frekvenci výskytu škody (loss event. frequency, zkr. LEF), protože s hrozbou můžeme přijít do kontaktu, ale žádnou škodu nemusíme utrpět.
- Vysvětluje rozdíl mezi probability a possibility s tím, že possibility je možnost, že nějaký jev buď nastane anebo ne. Probability neboli pravděpodobnost je pak všechno mezi tím, tedy mezi absolutní jistotou a nejistotou.
- Míru zranitelnosti (vulnerability, zkr. Vuln) umožňuje odvodit ze schopnosti hrozby (threat capability, zkr. TCap) způsobit škodu a odolnosti opatření (strength resistence, zkr. SR), které jsou proti dané hrozbě nasazeny.
- Pravděpodobnost škody (LEF) umožňuje odvodit z četnosti výskytu dané hrozby (TEF) a míry zranitelnosti (Vuln) anebo přímo. Za pozornost obzvláště stojí, že LEF je závislé na Vuln.
- Škodu (loss magnitude, zkr. LM) počítá jako sumu primární jednorázové škody (primary loss, zkr. PLM) a opakujících se sekundárních následků (secondary loss, zkr. SLM) a to pro 6 možných následků, které může utrpět jak primary stakeholder, tedy vlastník aktiva, který je accountable, tak i secondary stakeholder, tedy subjekt mimo firmu, např. klient, jehož data byla neoprávněně zveřejněna.
Výsledné riziko je pak dáno stejně jako v ostatních metodikách kombinací pravděpodobnosti hrozby a velikosti škody resp. frekvence ztrát a výše ztráty. Ovšem stejně jako v ostatních metodikách i zde je výsledné riziko založeno do značné míry na odhadu hrozeb, zranitelností a celkového dopadu, byť je silně podpořeno matematickým aparátem. Pořád se tedy jedná o snahu přesně počítat s nepřesnými čísly a na to nezapomínejme. Nyní se podívejme blíže na jednotlivé faktory a pojmy, se kterými FAIR pracuje, a na které nikde jinde nenarazíte.
Contact Frequency (CF)
FAIR vyhodnocuje, jak často se chráněné aktivum dostává do kontaktu s agentem hrozby, zkr. TA. Pravděpodobnost, že threat agent přijde do kontaktu s aktivem, může být zcela náhodná (plošné útoky), pravidelná (opakuje se v určitý čas, např. hrozba ze strany zaměstnance nebo třetí strany, která pravidelně dochází na pracoviště, připojuje se apod.) anebo se může jednat o cílený útok.
Probability of Action (PoA)
FAIR uvádí, že pravděpodobnost, že TA bude jednat, když přijde do kontaktu s aktivem je u hrozeb vyšší moci v zásadě jistá, naproti tomu u hrozeb, kde je TA člověk, bude záležet na motivu, schopnostech, příležitosti a bude se odvíjet i od hodnoty aktiva, úsilí, které bude muset být vynaloženo a na riziku odhalení. Těch faktorů je samozřejmě více, detailně se tomu věnuji zde.
Frekvence výskytu hrozby (TEF)
FAIR pravděpodobností výskytu hrozby během určitého období bez ohledu na to, zda způsobí nějakou škodu, označuje jako TEF. Je to třeba chápat tak, že hrozba se vyskytne několikrát, ale třeba jen jednou způsobí nějakou škodu. TEF je odvozena od toho, jak často přijde hrozba do styku s aktivem CF a pravděpodobnosti, že dojde k realizaci útoku PoA. V metodice to není uvedeno, ale z dalších zdrojů lze odvodit, že TEF lze získat násobením hodnot CF a PoA. Způsob převodu výsledku na kvalitativní hodnocení metodika neuvádí. Spíš se předpokládá, že většina TEF stanoví dle následující tabulky (poslední sloupec jsem si tam přidal, ten v metodice není).
TEF | Frekvence výskytu | Popis |
Very High | >100x ročně | certain (v podstatě jisté) |
High | 10-100 ročně | more likely (velmi pravděpodobné) |
Moderate | 1-10 ročně | likely (pravděpodobné) |
Low | 0,1 – 1 ročně | less likely (málo pravděpodobné) |
Very Low | <0,1x ročně (1 za 10 let) | rare (zřídka kdy) |
Schopnost hrozby (TCap)
FAIR předpokládá, že v každé populaci a tedy i mezi potencionálními útočníky, kteří mohou hrozbu vůči zranitelnosti daného aktiva realizovat, budou jejich schopnosti kopírovat normálové rozložení a to bude mít podobu zvonu (bell curve). Schopnosti útočníka označuje jako TCap (Threat Capability) a jsou zachyceny v následující tabulce (přidal jsem poslední 2 sloupce, ty v metodice nejsou).
TCap | Procentuální zastoupení útočníků v populaci | Schopnost hrozby | Agent hrozby |
Very High (VH) | horní 2 % populace | 100% | genius |
High (H) | horních 16 % populace | 98% | nadprůměrně inteligentní |
Moderate (M) | mezi horními 16 % a dolními 16 % | 84% | průměrně inteligentní |
Low (L) | dolních 16 % populace | 16% | podprůměrně inteligentní |
Very Low (VL) | dolní 2 % populace | 2% | debil |
Z výše uvedeného vyplývá, že jestliže jsou útoky schopny vést jen horní 2% populace, tak tomu pravděpodobně žádné opatření neodolá, ale na druhou stranu taková hrozba není moc pravděpodobná a nebude vedena vůči jen tak někomu. Jestliže ale k útoku postačí průměrné znalosti a zdroje, kterými disponují lidé mezi horními 16% a dolními 16 %, což je 68% populace, tak je s takovým útokem nutné počítat a jestliže je schopno útok realizovat dokonce i dolních 16% populace, tak ji může realizovat téměř každý a takový útok bude více jak jistý.
Odolnost opatření (RS)
Jistě vás napadne, že účinnost opatření bude do značné míry záviset na tom, kdo bude útok realizovat a jaké budou jeho schopnosti. FAIR uvádí, že nelze předpokládat, že schopnosti útočníka budou vždy a za každých podmínek na takové úrovni, aby byl schopen hrozbu realizovat. Odolnost opatření označuje jako RS (Resistance Strength). V některých starších materiálech můžete narazit na pojem Control Strength, zkr. CS.
RS | Popis účinnosti opatření | Odolnost opatření |
Very High (VH) | ochrání před horními 2 % populace | 100% |
High (H) | ochrání i před horními 16 % populace | 98% |
Moderate (M) | ochrání před průměrnými útočníky, kteří tvoří 68 % populace | 84% |
Low (L) | ochrání jen před dolními 16 % populace | 16% |
Very Low (VL) | ochrání jen před dolními 2 % populace | 2% |
Controls (opatření)
FAIR rozděluje opatření na opatření snižující frekvenci výskytu hrozby (loss prevention controls) a opatření snižující velikost dopadu (loss mitigation controls) a doporučuje zavést opatření na více vrstvách, aby bylo možné zastavit útok, odstranit škodlivý kód, a obnovit provoz. Pokud jde o efektivitu opatření, tak doporučuji zhodnotit i jejich náklady, jak píši zde.
Míra zranitelnosti (Vulnerability)
Samotná zranitelnost může být odvozena od účinnosti implementovaných opatření a jejich schopností odolat působení hrozby, proto je doporučuji důsledně evidovat. Je zřejmé, že zranitelnost Vuln je pak dána jako kombinace RS a TCap, neboli Vuln=RS x TCap. Případně může být stanovena přímo.
TCap /RS | 1 | 2 | 3 | 4 | 5 |
1 | 3 | 2 | 1 | 1 | 1 |
2 | 4 | 3 | 2 | 1 | 1 |
3 | 5 | 4 | 3 | 2 | 1 |
4 | 5 | 5 | 4 | 3 | 2 |
5 | 5 | 5 | 5 | 4 | 3 |
Poznámka: Přes všechnu vědu, za kterou se FAIR schovává, není zřejmé, proč matice vypadá zrovna takto.
Frekvence výskytu škody (LEF)
LEF vyjadřuje, jaká je pravděpodobnost, že daná hrozba překoná určité opatření, zneužije specifické zranitelnosti (Vulnerability, zkr. Vuln) a způsobí škodu. Zde se musíme ptát, jaká jsou implementována opatření, a zda jsou dostatečně účinná vůči působení určité hrozby. Vidíme, že LEF vzniká kombinací TEF a Vuln, neboli LEF = TEF x Vuln.
Vuln /TEF | 1 | 2 | 3 | 4 | 5 |
1 | 1 | 1 | 1 | 2 | 3 |
2 | 1 | 1 | 2 | 3 | 4 |
3 | 1 | 2 | 3 | 4 | 5 |
4 | 1 | 2 | 3 | 4 | 5 |
5 | 1 | 2 | 3 | 4 | 5 |
Poznámka: Přes všechnu vědu, za kterou se FAIR schovává, není zřejmé, proč matice vypadá zrovna takto.
Velikost dopadu (LM)
FAIR se poměrně detailně věnuje i velikosti dopadu, doporučuje se zajímat o ztrátu produktivity, náklady na okamžitou reakci, náklady na obnovu, ztrátu konkurenční výhody, nejrůznější pokuty a sankce za nedodržení SLA, únik informací a v neposlední řadě ztrátu dobrého jména. Tento myšlenkový proces označuje za loss flow a skládá se z primary loss (PLM) a secondary loss (SLM), přičemž k primární škodě dojde jen jednou, zatímco sekundární se může v čase opakovat. Nenechte se splést pojmem Loss Magnitude, zkr. LM, neboť to není nic jiného, než nám již známé I. Je otázka, proč se FAIR více nedrží ISO 27005 a pojmů náklady a následky, jak píši zde.
Riziko
FAIR riziko vyjadřuje jako vztah mezi LEF x LM nebo chcete-li jako L x I, tedy nám dobře známý likelihood a impact.
Závěr
Máme tady metodiku, která zaujímá k analýze rizik velice exaktní přístup. Způsob stanovení zranitelnosti a pravděpodobnosti hrozby osobně považuji za vůbec nejinovativnější část této metodiky. Je však otázka, zda takto exaktní přístup, který by měl poskytnout přesnější výsledky, vrcholový management skutečně ocení. Nabízí se tak naprosto zásadní otázka a to, komu je tato metodika vlastně určena, akademické sféře, korporacím nebo drobným živnostníkům?
Obávám se, že ve výsledku z celé metodiky v praxi zbyde jen torzo a byť expertní tým nebo analytik bude tvrdit, že dle ní postupuje, tak ve výsledku stanoví hodnotu rizika běžným způsobem, což metodika též umožňuje. Ostatně pokud se bavíme o analýze informačních rizik, tak by to v mnoha případech nemělo ani smysl dělat jinak.
Protože proč by měl analytik ztrácet čas zkoumáním dalších faktorů, když začíná analýzou aktiv a hodnocením business dopadů a vyhodnotí onen inherentní dopad jako minimální anebo naopak jako kritický a management mající nízkou toleranci vůči rizikům požaduje snížení. V takovém případě rovněž nebude zkoumat četnost výskytu dané hrozby, protože je to v zásadě jedno, obzvlášť když jsou náklady na zavedení opatření ve výši pár korun.
Což mě mimochodem přivádí i k tomu, že tato metodika nepracuje s inherentním a reziduálním rizikem ani s pojmy primární a sekundární aktivum, což je škoda, protože to třeba ZokB resp. VoKB vyžaduje. Obávám se, že tato metodika přes veškeré předpoklady stát se univerzální metodikou pro analýzu rizik doplácí na svůj až příliš exaktní přístup a komplexnost.
Pokud vás metodika Open FAIR zaujala, tak vám doporučuji se zaregistrovat a seznámit se s dokumentací, která je pro registrované uživatele k dispozici ve formátu PDF, případně pak i pouvažovat o koupi nějaké knihy.
ČERMÁK, Miroslav, 2021. Rychlé zhodnocení metodiky Open FAIR. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/rychle-zhodnoceni-metodiky-open-fair/. [citováno 07.12.2024].
Štítky: analýza rizik, FAIR
K článku “Rychlé zhodnocení metodiky Open FAIR” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.