Obliczanie ryzyka cybernetycznego (CRQ) to sposób na umieszczenie zagrożeń cybernetycznych w obiektywnych, empirycznych warunkach biznesowych, aby podejmować strategiczne decyzje.
Zarządy korporacji i zespoły kierownicze są coraz częściej odpowiedzialne za naruszenia cyberbezpieczeństwa, utratę danych, naruszenia zgodności i inne skutki. To sprawiło, że cyberbezpieczeństwo stało się strategicznym tematem biznesowym w sposób, w jaki jeszcze wcześniej nie było. Obliczanie (analiza ilościowa) ryzyka cybernetycznego (CRQ) to metoda określania zagrożeń cybernetycznych w sposób, który ma znaczenie dla decydentów biznesowych.
CRQ to główny filar zarządzania ryzykiem cybernetycznym, pomagający organizacjom określić potencjalny wpływ ryzyka na bezpieczeństwo w biznesie, na przykład straty finansowe (przychody, przestoje) i/lub straty konkurencyjne (takie jak udział w rynku). Pomaga to organizacjom kierować inwestycje w cyberbezpieczeństwo tam, gdzie jest najbardziej potrzebne i określać wartość lub potencjalny zwrot z tych inwestycji, uzasadniając wydatki na cyberbezpieczeństwo.
Jedną z powszechnych metod obliczania CRQ jest model FAI. Nazwa modelu opracowana przez FAIR Institute oznacza „Analizę czynników ryzyka informacyjnego”. FAIR to otwarty międzynarodowy standard CRQ.
National Institute of Standards and Technology (NIST) definiuje ryzyko cybernetyczne jako jedno i drugie (lub oba):
Obie definicje odnoszą się do konieczności wdrożenia przez organizacje proaktywnej struktury zarządzania ryzykiem cybernetycznym.
Wdrożenie modelu CRQ umożliwia organizacjom integrację decyzji dotyczących cyberbezpieczeństwa z ogólną strategią korporacyjną i ustalaniem kierunków. To sprawia, że cyberbezpieczeństwo jest podstawowym elementem działalności firmy, a nie jego przemyślania.
Ponieważ CRQ umożliwia zespołom ds. cyberbezpieczeństwa i liderom biznesowym „mówienie tym samym językiem” na temat ryzyka cybernetycznego, ułatwia lepszą komunikację między zespołami ds. bezpieczeństwa a zespołami biznesowymi. W podobny sposób zapewnia mechanizm wykazywania zgodności z przepisami.
Dzięki połączeniu z zarządzaniem ryzykiem cybernetycznym CRQ wspiera i wzbogaca wysiłki organizacji mające na celu zrozumienie jej całkowitego narażenia na ryzyko cybernetyczne i luk w zabezpieczeniach powierzchni ataku, umożliwiając skuteczniejsze i bardziej ukierunkowane reakcje oraz lepsze wykorzystanie zasobów.
CRQ obejmuje identyfikację wszystkich potencjalnych zagrożeń cybernetycznych dla firmy, ocenę i ustalenie priorytetów w celu określenia, które są najpilniejsze i najpoważniejsze oraz obliczenie możliwego wpływu naruszenia, ataku lub straty biznesowej w każdym przypadku.
Jest to ściśle powiązane z dwoma pierwszymi fazami zarządzania powierzchnią ataku: odkrywaniem i oceną, a także obejmuje to to samo spektrum zagrożeń cyfrowych, fizycznych i społecznych/ludzkich, które mogą obejmować złośliwe oprogramowanie, słabe hasła i błędy konfiguracji, kradzieże, złośliwe działania związane z informacjami wewnętrznymi, podatność na phishing i programy kompromisów w poczcie biznesowej (BEC) i wiele innych.
Pierwszym krokiem jest zidentyfikowanie wszystkich potencjalnych zagrożeń, które mogą zaszkodzić organizacji. Wymaga to pełnego wglądu w powierzchnię ataku, czyli suma wszystkich sposobów uzyskania nieuprawnionego dostępu do danych i systemów w celu kradzieży lub uruchomienia ataku.
Na tym etapie niezbędna jest platforma cyberbezpieczeństwa umożliwiająca automatyczne i ciągłe skanowanie całej powierzchni ataku. Platforma będzie uwzględniać wszystkie znane i nieznane zasoby, systemy, aplikacje i punkty dostępowe — w tym elementy, które tradycyjnie nie są widoczne dla zespołów ds. bezpieczeństwa, takie jak aplikacje do cieniowania IT, technologie innych firm oraz przestarzałe lub „zapomniane” technologie, które zostały pominięte w poprzednich inwentarzach.
Dzięki kompleksowemu wglądowi w powierzchnię ataku zespoły ds. bezpieczeństwa mogą ocenić względne słabości i luki w zabezpieczeniach, takie jak błędy konfiguracji, niepoprawione oprogramowanie, błędy kodowania i inne. W oparciu o te luki w zabezpieczeniach ocena może następnie określić, jakie rodzaje ataków mogą zostać wykorzystane do ich wykorzystania — teraz i w przyszłości — oraz jakie mogą być cele tych ataków (np. kradzież danych, zakłócenia w działalności, okup i wymuszenie itp.).
Kilka kluczowych kwestii związanych z oceną:
W oparciu o ocenę zespoły ds. bezpieczeństwa współpracują z liderami biznesowymi, aby oszacować wartość finansową lub koszt potencjalnych cyberataków. Będzie to obejmować kary za nieprzestrzeganie przepisów i regulacji; straty finansowe wynikające z przestojów, odzyskiwania, wymuszenia lub kradzieży; utratę reputacji i pozycji rynkowej; procesy sądowe i inne. Konkretne czynniki różnią się w zależności od organizacji i sektora. Efektem końcowym jest wartość w dolarach, która wyraża ryzyko biznesowe związane z cyberatakiem.
Obiczanie ryzyka cybernetycznego i ocena ryzyka cybernetycznego pełnią podobne funkcje. Oba rodzaje ryzyka cybernetycznego tworzą obiektywne, empiryczne pojęcia, które informują o strategicznych decyzjach.
Podczas gdy CRQ oblicza potencjalną wartość w dolarach cyberzagrożeń — ile może kosztować firmę naruszenie, hakowanie lub kradzież danych — ocena ryzyka cybernetycznego przypisuje punktację liczbową każdemu ryzyku, a następnie przedstawia ogólny wynik ryzyka cybernetycznego organizacji.
W szczególności ocena ryzyka cybernetycznego obejmuje dwuetapowy proces profilowania ryzyka – określający, jakie są istotne zagrożenia i mechanizmy kontroli wymagane do zarządzania nimi – a następnie przypisujący oceny do każdego ryzyka w oparciu o ich względną pilność i potencjalną dotkliwość.
Istnieje wiele różnych metod obliczania wyników ryzyka cybernetycznego, w tym ramy przedstawione przez NIST i wspomniany wcześniej model FAIR.
Zarówno ocena ryzyka cybernetycznego, jak i CRQ wspierają dobre zarządzanie ryzykiem cybernetycznym i obejmują podobne etapy odkrywania i oceny w celu proaktywnego identyfikowania, oceniania i ustalania priorytetów ryzyka.
CRQ jest dość nowy. Wiele organizacji nadal stosuje oparte na zgodności modele zarządzania ryzykiem, takie jak NIST Cybersecurity Framework (CSF). Przy podejściu opartym na zgodności z przepisami nacisk kładzie się na zachowanie zgodności z wymogami regulacyjnymi. Z drugiej strony narzędzia CRQ koncentrują się na umieszczaniu liczb na cyberzagrożeniach. Połączenie tych dwóch rozwiązań może przynieść najlepsze wyniki w zakresie cyberbezpieczeństwa — w kontekście ogólnej strategii zarządzania ryzykiem cybernetycznym, zakorzenionej w czujnym zarządzaniu powierzchnią ataku.
Obliczanie ryzyka cybernetycznego jest kluczowym elementem ogólnego zarządzania ryzykiem cybernetycznym. Wdrożenie CRQ wymaga dobrej współpracy i koordynacji między zespołami ds. cyberbezpieczeństwa w przedsiębiorstwach a liderami firm, w tym jasnych oczekiwań, regularnych punktów kontaktu, otwartej komunikacji i dobrze zdefiniowanych procesów.
Organizacje będą musiały wybrać model CRQ (niezależnie od tego, czy chodzi o FAI, czy o inne podejście) i wdrożyć narzędzia CRQ do obsługi wymaganych symulacji i obliczeń. Narzędzia te powinny być zintegrowane z ogólną platformą cyberbezpieczeństwa, która może zapewnić cały kontekst niezbędny do świadomego określenia zagrożeń cybernetycznych i ich względnego priorytetu.
W szczególności oznacza to platformę zdolną do zarządzania ryzykiem cybernetycznym we wszystkich fazach: wykrywania, oceny i ograniczania ryzyka. Platforma powinna zawierać technologie operacji bezpieczeństwa, takie jak zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM), rozszerzone wykrywanie i reagowanie (EDR) i/lub rozszerzone wykrywanie i reagowanie (XDR), aby szybko i skutecznie ograniczać zagrożenia. XDR ma również kluczowe znaczenie jako źródło danych, analityki i integracji.
Aby zminimalizować ryzyko w dłuższej perspektywie i wzmocnić postawę organizacji w zakresie bezpieczeństwa, strategie „zero zaufania” są również ważnym uzupełnieniem CRQ. Zero zaufania stosuje zasadę najmniejszych uprawnień do praktycznie każdego aspektu środowiska IT. Jak sama nazwa wskazuje, nigdy nie zakłada się zaufania, a uprawnienia są ściśle kontrolowane, aby nawet upoważnieni użytkownicy mieli dostęp do zasobów tylko wtedy, gdy ich potrzebują.
Gdzie mogę uzyskać pomoc w zakresie CRQ?
Trend Vision One™ może pomóc we wdrażaniu praktyk CRQ dzięki rozwiązaniu do zarządzania ryzykiem cybernetycznym, które umożliwia organizacjom łatwe ilościowe określanie i informowanie o ryzyku cybernetycznym w warunkach biznesowych.
Jest to możliwe dzięki rewolucyjnemu podejściu Trend Vision One do łączenia kluczowych funkcji, takich jak zarządzanie powierzchnią ataków zewnętrznych (EASM), zarządzanie powierzchnią ataków cybernetycznych (CAASM), zarządzanie lukami w zabezpieczeniach i zarządzanie postawami zabezpieczeń — w chmurze, danych, tożsamości, interfejsach API, AI, zgodności i aplikacjach SaaS w jednym potężnym, łatwym w użyciu rozwiązaniu. Umożliwia proaktywną ochronę firmy z zachowaniem kontroli, przejrzystości i pewności.
Zarządzanie ryzykiem cybernetycznym może pomóc w kwantyfikacji ryzyka cybernetycznego.