Ocena ryzyka cybernetycznego to sposób ilościowego określenia ryzyka cybernetycznego, aby organizacje mogły podejmować obiektywne, empiryczne decyzje dotyczące ochrony i zmniejszenia powierzchni ataku.
Czym jest punktacja ryzyka cybernetycznego?
Ocena ryzyka cybernetycznego jest ważnym elementem każdej struktury zarządzania ryzykiem cybernetycznym. Umożliwia wspólne i obiektywne zrozumienie względnych zagrożeń związanych z zasobami informatycznymi i technologiami cyfrowymi, dzięki czemu możliwe jest dokonanie praktycznych wyborów, które mają najwyższy priorytet do rozwiązania.
Śledzenie wyników ryzyka cybernetycznego w czasie pozwala organizacjom na porównywanie i monitorowanie ogólnej gotowości do cyberbezpieczeństwa oraz poziomu bezpieczeństwa.
Ocena ryzyka cybernetycznego dotyczy całej powierzchni ataku, w tym zarówno wewnętrznych, jak i zewnętrznych zasobów IT, danych, systemów i zasobów.
Podobnie jak w przypadku analizy ilościowej ryzyka cybernetycznego (CRQ), ocena ryzyka cybernetycznego jest ściśle związana z dwoma pierwszymi etapami zarządzania powierzchnią ataku: wykrywaniem i oceną.
W szczególności obejmuje to dwuetapowy proces profilowania ryzyka — określanie, jakie są istotne zagrożenia i jakie środki kontroli są wymagane do zarządzania nimi — a następnie przypisywanie wyników do każdego ryzyka w oparciu o ich względną pilność i potencjalne nasilenie.
Czym są zagrożenia cybernetyczne?
National Institute of Standards and Technology definiuje ryzyko cybernetyczne jako jedno i drugie (lub jedno i drugie):
- „Ryzyko związane z w zależności od cyberzasobów (tj. ryzyko związane z w zależności od systemu lub elementów systemu, które istnieją w cyberprzestrzeni lub co pewien czas występują w niej).”
- „Ryzyko strat finansowych, zakłóceń operacyjnych lub szkód wynikających z awarii technologii cyfrowych wykorzystywanych do celów informacyjnych i/lub operacyjnych wprowadzanych do systemu produkcyjnego za pomocą środków elektronicznych w wyniku nieuprawnionego dostępu, użycia, ujawnienia, zakłócenia, modyfikacji lub zniszczenia systemu produkcyjnego”.
Obie definicje odnoszą się do potrzeby wdrożenia przez organizacje proaktywnych ram zarządzania ryzykiem cybernetycznym.
Dlaczego ocena ryzyka cybernetycznego ma znaczenie?
Jako element zarządzania ryzykiem cybernetycznym, ocena ryzyka cybernetycznego zapewnia wymierną, obiektywną jasność co do tego, które zagrożenia stanowią największe zagrożenie dla organizacji. Pomaga to w prowadzeniu działań i inwestycji w zakresie cyberbezpieczeństwa.
Podobnie jak w przypadku CRQ, ocena ryzyka cybernetycznego to sposób mówienia o ryzyku, które jest zrozumiałe zarówno dla specjalistów ds. bezpieczeństwa, jak i liderów biznesu. W ten sposób jest to ważne wsparcie dla monitorowania i raportowania wydajności organizacji w zakresie ochrony środowiska, społecznej i ładu korporacyjnego (ESG) i/lub społecznej odpowiedzialności biznesu (CSR).
Coraz częściej oceny ryzyka cybernetycznego są wykorzystywane jako czynnik określający uprawnienia organizacji do ubezpieczenia cybernetycznego. Mogą one być również wykorzystywane do oceny potencjalnych fuzji i przejęć, zarządzania bezpieczeństwem łańcucha dostaw i innych obszarów działalności biznesowej.
Ocena ryzyka cybernetycznego w porównaniu z CRQ?
Ocena ryzyka cybernetycznego i CRQ pełnią podobne funkcje — jedna jest jakościowa, a druga ilościowa. Oba rodzaje ryzyka cybernetycznego tworzą obiektywne, empiryczne terminy, które informują o strategicznych decyzjach.
Podczas gdy ocena ryzyka cybernetycznego przypisuje punktację liczbową każdemu ryzyku, a następnie tabelarycznie oblicza ogólny wynik ryzyka cybernetycznego dla organizacji, CRQ oblicza potencjalną wartość pieniężną incydentów cybernetycznych — ile może kosztować firma w wyniku naruszenia, włamania lub kradzieży danych. Koszty te mogą obejmować straty finansowe (przychody, przestoje, grzywny, procesy sądowe), straty konkurencyjne (takie jak udział w rynku), szkody dla reputacji, rezygnację klientów i inne szkody.
CRQ oblicza prawdopodobieństwo ataku jako prawdopodobieństwo, często wyrażone w procentach. Na przykład w przypadku poczty elektronicznej dyrektora generalnego w firmie świadczącej usługi finansowe prawdopodobieństwo ataku BEC może wynosić 85%, w porównaniu z 12% w przypadku kierownika stołówki w tym samym przedsiębiorstwie. Prawdopodobieństwo to jest określane statystycznie przy użyciu symulacji modelowych (np. symulacji Monte Carlo) i jest zazwyczaj obliczane dla określonego okresu, takiego jak kwartał biznesowy lub rok kalendarzowy.
Zarówno ocena ryzyka cybernetycznego, jak i CRQ wspierają dobre zarządzanie ryzykiem cybernetycznym i oba te elementy obejmują podobne etapy wykrywania i oceny w celu identyfikacji, oceny i ustalania priorytetów ryzyka.
Jak działa ocena ryzyka cybernetycznego?
Jak wspomniano, ocena ryzyka cybernetycznego składa się z dwóch głównych części:
- Profilowanie ryzyka
- Ocena ryzyka
Etap profilowania zależy od dokładnego procesu wykrywania i oceny, który definiuje ogólną powierzchnię ataku organizacji oraz identyfikuje zagrożenia i luki w zabezpieczeniach na tej powierzchni. W oparciu o te ustalenia organizacja może zdecydować, które mechanizmy kontroli należy wdrożyć.
Etap oceniania ocenia potencjalny poziom ryzyka i szkód dla każdej zidentyfikowanej luki w zabezpieczeniach, w tym prawdopodobieństwo jej wykorzystania, stopień i szerokość odczuwanego wpływu, trudności z usunięciem udanego ataku i wiele więcej.
Oceny ryzyka cybernetycznego powinny również uwzględniać globalne analizy zagrożeń (własne lub open source), oceny bezpieczeństwa publicznego oraz informacje na temat konkretnych luk w zabezpieczeniach, łatwości wykorzystania, częstotliwości exploitów i innych istotnych punktów danych.
Poszczególne oceny ryzyka cybernetycznego są następnie dostosowywane do ogólnej oceny ryzyka cybernetycznego organizacji.
W jaki sposób ocena ryzyka cybernetycznego przyczynia się do zarządzania powierzchnią ataku?
Zarządzanie powierzchnią ataku (ASM) to podejście do cyberbezpieczeństwa, którego celem jest pomoc organizacjom w ochronie ich danych i systemów poprzez zwiększanie widoczności zagrożeń. Chodzi o to, aby wiedzieć, gdzie istnieją zagrożenia, zrozumieć ich względną powagę i podjąć działania w celu wyeliminowania luk w zabezpieczeniach związanych z ludźmi, procesami i technologią.
W związku z tym ocena ryzyka cybernetycznego jest ściśle związana z dwoma pierwszymi etapami ASM: odkrywaniem i oceną.
Proces wykrywania ASM zapewnia wgląd we wszystkie potencjalne zagrożenia cybernetyczne stojące przed organizacją. Ten kontekst jest niezbędny do dokładnej i kompletnej oceny ryzyka cybernetycznego, ponieważ zapewnia pełny obraz powierzchni ataku w przedsiębiorstwie.
Ocena ryzyka cybernetycznego przyczynia się do etapu oceny ASM, zapewniając empiryczny, obiektywny sposób wskazania, które zagrożenia i luki w zabezpieczeniach są najważniejsze, a które można rozwiązać w późniejszym czasie.
Ocena ryzyka cybernetycznego to ciągły proces. W miarę regularnego aktualizowania wyników zespoły ds. cyberbezpieczeństwa i liderzy biznesowi mogą zobaczyć, jak zmienia się ogólny krajobraz ryzyka: które zagrożenia stają się coraz bardziej istotne i pilne, a które zostały z powodzeniem ograniczone.
Metody obliczania wyników w zakresie ryzyka cybernetycznego
Istnieje wiele ram lub metod oceny ryzyka cybernetycznego. Najprostsze jest oszacowanie prawdopodobieństwa ataku, przypisanie tej wartości i pomnożenie jej przez potencjalną dotkliwość, aby uzyskać numeryczny wynik ryzyka.
Ramy Narodowego Instytutu Standardów i Technologii (National Institute of Standards and Technology, NIST)
NIST oferuje rozwiązanie do oceny ryzyka cybernetycznego, które przypisuje kategorie zabezpieczeń do wszystkich komponentów systemu i określa punkt odniesienia dla każdej z nich: niskiej, średniej lub wysokiej. Każdemu mechanizmowi kontroli przypisano początkową wagę od 1 do 10 w oparciu o jego względne znaczenie dla ogólnego stanu bezpieczeństwa i prywatności organizacji.
Profilowanie ryzyka w ramach NIST pomaga określić niezbędny zakres wymaganych mechanizmów kontroli. Czynniki, takie jak poufność, integralność i dostępność (skrót „CIA”) są przypisywane w skali od 1 do 10 i stosowane do różnych mechanizmów kontroli w zależności od krytyczności powiązanych danych/informacji.
Uznaje się również, że historyczne informacje na temat wcześniejszych naruszeń, znanych zdarzeń mających wpływ na branżę/sektor organizacji oraz inne treści kontekstowe stanowią wynik predykcyjny, który dokładnie wskazuje na potencjalne ryzyko przyszłych incydentów.
Inne podejścia
Inne metody obliczania oceny ryzyka cybernetycznego to:
- Analiza czynników ryzyka informacyjnego (FAIR) — zazwyczaj stosowana do finansowej oceny ryzyka, tak jak w przypadku CRQ. Częścią metody FAIR jest podzielenie ryzyka na podkomponenty w celu zapewnienia dokładności o drobnej ziarnistości.
- Operacyjnie krytyczna ocena zagrożeń, zasobów i luk w zabezpieczeniach (OCTAVE) — jak sama nazwa wskazuje, w operacjach biznesowych, z obliczeniami ryzyka opartymi na zagrożeniach specyficznych dla zasobów i lukach w zabezpieczeniach infrastruktury.
- ISO/IEC 27005 — który zawiera wskazówki dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji w zakresie definiowania kontekstu zarządzania ryzykiem; identyfikowania i oceny ryzyka (w tym prawdopodobieństwa ataku) oraz środków ograniczających ryzyko („plany leczenia ryzyka”).
Innym czynnikiem oceny ryzyka jest Common Vulnerability Scoring System (CVSS). CVSS nie wykonuje pełnego zadania oceny ryzyka, ale zapewnia użyteczny sposób na ocenę potencjalnych luk w zabezpieczeniach zidentyfikowanych w oprogramowaniu. Rankingi te można następnie wykorzystać do obliczenia ogólnej oceny ryzyka.
Kto może nam pomóc w ocenie ryzyka cyberbezpieczeństwa?
Firma Trend Micro wspólnie z Ponemon Institute opracowała Cyber Risk Index (CRI), aby pomóc organizacjom określić poziom ryzyka i obszary, w których mogą występować luki w cyberbezpieczeństwie. CRI przypisuje organizacjom ocenę ryzyka na podstawie kompleksowej oceny kategorii i czynników ryzyka. Indeks uwzględnia zdarzenia ryzyka, które wpływają na szeroki zakres zasobów, w tym użytkowników, urządzeń, aplikacji, domen internetowych i adresów IP oraz zasobów chmurowych.
Ocena CRI opiera się na połączonych źródłach danych, aby ocenić, w jaki sposób czynniki ryzyka wpływają na konkretne środowisko organizacji. Im więcej źródeł danych można włączyć, tym bardziej kompletny i kompleksowy będzie wynik CRI.
Wskaźnik CRI jest automatycznie aktualizowany co cztery godziny, a zmiany statusu zdarzeń ryzyka są odzwierciedlone po upływie jednej godziny. Organizacje mogą ręcznie ponownie obliczyć swój CRI, klikając przycisk Oblicz ponownie. Skorzystaj z kalkulatora CRI tutaj, aby określić ocenę ryzyka swojej organizacji.
Trend Vision One™ oferuje rozwiązanie do zarządzania narażeniem na ryzyko cybernetyczne i ekspozycją (CREM), które zapewnia organizacjom możliwość proaktywnego wykrywania, oceny i łagodzenia ryzyka w celu zmniejszenia wpływu cyberbezpieczeństwa. CREM wykorzystuje rewolucyjne podejście, łącząc kluczowe funkcje, takie jak zarządzanie powierzchnią ataków zewnętrznych (EASM), zarządzanie powierzchnią ataków cybernetycznych (CAASM), zarządzanie lukami w zabezpieczeniach i zarządzanie postawami bezpieczeństwa – w chmurze, danych, tożsamości, API, AI, zgodność i aplikacje SaaS w jednym potężnym, łatwym w użyciu rozwiązaniu. Nie chodzi tylko o zarządzanie zagrożeniami, ale o budowanie prawdziwej odporności na ryzyko.
Zarządzanie ekspozycją na ryzyko cybernetyczne może pomóc w budowaniu prawdziwej odporności na ryzyko.