Jednoduchá metoda identifikace hrozeb a zranitelností spočívá ve výběru těch relevantních z veřejně dostupného katalogu. Relevantní hrozby jsou ty, jejichž realizace je možná v podmínkách organizace. Vyčleňujeme zpravidla pouze hrozby, které se týkají geografického umístění; např. zemětřesení, tornádo, záplavy apod.
Katalogy hrozeb lze najít kupříkladu v pramenech, jako jsou: vyhláška č. 82/2019 Sb., o kybernetické bezpečnosti, IT-Grundschutzhandbuch, ČSN ISO/IEC 27005 nebo NIST SP 800-30.
Z praxe už nicméně víme, že počítat pouze s hrozbami, které uvádí některé z veřejných katalogů, není dostatečné. Pro identifikaci všech relevantních hrozeb je třeba vybraný katalog doplnit o další hrozby a zranitelnosti:
Nezapomínejte na zapojení osob se zkušenostmi s provozem v organizaci již při identifikaci hrozeb. Díky tomu obvykle lépe identifikujete konkrétní hrozby. K jejich prevenci pak snadněji určíte konkrétní a účinná opatření, než tomu bývá u obecně formulovaných hrozeb převzatých z veřejných pramenů.
Mezi hrozby patří selhání systému, ztráta klíčového personálu, krádež, výpadky sítě či napájení, přírodní katastrofy nebo jakákoliv jiná nepříznivá událost či situace, která souvisí se zpracováváním informací. Tedy situace, která může ovlivnit obchodní cíle organizace jako jsou obchodní operace, dodržení smluvních ujednání a zákonných povinností nebo fungování klíčových procesů.
Rizikový scénář je popis možné nepříznivé události, jejíž výskyt má nejistý a zpravidla negativní dopad na dosažení obchodních cílů organizace. Jde tedy o popis realizace hrozby vůči obchodním cílům a zájmům organizace. Na základě tohoto postupu rozpoznáte všechna možná rizika plynoucí z identifikovaných hrozeb. Tato rizika se v rámci scénářů vztahují k obchodním cílům ovlivněným nepříznivou událostí. To usnadní vyčíslení dopadů a umožní tak provedení kvantitativní analýzy rizik.
Při tvorbě scénářů ctěte pravidlo: Každá identifikovaná hrozba má být zahrnuta do jednoho nebo více scénářů a každý scénář má být založen na identifikované hrozbě.
Klíčem k vytváření efektivních scénářů je zaměření se na relevantní potenciální rizikové události. Například vytvoření rizikového scénáře založeného na připravované změně právních předpisů, nebo na selhání dodavatelského řetězce. Zásadní je kreativní a kritické myšlení a pokládání dotazů na správných místech. Cenným zdrojem pro tvorbu rizikových scénářů jsou proběhlé kybernetické bezpečnostní incidenty.
Při tvorbě rizikových scénářů se uplatňují dva základní postupy:
Konkrétní struktura rizikového scénáře se odvíjí od toho, jaké hranice se pro hodnocení rizik stanovily, jaký je účel této analýzy, pro který typ analýzy rizik jsou sestavené (zda pro kvalitativní, nebo kvantitativní analýzu rizik). Na základě těchto nároků byste měli určit rizikové faktory, nad kterými budete při vývoji rizikových scénářů uvažovat. Tyto faktory by vždy měly zahrnovat hrozbu, aktivum a dopad na obchodní cíle organizace.
Příklad rizikového scénáře: Podvrhnutí faktur zaslaných v příloze elektronických zpráv klientům s uvedením jiného čísla účtu způsobí ztrátu zisku, výlohy na soudní spory a pokles poptávky zboží v souvislosti se ztrátou důvěry klientů.
Dalšími rizikovými faktory jsou např. původce hrozby, typ hrozby a časové údaje: tj. trvání (definování dlouhodobého výpadku), načasování (definování kritického okamžiku), kritický časový výskyt (např. zda jde o okamžitou detekci, či nikoli), časová prodleva mezi nepříznivou událostí a dopadem (zda jde o okamžitý efekt, nebo o dlouhotrvající problémy). Patří sem i další faktory, jejichž podoba má vliv na komponenty posléze aplikovaného vzorce pro výpočet rizika.
Dobře vypracovaný scénář poskytuje realističtější a praktický pohled na riziko. A to vzhledem k obchodním cílům, historickým událostem a nově se objevujícím hrozbám, které jsou pro konkrétní organizaci platné. Pohled je přesnější než ten, jaký by bylo možné získat nahlédnutím do obecně aplikovatelné normy nebo katalogu hrozeb. Díky tomu jsou rizikové scénáře cenným vstupem pro další fáze řízení rizik.
Kontrolní seznam obsahuje potenciální nebo typické hrozby a opatření, která jsou pro jejich minimalizaci či odvrácení důležitá, a jejichž položky lze po dokončení odškrtávat.
Struktura kontrolních seznamů může být různá. Od jednoduchého seznamu až po složitý formulář, který umožňuje zahrnout různou relativní váhu z hlediska konkrétních parametrů. Takové seznamy kontrolních otázek (checklists) se zpravidla generují na základě seznamu charakteristik sledovaného systému nebo činností, které souvisejí se systémem a potencionálními dopady, selháním prvků systému a vznikem škod.
Kontrolní seznam můžete využít při posuzování rizik spojených s uchazeči o poskytování významných dodávek v rámci řízení dodavatelů. Při něm by se měla na základě analýzy rizik stanovit rizika plnění dodávky a opatření pro dodavatele, která by měla splňovat. Uvedeny by měly být i relativní váhy těchto opatření pro bezpečnost. Tato opatření pak představují jednotlivé kontrolní otázky, na které odpovídáte ano/ne. Na základě těchto odpovědí můžete vyhodnotit relativní vhodnost poskytovatelů z hlediska rizik pro kybernetickou bezpečnost.
Zde je příklad hypotetického kontrolního seznamu vypracovaného pro posouzení rizik spojených s uchazeči o poskytování služby bezpečnostního dohledu (Security Operation Center):
|
Bezpečnostní podmínky pro dodavatele |
dodavatel Alfa |
dodavatel Beta |
dodavatel Gama |
dodavatel Delta |
relativní váha opatření |
|
Poskytování služby 24/7 |
ANO |
NE |
NE |
ANO |
10 |
|
Garance minimální dostupnosti služeb 99,9 % |
ANO |
ANO |
NE |
NE |
10 |
|
Certifikace ISO27001 |
NE |
ANO |
NE |
ANO |
2 |
|
Certifikace Trusted Introducer |
NE |
ANO |
ANO |
ANO |
6 |
|
Stálý člen týmu specialista na OS Linux Debian |
ANO |
ANO |
NE |
ANO |
4 |
|
Poskytnutí min. 5 pozitivních referencí a jejich ověření |
ANO |
ANO |
ANO |
ANO |
4 |
|
Certifikace CEH |
ANO |
ANO |
ANO |
ANO |
3 |
|
Kompatibilita řešení s IBM® QRadar® SIEM |
ANO |
ANO |
NE |
ANO |
10 |
|
AES 256 bitů |
ANO |
ANO |
NE |
ANO |
6 |
|
|
|
|
|
|
|
|
|
47 |
45 |
13 |
45 |
|
Na základě seznamu bezpečnostních opatření splněných jednotlivými dodavateli ke snížení rizik k předmětu se vyhodnotilo, že nejméně rizikový je dodavatel Alfa.
Jde o nestrukturovanou metodu, která identifikuje dopady událostí prostřednictvím diskuse osob majících hluboké znalosti ohledně jednotlivých procesů v organizaci. Lze ji využít třeba při vytváření rizikových scénářů nebo při identifikaci rizik v rámci řízení změn a určování prvků např. v rámci vytváření stromu poruch (dále jen „FTA“).
Analýza stromu poruch je top-down deduktivní technika, jejímž cílem je stanovit příčiny nepříznivé události. Výstupem je zpravidla grafický model (strom), který znázorňuje kombinace chování různých prvků rizik (lidé, zařízení, informační systémy, základní služby), které mohou vyústit v analyzovanou nepříznivou událost.
Používá se pro detailní analýzu zvlášť závažných událostí, které dříve odhalila jiná metoda. Použití techniky FTA vyžaduje spolupráci osob, které rozumí tomu, jak fungují výrobní procesy v organizaci. Zapotřebí jsou dále osoby, které rozumí technologiím, informačním systémům a prvkům, které se vážou k analyzované události.
Využití FTA je vhodné v případech, kdy se rozpozná hrozba, která aktuálně svou významností značně převyšuje ostatní hrozby a je třeba odhalit všechny možné příčiny, které by k ní mohly vést. Rovněž může být vhodná pro určení bezpečnostních opatření pro poskytovatele poptávaného dodavatelského plnění. Provedení FTA doporučujeme zvážit při vyšetřování příčin kybernetického bezpečnostního incidentu.
Vhodné je FTA použít i v případech, kdy se opakovaně detekuje bezpečnostní událost, jejíž příčiny nejsou známé. Typicky při poruchách technických zařízení. Podpůrně může být užitečná také pro určení pravděpodobnosti rizik a pro plány kontinuity.
Technika je standardizovaná jako „ČSN IEC 1025 Analýza stromu poruchových stavů“ a zahrnuje použití logických členů (např. logický součet AND nebo logický součin OR) a vzorce pro výpočet pravděpodobnosti pro kvantitativní interpretaci výsledků. V rámci řízení kybernetické bezpečnosti však tuto techniku využíváme i ve zjednodušené verzi k pouhému utřídění možností příčin a k jejich přehlednému znázornění.
Jde o analytickou techniku, která je podobná jako FTA. Jejím cílem není stanovení příčin nepříznivé události, nýbrž naopak jejích dopadů. Výstupem stromu událostí (dále jen „ETA“) je rovněž grafický model, který nabízí možnost určení pravděpodobností jednotlivých dopadů. Dopady lze chápat jako:
Pro vypracování ETA je třeba doporučujeme využít osoby, které mají hluboké znalosti systémů a procesů, kterých se nepříznivá událost může dotknout (pokud analytik nedisponuje těmito znalostmi sám).
V rámci řízení kybernetické bezpečnosti je ETA vhodná metoda pro posuzování dopadů na obchodní cíle u vybraných rizikových scénářů. Dále v rámci vytváření plánů kontinuity a v rámci vytváření plánů k zvládání kybernetických bezpečnostních událostí. Také při posuzování možných dopadů významných změn.
Motýlek získal název podle svého grafického uspořádání. Jde v podstatě o kombinaci FTA a ETA. Na jedné straně se zobrazují příčiny vedoucí k nepříznivé události a na straně druhé dopady této události a možné varianty ošetření rizik. Jde o vhodnou metodu, jak interpretovat výsledky analýzy vybraných rizik pro vrcholové vedení.
Je induktivní metodou, která spočívá v řízené diskusi, jejímž cílem je najít nové neotřelé řešení nebo vysvětlení. Zásadní je výběr vhodných členů řešitelského týmu a vytvoření atmosféry podporující kreativitu. Proto je důležité, abyste nechali všechny členy týmu volně vyjadřovat své nápady a zajistili, že se tyto nápady nebudou v průběhu brainstormingu hodnotit. Na vymýšlení a formulaci nápadů vyhraďte dostatek času. Naplánujte brainstorming se zařazením všech důležitých fází:
Brainstorming můžete využít pro široké spektrum činností nejen v rámci řízení kybernetické bezpečnosti. Velmi vhodný je např. pro identifikaci nových hrozeb, rizik plynoucích z poptávaného dodavatelského plnění nebo pro odhalování bezpečnostních děr. Uplatnění najde všude tam, kde je třeba akutně vymyslet vhodné řešení nějakého problému a chybí plány, nebo jsou nedostatečné. Typicky se používá při řešení kybernetických bezpečnostních incidentů nebo událostí ohrožujících či porušujících kontinuitu činností organizace.
Delfská metoda má za cíl získat odborný odhad nebo prognózu ohledně řešeného problému. Posudek získáme ve dvou nebo více kolech dotazníků, které rozesíláme odborníkům zpravidla e-mailem v intervalu jednoho až dvou měsíců. Tyto dotazníky vyhotoví řídící komise. Svá stanoviska odborníci v rámci dotazníků odůvodňují. Po každém kole dotazování se shrnou výsledky.
Na jejich základě vyhotovíme nový dotazník, kde se každý odborník seznámí s názory ostatních respondentů a může své dosavadní stanovisko případně přehodnotit. Proces se opakuje, dokud odborníci nedojdou ke shodě. Tato technika spolupráce se často používá k prognóze budoucího vývoje v konkrétní oblasti. Vhodná může být při tvorbě strategických rozhodnutí, která ovlivní organizaci do budoucna. Takovým rozhodnutím může být např. převedení kritických systémů do cloudu, změna operačního systému nebo zakoupení přelomové technologie, s jejímž provozem existuje zatím málo zkušeností apod. Nevýhodou delfské metody je její časová náročnost.
Účelem analýzy lidské spolehlivosti je identifikace potenciálních lidských chyb, jejich účinků a případně příčin. Analýza lidské spolehlivosti systematicky vyjmenovává chyby, které se mohou vyskytnout během normálního nebo nouzového provozu. Dále jmenuje faktory přispívající k takovým chybám nebo navrhované změny systému pro snížení pravděpodobnosti jejich výskytu. Může mít kvalitativní nebo kvantitativní charakter. Výstupy z HRA jsou cenným podkladem např. pro FTA.
HRA se využívá v rámci identifikace rizik antropogenního charakteru a odhadování dopadů těchto rizik. Velmi přínosnou může být tato metoda tam, kde se outsourcují některé služby a pracovníci. Nebo kde se dodavatelé těchto služeb pohybují v prostorách organizace či mají přístup k prvkům chráněných informačních systémů. Rovněž může být přínosná pro zlepšování systému řízení bezpečnosti informací. Respektive může pomáhat plánovat cíle a opatření k prevenci proti rizikům antropogenního charakteru.
Konkrétní forma a účel využití analytických technik mohou být různé. Použití technik je možné různě kombinovat podle jejich zamýšleného využití. V tomto článku jsme uvedli a stručně charakterizovali techniky, které můžete uplatnit při posouzení rizik nebo při jiných činnostech v rámci řízení kybernetické bezpečnosti. Analytické techniky využije nejen bezpečnostní manažer (nebo jiné osoby, které v organizaci koordinují řízení rizik a výsledky interpretují vrcholovému vedení), ale také garanti aktiv, kteří odpovídají za jejich bezpečnost. Používají je také garanti rizik, kteří odpovídají za efektivní snížení vlastněných kybernetických rizik. Techniky k analýze a grafickému znázornění vztahů jsou navíc využitelné v celé řadě oborů a činností nejen bezpečnostního rázu. Často mohou také pomoci při důležitých rozhodnutích v osobním životě.
Některé techniky, jako jsou FTA nebo ETA, je velmi náročné aplikovat a interpretovat jejich výsledky. K ovládnutí těchto technik na dobré úrovni využijte některou z nabídek školení. Rovněž je k dostání řada nástrojů k provádění těchto analýz.
Hlavním cílem posouzení rizik je být vždy o krok napřed než potenciální útočník nebo jiný zdroj hrozby. Proto jde většinou, spíš než o dokonalé provedení techniky, o kreativní myšlení a strukturované zapisování nápadů. Jde-li o rizika, vždy platí to, co pravil Albert Einstein: „Fantazie je důležitější než znalosti.“
