(a podobné koncepty)
Doc. Ing. Jaroslav Sivák, CSc., MBA
1. Úvod
Tento článok je pokračovaním úvah o základných pojmoch používaných v kategóriách "ochrana a bezpečnosť". Ako bolo uvedené v prvom článku, "rizikové" tu platí preto, lebo tvrdenia obsiahnuté v tomto článku sa nemusia páčiť akademickým pracovníkom, pracovníkom bezpečnostných zložiek, ktorí vytvorili a používajú (alebo nepoužívajú) terminologické slovníky a ktorí tvoria zákony a iné právne normy v oblasti bezpečnosti, a mnohým ďalším.
Základná pravda o bezpečnosti zostáva: RIZIKO je pravdepodobnosť (alebo miera), že HROZBA zneužije Zraniteľnosť aktíva a spôsobí naň ÚČINOK.
2. Hrozba
Hrozba je definovaná v Terminologickom slovníku krízového riadenia, ktorý vydal Úrad vlády SR v roku 2017 na strane 11 ako: "Objektívne existujúca možnosť, ktorej naplnenie je spôsobilé vyvolať negatívny následok." Je potrebné rozlišovať medzi "hrozbou" a "ohrozením". Ohrozenie je kategória potenciálu. Ohrozenie sa vzťahuje na bezprostrednú udalosť, t. j. keď hrozba aktívne nastáva. Vo vyššie uvedenom terminologickom slovníku na strane 24 sa uvádza: "Ohrozenie: "Ohrozenie je aktivovaná hrozba v priestore a čase".
Hrozby možno kategorizovať podľa ich pôvodu a zvyčajne sa delia na:
- Antropogénne hrozby - hrozby, ktorých príčina a hlavný podnet je v človeku a v sociálnej sfére.
- Prírodné hrozby - spôsobené prejavmi prírody.
- Technologické hrozby - spôsobené technologickými prvkami.
- Kombinované hrozby (súčasné pôsobenie vyššie uvedených hrozieb).
V súčasnej terminológii sa objavil pojem hybridná hrozba, ktorú možno v určitých ohľadoch považovať za kombinovanú hrozbu.
Samozrejme, existujú oficiálne schválené a používané klasifikácie hrozieb a ich zdrojov. Napríklad ISO/IEC 27 000:20xx Informačné technológie - Bezpečnostné techniky - Riadenie rizík informačnej bezpečnosti alebo materiály vydané odborom civilnej ochrany ministerstva vnútra. Dobre kategorizované ich má aj Hasičský zbor a ďalšie.
Analýza hrozieb zahŕňa identifikáciu a hodnotenie parametrov podľa dobre merateľných a zle merateľných prejavov (heuristické a expertné odhady na stupnici). Hodnotenie sa zvyčajne vykonáva pomocou definovanej metriky - metódy merania alebo inej metodiky kvantifikácie hrozieb. Medzi identifikované parametre patria: významnosť, dostupnosť hrozby k aktívu, rozpoznateľnosť a identifikovateľnosť hrozby.
Posúdenie významnosti hrozby znamená predvídať jej vplyv. Vyhodnotiť, ako výrazne by hrozba mohla narušiť, obmedziť alebo zabrániť fungovaniu systému v rámci jeho navrhnutých parametrov. Prístupnosť hrozby znamená, ako je aktívum chránené proti konkrétnej hrozbe. Znalosť hrozby umožňuje prijať konkrétne, cielené preventívne opatrenia.
Hodnotenie ohrozenia je často výrazne ovplyvnené parametrom, ktorý nazývame "vplyv na populáciu". Každá hrozba môže v konečnom dôsledku vyvolať v obyvateľstve pocit strachu. Tento faktor môže mať vplyv na tzv. domino efekt, keď racionálny (častejšie iracionálny) strach ľudí predstavuje samostatnú hrozbu.
3. Zraniteľnosť aktív
V Terminologickom slovníku krízového manažmentu sa na strane 32 v súvislosti s pojmom zraniteľnosť uvádza: "Komplexná vlastnosť odrážajúca slabé miesta systému, jeho zníženú odolnosť voči možnému narušeniu jeho funkcie, poškodeniu alebo zničeniu." Kategorizácia zraniteľností je totožná s kategorizáciou hrozieb, t. j. antropologické, prírodné, technologické a kombinované.
Pri posudzovaní zraniteľností je potrebné zvážiť pravdepodobný scenár útoku, stupeň ochrany alebo odolnosť nositeľa zraniteľnosti. Rozpoznateľnosť zraniteľnosti znamená, či o zraniteľnosti vieme, alebo či je nerozpoznaná, neznáma. Často sa stretávame s ignorovaním významu zraniteľnosti banalizovaním skutočného stavu. A to ani nehovoríme o prípadoch, ktoré opisuje Nassim Nicholas Taleb vo svojej knihe Čierna labuť. Ide o udalosti, ktorých pravdepodobnosť výskytu je extrémne nízka a dopad extrémne vysoký (úplný kolaps finančných trhov, WTC 2001 atď.).
Stupeň zraniteľnosti hodnotíme na stupnici (metrike), ktorá zohľadňuje významnosť zraniteľnosti, prístup útočníka k zraniteľnosti a jej rozpoznateľnosť.
4. Aktíva
Aktívum je všetko, čo si organizácia (systém, proces) cení. To, čo je pre organizáciu, systém alebo konkrétny proces dôležité, a ktorého poškodenie alebo strata by znamenali odchýlku od navrhnutých (zamýšľaných, obvyklých) parametrov fungovania. Terminologický slovník definuje aktívum na strane 7 ako: "Hodnota, ktorú je potrebné chrániť".
Majetok možno rozdeliť na hmotný a nehmotný alebo existujúci v reálnom či virtuálnom svete. Hodnotu aktíva interpretujeme ako mieru náročnosti zdrojov (ľudia, čas, financie a iné) potrebných na nahradenie aktíva alebo jeho obnovenie do pôvodného stavu.
Poznámka: "Obnovenie do pôvodného stavu" je zavádzajúca fráza. Proces obnovy musí zahŕňať opatrenia, ktoré budú účinnou reakciou na hrozby a zraniteľnosti, ktoré predchádzali obnove. Nie je preto možné jednoducho obnoviť pôvodný stav; je potrebné prijať opatrenia nad rámec jednoduchej rekonštrukcie.
5. Dopad
Vplyv je výsledkom pôsobenia predchádzajúcich faktorov a najčastejšie sa vníma ako škoda, poškodenie, strata, teda v negatívnom zmysle. Pre úplné pochopenie vplyvu je potrebné pripustiť existenciu takých typov vplyvu, ktoré môžu v konečnom dôsledku znamenať zlepšenie. Príkladom môže byť zachytený útok na komunikačnú infraštruktúru, ktorý vyvolá pozitívne zmeny v názoroch osôb zodpovedných za bezpečnosť a ochranu. Poistenie majetku (spôsob riadenia rizika), ktorý bol zničený prírodnou katastrofou, v druhom pláne nie je negatívnym vplyvom. To sa netýka poistných podvodov.
Posúdenie úrovne (veľkosti) vplyvu závisí od konkrétnych podmienok a parametrov chráneného systému, organizácie alebo procesu. Na kvantifikáciu sa zvyčajne používa pravidlo, pri ktorom sa hodnotí, koľko zdrojov a ich dostupnosť je potrebné vynaložiť na obnovenie fungovania postihnutej štruktúry. Toto tvrdenie zároveň plne odpovedá na otázku, koľko stojí jeden bajt informácie. Toľko, koľko zdrojov je potrebných na jej obnovenie alebo získanie.
Okrem materiálnych prvkov vplyvu je potrebné do úvah zahrnúť aj nehmotné prvky, ako sú rôzne formy tzv. poškodenia dobrého mena (strata goodwillu).
6. Riziko
Po určení, zmeraní alebo odhadnutí všetkých predchádzajúcich zložiek zostáva vypočítať, odhadnúť a určiť hodnotu rizika. Na výpočet výslednej hodnoty rizika existuje niekoľko matematických modelov. Je však dôležité túto hodnotu správne interpretovať. Po zvážení všetkých špecifík posudzovanej organizácie, systému alebo procesu (analýza rizika) je potrebné stanoviť párové kategórie: Hodnota rizika - Významnosť dopadu.
Napríklad krádež určitého množstva horľavého materiálu zo skladu predstavuje v stredne zabezpečenom sklade len veľmi malý vplyv. Riziko krádeže je však pomerne vysoké. Nositeľmi takéhoto rizika sú zvyčajne zamestnanci (organizácie sa tejto skutočnosti dôrazne bránia). Hodnota rizika je vysoká - dopad relatívne nízky.
Riziko, že niekto podpáli sklad horľavých materiálov, je relatívne nízke (prísne protipožiarne opatrenia, pravidelne poučený personál, neiskriace náradie atď.). Ak by bol tento čin dokonaný, výbuch (zhorenie) skladu predstavuje výrazne negatívny vplyv. Hodnota rizika nízka - dopad vysoký.
7. Záver
Hodnotenie rizík je mimoriadne zložitý proces. Použitie odporúčaní vo forme postupov ISO alebo špecifických noriem je dobrým vodítkom, ale nie vyčerpávajúcou odpoveďou. Model určenia rizika sa preto musí pre každé použitie vyvinúť takmer jedinečným spôsobom s vysokým ohľadom na špecifické podmienky, v ktorých sa nasadzuje.
Interpretácia výsledkov určenia rizika je veľmi dôležitá. Ďalším kľúčovým parametrom je dynamika zmien v bezpečnostnom prostredí. Tento parameter určuje frekvenciu opakovania procesov analýzy rizík.
Logickým výsledkom opísaných procesov je určenie spôsobu riadenia identifikovaného a kvantifikovaného rizika. Na tento účel poznáme niekoľko postupov od eliminácie rizika, zníženia úrovne rizika až po presun rizika na iné subjekty alebo procesy.
Viac informácií o kybernetickej bezpečnosti nájdete na Decent Cybersecurity alebo nás neváhajte kontaktovať na adrese [email protected]
