#6 Analýza bezpečnosti: Jak hodnotit rizika?
Rizika spojená s kybernetickými útoky jsou stále více přítomná a sofistikovaná, přičemž pro organizace a jednotlivce představují bezpochyby reálné hrozby. Tyto hrozby se neustále mění a nabírají na síle, proto je rizika třeba neustále identifikovat, analyzovat a hodnotit.
Hodnocení rizik je nedílnou součástí úsilí o dosažení kybernetické bezpečnosti. V tomto článku si vysvětlíme hodnocení rizika a jeho důležitost, prozkoumáme používané metody a podíváme se na hodnocení rizika v praxi.
Abychom správně pochopili tuto problematiku, musíme si nejprve ujasnit základy.
Co je hodnocení rizik a proč je důležité?
Definici rizika již poznáme z minulých článků, ale připomeňme si tento známý vzorec:
hodnota rizika = hodnota dopadu x hodnota hrozby x hodnota zranitelnosti
Celý proces řízení rizik v kyberbezpečnosti na nás může působit složitě a pojmy se nám často slévají do jednoho. I když tyto pojmy spolu souvisejí, popisují odlišné části procesu řízení rizika. (Pozn. analýze rizik jsme se již v minulosti věnovali zde.). Pojďme si proto ukázat hlavní rozdíl mezi nimi.
Identifikace rizik – vytváření relevantních kombinací aktivum-zranitelnost-hrozba s cílem zvážit všechny možné varianty
Analýza rizik – zahrnuje hodnocení kombinací aktivum-zranitelnost-hrozba a výpočet výsledné hodnoty rizika
Hodnocení rizika – rozhoduje se, zda bude riziko akceptováno, a to na základě porovnání výsledné hodnoty rizika s kritérii určujícími jeho akceptovatelnost
Hodnocení rizika je tedy jedním z klíčových kroků, pomáhající organizacím i jednotlivcům získat lepší porozumění hrozeb, vyhodnotit jejich potenciální následky a přijmout potřebná bezpečnostní opatření.
→ Jedním z nejdůležitějších aspektů hodnocení rizik je právě správná prioritizace. Pokud jsou hrozby s nejvyššími riziky korektně identifikovány, umožní nám ušetřit mnoho finančních prostředků a před kybernetickými hrozbami uchránit ta nejdůležitější aktiva. Kromě toho, pokud jsou odhaleny ty nejzávažnější hrozby včas, organizace mají dostatek času pro proaktivní řešení těch nejpodstatnějších problémů.
Jaké metody a standardy se používají při hodnocení rizik?
S hodnocením rizik v kyberbezpečnosti se spojují různé globálně uznávané postupy, ale i postupy přizpůsobené danému místu či legislativním předpisům a požadavkům organizací. Pro vytvoření lepšího obrazu o možných přístupech si přiblížíme některé z těch nejznámějších.
Kvantitativní metody
U kvantitativních metod se pro definování rizikových faktorů používají numerické hodnoty. Používáme je zejména v případech, kdy máme k dispozici dostatečné množství údajů pro statistické vyhodnocování. Jednotlivé hodnoty (jako jsou pravděpodobnost, dopad, důsledky) se v tomto případě určují podle historie událostí.
Kvalitativní metody
Na rozdíl od metod zmíněných výše, u kvalitativních metod využíváme přístup definování rizikových faktorů prostřednictvím slovních hodnot. Hodnoty pravděpodobnosti a dopadu zde určujeme dle odborných znalostí jednotlivce. Tyto metody využívají jeho subjektivní přesvědčení o možnosti sledovaného jevu (jevem mohou být hrozby, škodlivé události). Používáme je tehdy, pokud číselné hodnoty pro ohodnocení rizik chybí, nebo jsou těžko vyjádřitelné. Pro lidi bývají často akceptovatelnější, zejména díky své lepší srozumitelnosti.
Semikvantitativní (smíšené) metody
Jsou spojením dvou předešlých metod – při definování faktorů používají numerické hodnoty vysvětlené pomocí slovního kontextu. Tyto způsoby se často používají v kontextu určování správné a odůvodněné priority bezpečnostních rizik.
ISO/IEC 27005
Norma ISO/IEC 27005 organizacím poskytuje strukturu pro řízení rizik informační bezpečnosti. Konkrétně jde o pokyny pro identifikaci, analýzu, hodnocení, řešení a monitorování rizik informační bezpečnosti.
OCTAVE
Metodika definující součásti pro komplexní hodnocení informačních rizik. Organizace při jejím používání disponují dostatečným množstvím vstupů pro podstatná rozhodnutí týkající se zabezpečení jejich informačních aktiv.
Jak jednoduše hodnotit rizika?
Kybernetické útoky způsobují organizacím vážné škody na finanční stabilitě a důvěryhodnosti, přičemž také ohrožují bezpečnost jednotlivců. Jak již víme, pro udržení kybernetické bezpečnosti organizací a efektivní zvládání incidentů je kvalitní zhodnocení rizik nezbytností. Obzvláště důležité je, aby bylo hodnocení rizik založeno na neustále aktualizovaných a přizpůsobovaných principech, zohledňující aktuální hrozby, trendy a předpisy v kyberbezpečnosti.
Naštěstí je v dnešní době dostupných mnoho řešení pro snížení rizik útoků cílených jak na jednotlivce, tak i organizace. Pomoci může například nástroj CSA. Hodnocení rizik je jednou z hlavních služeb, kterou poskytuje, včetně identifikace hrozeb, přehledu aktiv, ale i srovnání nedostatků v rámci současné legislativy (zejména na směrnici evropského standardu – NIS2). Jeho výhodou je bezpochyby přehledné a přívětivé uživatelské prostředí a cenová dostupnost.
Zdroje:
- https://www.nukib.cz/download/publikace/podpurne_materialy/Prvodce%20zenm%20aktiv%20a%20rizik%20dle%20vyhlky%20o%20kybernetick%20bezpenosti.pdf
- https://www.nbu.gov.sk/wp-content/uploads/2021/12/Metodika_analyza_rizik_v1.0_12_2021.pdf
- https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27005
- https://docplayer.cz/17176181-Octave-uvod-do-metodiky-octave.html
Zdroj:
K tématu:
- #6 Analýza bezpečnosti: Jak hodnotit rizika?
- #5 Analýza bezpečnosti: Zraniteľnosť a jej rola pri analýze rizík
- #4 Analýza bezpečnosti: Hrozba a její role při analýze rizik
- #3 Analýza bezpečnosti: Jak hodnotit aktiva?
- #2 Analýza bezpečnosti: Co jsou aktiva a jak je evidovat?
- #1 Proč potřebujete analýzu kybernetické bezpečnosti a jak na ni?
- Analýza kybernetické bezpečnosti? Celý návod na jednom místě