Analýza bezpečnosti #4: Hrozba a její role při analýze rizik
Hrozby okolo nás
Každý z nás dennodenně čelí hrozbám. Některé z nich jsou očividné ještě dříve než se stanou. Jiné jsou však skryty a ve chvíli, kdy se nám podaří je odhalit, obvykle je již příliš pozdě na to jim zabránit. Takovou hrozbou pro každého člověka, firmu i stát jsou hrozby v kyberprostoru. Jsou to hrozby, které jsou po většinu času skryty. A ve chvíli, kdy to nejméně čekáme a kdy se nám to nejméně hodí, útočník udeří. Už to, že tento článek čtete, znamená, že jste si vědomi existence těchto hrozeb, což je prvním krokem k tomu, jak těmto hrozbám předcházet a čelit. Pojďme si tedy říct, proti čemu stojíme, a jak s existencí těchto hrozeb nakládat.
Kybernetickou bezpečnost jedince bychom si samozřejmě za žádných okolností nedovolili zpochybňovat. Samostatné fyzické osoby se však standardně terčem cílených útoků nestávají, pokud nejsou z nějakého důvodu zajímavým cílem. V případě firem a institucí je však situace poněkud odlišná. Malé, střední i velké podniky musí myslet na svou kybernetickou bezpečnost. Důvod je jednoduchý. Všechni tito aktéři totiž mají informace, kvůli nimž se již vyplatí cílený útok provádět. V závislosti na datech je zjevné, že trend kvantity útoků dlouhodobě stoupá a to jak v soukromém, tak veřejném sektoru. Co více, nic prozatím ani nenaznačuje tomu, že by tento narůstající trend v budoucích letech zpomalovat.
Množství útoků jde pak ruku v ruce také s typy prováděných útoků O těch nejčastějších, se kterými se v praxi můžete potkat, jsme již v minulosti psali ZDE. Pole hrozeb je poměrně rozmanité. Malware (jehož součástí je i ransomware) je pak společně s phishingem považován dlouhodobě za největší hrozbu, a to jak z hlediska kvantity, tak faktického rizika pro organizace. Nejsou však jediné, o čemž vypovídají i statistiky Národního úřadu pro kybernetickou bezpečnost z roku 2021.
Hlediska ovlivňující vznik, průběh a následky útoku
Faktické riziko, obvykle zprostředkované skrze některou z výše zmíněných hrozeb, pak záleží na několika faktorech, které určují například to, jak moc je daný cíl zranitelný. Existuje pak nespočet těchto faktorů, které snižují, nebo naopak zvyšují výši rizika. Ty nejdůležitější z nich pak přehledně vypsané naleznete o kousek níže.
Někomu by se výše vypsaný seznam mohl zdát poněku dlouhý. O to víc, pokud zvážíme, že tento seznam je pouhým výtažkem toho nejdůležitějšího. Veškeré náležitosti kybernetické ochrany se pak mohou zdát nejen nepřehledné a složité, ale především nákladné. Od zavedení adekvátní kybernetické ochrany odrazuje velké množství organizací mimo časovou náročnost právě náročnost finanční. Respektive představa o ní. V tomto případě nicméně poučka, která říká, že prevence je levnější než náprava, platí dvojnásob. Je velice těžké odhadovat, jakou přesnou částku umí adekvátní kybernetická ochrana ušetřit. Existuje totiž mnoho faktorů, z nichž některé nelze úplně spolehlivě finančně kvantifikovat, jako například únik infomrací o užívaných technologiích při výrobě. Můžete si však být jistí tím, že v nominálních číslech, vezmeme-li v potaz možná rizika, vás prevence příjde mnohonásobně levněji a to jak v krátkodobém, tak dlouhodobém měřítku. Ohroženy totiž nejsou “pouhá” data zákazníků, ale také vaše know-how, reputace a tudíž potenciálně existence celé vaší firmy nebo organizace.
Hrozby a analýza rizik
Ochránit celý systém před potenciálními útoky nemusí být snadné. Komplexita navíc roste s velikostí systému. Jednoduše se pak přehlédnou některé slabiny, kterých útočník může pro svůj útok zneužít. Jak ale předejít tomu, aby míra kybernetické ochrany odpovídala potřebě a především ceně? Jinak řečeno, jak docílit toho, abychom neopravovali díry ve zdi zlatem tam, kde to není potřeba? V první řadě se musíme řídit následujícími principy:
- Účelností – Aby námi prováděná činnost a pořizované prostředky skutečně sloužily námi sledovanému účelu.
- Hospodárností – Abychom zbytečně nepřepláceli v poměru cena-výkon.
- Efektivností – Abychom prostředky a nástroje uměli efektivně využít.
Byť všechny principy jsou neméně důležité, nejdůležitější je účelnost předpokladem pro fungující kybernetickou ochranu. S účelností nám pak může pomoci řádně provedená analýza rizik. Analýza rizik je takovým naším kybermechanikem. Zjišťuje, co nefunguje, kde jsou nedostatky a jaké z těchto informací případně plyne riziko. Správně provedená analýza nám tak slouží jako mapa, která nám pomůže ušetřit čas, ale také finance. Jak ale taková analýza rizik vlastně funguje? A jak podle ní zjistíme co změnit?
Výstupem analýzy rizik je v podstatě prioritizace. Podle speciálně vytvořených hodnot zjistíme, jaká existují rizika například pro vaši firmu. Riziko je pro nás řekněme nějakou “souhrnnou konstantou”, která nám určije rozsah problému. K nalezení rizik je však třeba kvantifikovat několik informací:
- Hrozbu – kvantifikace hrozby umožňuje standardně stanovit nějakou číselnou hodnotu jednotlivých hrozeb. Laicky řečeno zjistíme, o jak velkou hrozbu se jedná. Toho lze docílit například posouzením toho, jak četně se dané hrozby vyskytují, například na základě statistik na začátku článku.
- Zranitelnost – Na základě mnoha vstupních dat umožní kvantifikovat, jak moc je dané aktivum zranitelné a proč.
- Informační hodnotu – Zde pak už kvantifikujeme samotnou informační hodnotu aktiva jak pro nás, tak pro útočníka. Jinou hodnotu pak bude mít například výrobní postup, nebo osobní data zákazníků.
Pokud známe všechny tyto informace, stačí pak už “pouze” spočítat riziko, napříkad takovýmto způsobem…
Kam nás tohle všechno tedy vede? Faktem je, že zdroje jsou v každém případě omezené a nelze všechna rizika vyřešit teď a tady. Musíme mít proto jasno, co je pro bezpečnost naší organizace prioritou. Nalezení rizika může zabrat nemálo časových a finančních prostředků. Nenechme se však odrazovat, jelikož nejhorší variantou je právě ponechání svých aktiv bez ochrany. Co tedy dělat? Ukázali jsme si, jak teoreticky rizika vyhledávat a hodnotit. Nicméně jako ve většině případů je praxe o něco složitější než teorie. V úvahu přichází v zásadě 2 možnosti. Zpracovat si analýzu sami po staru, a nebo využít některý z programů určených pro analýzu rizik, jako je například CSA. Nutno zmínit, že právě software CSA je ideálním příkladem účelného, hospodárného a díky své uživatelské přívětivosti také efektivního softwaru. Na to, co obě zmíněné volby nabízí, se můžete podívat níže:
Ačkoliv jsme si vědomi toho, že analýza rizik není všemocným receptem na veškeré problémy, je velice užitečným nástrojem pro vyhledávání rizik v procesu zajišťování kybernetické bezpečnosti. A to jak při jejím zavádění, tak především při její udržbě. Pokud byste pak měli zájem dovzdělat se ještě o něco více v otázkách analýzy rizik, neváhejte se podívat i na naše předchozí články z rubriky Analýza bezpečnosti, jako například ZDE. Zároveň pokud se rozhodnete jít cestou zodpovědného a kvalitního zajištění kybernetické bezpečnosti pro vaši organizaci, neváhejte nás kontaktovat. Rádi pomůžeme s veškerými legislativními i praktickými náležitostmi týkajících se kybernetického zabezpečení vaší organizace, včetně analýzy rizik. A nakonec, ať už se rozhodnete jakkoliv, mějte neustále na paměti jednu věc… Obrana musí uspět vždy, protože útočníkovi to stačí pouze jednou.