Faktori reducirane percepcije cyber rizika

U prethodnom tekstu sam ocrtao polazišta za redefiniciju procjene rizika u okruženju cyber prijetnji. Fokusirao sam se na moje zapažanje da su ključni nositelji odluke o rizicima veoma skloni donositi odluke rizicima koje su nešto niže od realnih, drugim riječima skloniji su umanjivati rizike. Vjerujem da i kolege koji se bave procjenom rizika i sudjeluju u procesu upravljanja rizicima dijele isto iskustvo. 

Ujedno, iznio sam mišljenje da je neadekvatna ocjena rizika, koja ne uzima u obzir realne indikatore prijetnji i ranjivosti, glavni razlog za umanjivanje konačne razine rizika u tradicionalnim procjenama rizika.

Zbog čega procjena rizika nije utemeljena na realnim indikatorima?

Trokut prijetnje

U nekim slučajevima se radi o trivijalnim razlozima unatoč poznavanju specifičnosti cyber rizika –  na primjer o potpunom nepoznavanje specifičnosti cyber rizika ili o zadržavanju linije manjeg otpora i nastavku rada s uobičajenim, ali neadekvatnim, matricama rizika. 

No, puno češća su prisutna naša uvjerenja da cyber prijetnje, unatoč njihovoj plastičnoj opipljivosti, ne predstavljanju realnu opasnost za „naše okruženje“, „Neće nas nitko!“. Ova sklonost minoriziranju problema i reduciranoj percepciji cyber rizika već je dugo vremena predmet mojeg interesa.

Prije nego što se udubimo u glavne razloge zbog kojih procjena cyber rizika nije utemeljena na realnim indikatorima, preporučio bih promjenu pogleda na komponente rizika na temelju kojih određujemo izglednost cyber napada.

Tradicionalno, izglednost napada se određuje kao umnožak ocjene visine prijetnje i ocjene prisutnih ranjivosti – poslužimo se ovim pojednostavljenim pogledom. No, da bi dobili precizniji pogled, predlažem da izglednost napada re-definiramo kroz trokut prijetnje (Threat Triangle): njega čine komponente Namjera (Intent), Sposobnost (Capability) i Prilika (Opportunity). Na taj način, tradicionalne komponente rizika pogleda (visine prijetnje i ocjene prisutnih ranjivosti) kontinuirano sagledavamo kroz njihovu među-reakciju, pri čemu se uobičajena visina ranjivosti u velikoj mjeri projicira na komponente Sposobnost (Capability) i Prilika (Opportunity). Drugim riječima, odmah u fazi analize ranjivosti na sustavu potrebno je uzeti u obzir i način na koji napadači mogu materijalizirati takve ranjivosti (sredstvo iskorištavanja ranjivosti, potrebno znanje napadača za iskorištavanje ranjivosti, uvjeti koje napadač mora pripremiti za iskorištavanje ranjivosti). 

Cyber kill-chain i procjena rizika

Iako slijed cyber napada („cyber kill-chain“) možemo danas opisati veoma detaljno i slojevito, kod procjene visine cyber rizika obično se najviše fokusiramo na rizike vezane za inicijalni proboj jer svijest o (ne)izglednosti inicijalnog proboja (odnosno „Neće nas nitko!“ stav) usmjerava sve naše kasnije odluke koje proizlaze iz procjene rizika (osobito one odluke koje nas lažno umiruju). Dobro provedena procjena cyber rizika će uzeti u obzir i sljedeće faze u slijedu cyber napada, osobito one koje se neposredno nadovezuju na inicijalni proboj, no upravo je minoriziranje rizika inicijalnog proboja glavni razlog nesagledavanja sljedećih koraka slijeda cyber napada.

Stoga pitanje s kojim ću se pozabaviti u nastavku ove serije tekstova glasi: koji su razlozi zbog se neadekvatno percipiraju (čitaj: umanjuju) rizici proboja cyber prijetnji? 

Četiri glavne kategorije pogrešne procjene izglednosti cyber prijetnji 

Odgovor leži u nepoznavanju ključnih informacija relevantnih za procjenu cyber rizika, odnosno nedovoljnom upoznatosti osoba koje donose ocjenu o cyber rizicima o faktorima koji pospješuju djelovanje cyber prijetnji.

Ove razloge možemo svrstati u četiri glavne kategorije:

1. Nepoznavanje stvarne motivacije napadača (što uključuje i procjenu dobiti/gubitka za napadače)

2. Nedovoljna svijest o jednostavnosti inicijalnog proboja na mrežu žrtve

3. Prisutnost uvjerenja o svemogućnosti anti-malware zaštite

4. Zanemarivanje mjera kontrole pristupa i dodjele pristupnih prava

Naravno, ovo nisu jedine kategorije pogrešne percepcija cyber rizika. A osobito nisu zadnje tri točke i  jedine slabe točke koje napadači iskorištavaju. Dapače to je tek njihov manji broj, no odluke koje donosimo u procesu procjene rizika su u velikoj mjeri utemeljen upravo na ovim pogrešnim stavovima. Stoga, njihovim dobrim poznavanjem unaprijediti će se naša argumentacija kod ocjene rizika. 

U nastavku ćemo se pozabaviti svakom od ovih kategorija.

Učinimo „risk management“ (ponovo) značajnim

 Davne 2007 kada sam započeo pisanje ovog bloga, dodijelio sam ime „Upravljanje informacijskim rizicima“. Upravljanje rizicima sam shvaćao u svom suštinskom značenju, ne kao regulatornu obavezu. U to je vrijeme risk management još uvijek bio način razmišljanja na kojem se temeljila svaka odluka u, ne samo, informacijskoj sigurnosti. 

U međuvremenu, risk management dobiva značenje regulatorne obaveze, što je naravno samo pripomoglo njegovoj promociji i unaprjeđenju značaja. Ipak, s vremenom je prevladalo regularno značenje, zanemarujući  njegovu suštinsku primjenu. Risk management je postao rutinski proces a odluke najvišeg rukovodstva su ponegdje postale isključivo formalni korak.

Takav risk management je dočekao cyber prijetnje ponajprije na krilima stare slave, ali s neadekvatnim razumijevanjem novih prijetnji. Susreo sam jako puno organizacija koje kroz niz prethodnih godina nisu značajno unaprijedile osnovne mjere za sprječavanje cyber prijetnji, a da u isto vrijeme nisu povećale razinu rizika uslijed eskalacije cyber prijetnji. Glavni razlog vidim u činjenici da visine rizika nisu utvrđene temeljem realnih okolnosti. Zapravo i ne poznajem nikoga tko je adekvatno povisio razinu i pri tome povećao vlastiti apetit za rizika. To bi bilo puno poštenije.

Stoga, pitanje glasi: možemo li u vremenu cyber prijetnji risk management ponovo učiniti značajnim? Smatram da možemo, a postoje dva važna polazišta da se to postigne.

Tradicionalne prijetnje i cyber prijetnje

Prvo, moramo postati svjesni da se tradicionalni risk management (opisan u uvodnom dijelu teksta, a koji je postao mainstream u proteklih desetak do petnaest godina) prije svega bavio tradicionalnim prijetnjama – tehničke nepogode, prirodne nepogode, ljudske greške i romantičarski motivirani hackeri. Ključni element u ocjeni prijetnje bila je frekvencija prethodno registriranih događaja izazvanih ovim prijetnjama. I da –  to je bilo vrijeme dok je perimetar završavao na firewallu, unutarnja mreža je bila svijet za sebe.

Pojava cyber napada izaziva i promjenu prije načina procjene izglednosti prijetnje. Dok se kod tradicionalnog risk managementa nije moralo detaljnije ulaziti u svojstva prijetnji (npr. osoba koja je vodila procjenu rizika nije morala poznavati geofizičke zakonitosti da bi uzela u obzir mogućnost nastupanja potresa procjene rizika niti je trebala biti stručnjak za prijenos električne energije da bi procijenila mogućnost ispada sustava prijenosa u lokalnoj trafostanici) kod cyber prijetnji se stvari temeljito mijenjaju. Bez dobrog poznavanja i bez prethodne analize samih izvora i motiva prijetnji, načina njihove manifestacije, kao i bez dobrog poznavanja svojih slabosti povezanih s pojedinim prijetnjama nije moguću kvalificirano procijeniti izglednost nastupanja cyber prijetnji. 

Pozicioniranje cyber rizika na strateškoj, operativnoj i taktičkoj razini

Druga bitna točka je pozicioniranje risk managementa. Inzistirajući na regulatornom značaju, promakla nam je činjenica da se svaka odluke o provedbi neke zaštitne mjere – od vezivanja pojasa u automobilu preko konfiguracije domenskih Group Policy postavki pa do primjene najnaprednijih sigurnosnih tehnologija, temelji na procjeni rizika. Samo je dio tih odluka rezervirano za najviši management – tu govorimo o strateškoj procjeni rizika, no procjena rizika se svakodnevno primjenjuje na taktičkim i operativnim razina.  

Stoga, nužno je znati da se odluke o odgovoru na cyber prijetnje koje se donose na taktičkoj i operativnoj razini temelje na procjeni rizika ali ne moramo nužno govoriti o metodologijama i standardima i ne moramo razmišljati u matricama, iako se dobar dio odluka može uvjetovati specifičnim algoritmima i kriterijima. Ovdje nam je puno važnija realna i točna informacija o motivima napadača, poznavanje anatomije cyber napada, identifikacija nedostataka i ranjivosti koji pogoduju širenju prijetnji, a procjena izglednosti se donosi u okvirima dnevnog operativnog djelovanja. Ili, slikovitije rečeno, da bi odredili realnu visinu rizika, a potom odabrali adekvatnu zaštitnu mjeru, morate razmišljati kao napadači. A kad su cyber napadači u pitanju, onda je to znanje sve drugo samo ne suhoparno.

Kada taktički i operativni procesi počnu upijati ove informacije, te kada taktičko i operativno djelovanje bude utemeljeno na ovim informacijama, onda će tako redefinirana procjena pozitivno djelovati na odluke o rizicima koje se donose na strateškim razinama u redovitim godišnjim intervalima.

Ipak, čini se da ova jednostavna preporuka za donošenje realne ocjene o cyber rizicima uglavnom ne nailazi na plodno tlo. Stoga, u sljedećim nastavcima ću se detaljnije baviti razlozima zbog kojih smo skloni umanjivati rizike uzrokovane cyber prijetnjama.