23.5.23

Učinimo „risk management“ (ponovo) značajnim

 Davne 2007 kada sam započeo pisanje ovog bloga, dodijelio sam ime „Upravljanje informacijskim rizicima“. Upravljanje rizicima sam shvaćao u svom suštinskom značenju, ne kao regulatornu obavezu. U to je vrijeme risk management još uvijek bio način razmišljanja na kojem se temeljila svaka odluka u, ne samo, informacijskoj sigurnosti. 

U međuvremenu, risk management dobiva značenje regulatorne obaveze, što je naravno samo pripomoglo njegovoj promociji i unaprjeđenju značaja. Ipak, s vremenom je prevladalo regularno značenje, zanemarujući  njegovu suštinsku primjenu. Risk management je postao rutinski proces a odluke najvišeg rukovodstva su ponegdje postale isključivo formalni korak.

Takav risk management je dočekao cyber prijetnje ponajprije na krilima stare slave, ali s neadekvatnim razumijevanjem novih prijetnji. Susreo sam jako puno organizacija koje kroz niz prethodnih godina nisu značajno unaprijedile osnovne mjere za sprječavanje cyber prijetnji, a da u isto vrijeme nisu povećale razinu rizika uslijed eskalacije cyber prijetnji. Glavni razlog vidim u činjenici da visine rizika nisu utvrđene temeljem realnih okolnosti. Zapravo i ne poznajem nikoga tko je adekvatno povisio razinu i pri tome povećao vlastiti apetit za rizika. To bi bilo puno poštenije.

Stoga, pitanje glasi: možemo li u vremenu cyber prijetnji risk management ponovo učiniti značajnim? Smatram da možemo, a postoje dva važna polazišta da se to postigne.

Tradicionalne prijetnje i cyber prijetnje

Prvo, moramo postati svjesni da se tradicionalni risk management (opisan u uvodnom dijelu teksta, a koji je postao mainstream u proteklih desetak do petnaest godina) prije svega bavio tradicionalnim prijetnjama – tehničke nepogode, prirodne nepogode, ljudske greške i romantičarski motivirani hackeri. Ključni element u ocjeni prijetnje bila je frekvencija prethodno registriranih događaja izazvanih ovim prijetnjama. I da –  to je bilo vrijeme dok je perimetar završavao na firewallu, unutarnja mreža je bila svijet za sebe.

Pojava cyber napada izaziva i promjenu prije načina procjene izglednosti prijetnje. Dok se kod tradicionalnog risk managementa nije moralo detaljnije ulaziti u svojstva prijetnji (npr. osoba koja je vodila procjenu rizika nije morala poznavati geofizičke zakonitosti da bi uzela u obzir mogućnost nastupanja potresa procjene rizika niti je trebala biti stručnjak za prijenos električne energije da bi procijenila mogućnost ispada sustava prijenosa u lokalnoj trafostanici) kod cyber prijetnji se stvari temeljito mijenjaju. Bez dobrog poznavanja i bez prethodne analize samih izvora i motiva prijetnji, načina njihove manifestacije, kao i bez dobrog poznavanja svojih slabosti povezanih s pojedinim prijetnjama nije moguću kvalificirano procijeniti izglednost nastupanja cyber prijetnji. 

Pozicioniranje cyber rizika na strateškoj, operativnoj i taktičkoj razini

Druga bitna točka je pozicioniranje risk managementa. Inzistirajući na regulatornom značaju, promakla nam je činjenica da se svaka odluke o provedbi neke zaštitne mjere – od vezivanja pojasa u automobilu preko konfiguracije domenskih Group Policy postavki pa do primjene najnaprednijih sigurnosnih tehnologija, temelji na procjeni rizika. Samo je dio tih odluka rezervirano za najviši management – tu govorimo o strateškoj procjeni rizika, no procjena rizika se svakodnevno primjenjuje na taktičkim i operativnim razina.  

Stoga, nužno je znati da se odluke o odgovoru na cyber prijetnje koje se donose na taktičkoj i operativnoj razini temelje na procjeni rizika ali ne moramo nužno govoriti o metodologijama i standardima i ne moramo razmišljati u matricama, iako se dobar dio odluka može uvjetovati specifičnim algoritmima i kriterijima. Ovdje nam je puno važnija realna i točna informacija o motivima napadača, poznavanje anatomije cyber napada, identifikacija nedostataka i ranjivosti koji pogoduju širenju prijetnji, a procjena izglednosti se donosi u okvirima dnevnog operativnog djelovanja. Ili, slikovitije rečeno, da bi odredili realnu visinu rizika, a potom odabrali adekvatnu zaštitnu mjeru, morate razmišljati kao napadači. A kad su cyber napadači u pitanju, onda je to znanje sve drugo samo ne suhoparno.

Kada taktički i operativni procesi počnu upijati ove informacije, te kada taktičko i operativno djelovanje bude utemeljeno na ovim informacijama, onda će tako redefinirana procjena pozitivno djelovati na odluke o rizicima koje se donose na strateškim razinama u redovitim godišnjim intervalima.

Ipak, čini se da ova jednostavna preporuka za donošenje realne ocjene o cyber rizicima uglavnom ne nailazi na plodno tlo. Stoga, u sljedećim nastavcima ću se detaljnije baviti razlozima zbog kojih smo skloni umanjivati rizike uzrokovane cyber prijetnjama.