U prethodnom tekstu sam ocrtao polazišta za redefiniciju procjene rizika u okruženju cyber prijetnji. Fokusirao sam se na moje zapažanje da su ključni nositelji odluke o rizicima veoma skloni donositi odluke rizicima koje su nešto niže od realnih, drugim riječima skloniji su umanjivati rizike. Vjerujem da i kolege koji se bave procjenom rizika i sudjeluju u procesu upravljanja rizicima dijele isto iskustvo.
Ujedno, iznio sam mišljenje da je neadekvatna ocjena rizika, koja ne uzima u obzir realne indikatore prijetnji i ranjivosti, glavni razlog za umanjivanje konačne razine rizika u tradicionalnim procjenama rizika.
Zbog čega procjena rizika nije utemeljena na realnim indikatorima?
Trokut prijetnje
U nekim slučajevima se radi o trivijalnim razlozima unatoč poznavanju specifičnosti cyber rizika – na primjer o potpunom nepoznavanje specifičnosti cyber rizika ili o zadržavanju linije manjeg otpora i nastavku rada s uobičajenim, ali neadekvatnim, matricama rizika.
No, puno češća su prisutna naša uvjerenja da cyber prijetnje, unatoč njihovoj plastičnoj opipljivosti, ne predstavljanju realnu opasnost za „naše okruženje“, „Neće nas nitko!“. Ova sklonost minoriziranju problema i reduciranoj percepciji cyber rizika već je dugo vremena predmet mojeg interesa.
Prije nego što se udubimo u glavne razloge zbog kojih procjena cyber rizika nije utemeljena na realnim indikatorima, preporučio bih promjenu pogleda na komponente rizika na temelju kojih određujemo izglednost cyber napada.
Tradicionalno, izglednost napada se određuje kao umnožak ocjene visine prijetnje i ocjene prisutnih ranjivosti – poslužimo se ovim pojednostavljenim pogledom. No, da bi dobili precizniji pogled, predlažem da izglednost napada re-definiramo kroz trokut prijetnje (Threat Triangle): njega čine komponente Namjera (Intent), Sposobnost (Capability) i Prilika (Opportunity). Na taj način, tradicionalne komponente rizika pogleda (visine prijetnje i ocjene prisutnih ranjivosti) kontinuirano sagledavamo kroz njihovu među-reakciju, pri čemu se uobičajena visina ranjivosti u velikoj mjeri projicira na komponente Sposobnost (Capability) i Prilika (Opportunity). Drugim riječima, odmah u fazi analize ranjivosti na sustavu potrebno je uzeti u obzir i način na koji napadači mogu materijalizirati takve ranjivosti (sredstvo iskorištavanja ranjivosti, potrebno znanje napadača za iskorištavanje ranjivosti, uvjeti koje napadač mora pripremiti za iskorištavanje ranjivosti).
Cyber kill-chain i procjena rizika
Iako slijed cyber napada („cyber kill-chain“) možemo danas opisati veoma detaljno i slojevito, kod procjene visine cyber rizika obično se najviše fokusiramo na rizike vezane za inicijalni proboj jer svijest o (ne)izglednosti inicijalnog proboja (odnosno „Neće nas nitko!“ stav) usmjerava sve naše kasnije odluke koje proizlaze iz procjene rizika (osobito one odluke koje nas lažno umiruju). Dobro provedena procjena cyber rizika će uzeti u obzir i sljedeće faze u slijedu cyber napada, osobito one koje se neposredno nadovezuju na inicijalni proboj, no upravo je minoriziranje rizika inicijalnog proboja glavni razlog nesagledavanja sljedećih koraka slijeda cyber napada.
Stoga pitanje s kojim ću se pozabaviti u nastavku ove serije tekstova glasi: koji su razlozi zbog se neadekvatno percipiraju (čitaj: umanjuju) rizici proboja cyber prijetnji?
Četiri glavne kategorije pogrešne procjene izglednosti cyber prijetnji
Odgovor leži u nepoznavanju ključnih informacija relevantnih za procjenu cyber rizika, odnosno nedovoljnom upoznatosti osoba koje donose ocjenu o cyber rizicima o faktorima koji pospješuju djelovanje cyber prijetnji.
Ove razloge možemo svrstati u četiri glavne kategorije:
1. Nepoznavanje stvarne motivacije napadača (što uključuje i procjenu dobiti/gubitka za napadače)
2. Nedovoljna svijest o jednostavnosti inicijalnog proboja na mrežu žrtve
3. Prisutnost uvjerenja o svemogućnosti anti-malware zaštite
4. Zanemarivanje mjera kontrole pristupa i dodjele pristupnih prava
Naravno, ovo nisu jedine kategorije pogrešne percepcija cyber rizika. A osobito nisu zadnje tri točke i jedine slabe točke koje napadači iskorištavaju. Dapače to je tek njihov manji broj, no odluke koje donosimo u procesu procjene rizika su u velikoj mjeri utemeljen upravo na ovim pogrešnim stavovima. Stoga, njihovim dobrim poznavanjem unaprijediti će se naša argumentacija kod ocjene rizika.
U nastavku ćemo se pozabaviti svakom od ovih kategorija.
