Czy zarządzanie ryzykiem jest ważne dla wdrożenia NIS2? Zdecydowanie tak! Choć we wstępie do dyrektywy unijnej nie znajdziemy nic o tym zagadnieniu, to jednak „ryzyko” jest jednym z częściej występujących słów w całym dokumencie. Jego różne formy odmiany występują prawie 150 razy, co daje średnio 2 razy na stronę. Należy zatem przeanalizować znaczenie ryzyka oraz przyjrzeć się mu bliżej w kontekście znaczenia dla zapewnienia wymaganego poziomu cyberbezpieczeństwa.
Czym jest ryzyko?
Zgodnie z definicją przytoczoną w artykule 6 dyrektywy „ryzyko oznacza możliwość wystąpienia strat lub zakłóceń spowodowanych incydentem, wyrażoną jako wypadkową wielkości takiej straty lub takich zakłóceń oraz prawdopodobieństwo wystąpienia takiego incydentu;”. Mówimy zatem o możliwości wystąpienia zdarzenia, które niesie za sobą pewne skutki – z założenia negatywne – oraz które może się wydarzyć w przyszłości z określonym prawdopodobieństwem.
W pierwszej kolejności należy przyjrzeć się definicji i wyodrębnić z niej 3 główne składowe ryzyka. Czynnik ryzyka – czyli pewne zagrożenia, potencjalne zdarzenia, których wystąpienie może rodzić negatywny skutek. Mamy już dwie składowe. Do tego dochodzi wymienione wprost prawdopodobieństwo wystąpienia danego zdarzenia (czynnika ryzyka). Z doświadczenia wiem, że wiele osób źle interpretuje bądź definiuje kwestię ryzyka. W celu lepszego zrozumienia posłużę się przykładami źle i dobrze zdefiniowanego ryzyka.
Źle zdefiniowane ryzyko: „Atak cybernetyczny na organizację – np. ransomware”.
Dobrze zdefiniowane ryzyko: „Poniesienie strat finansowych dużych rozmiarów, poprzez przestój organizacji wywołany atakiem cybernetycznym na organizację – np. ransomware”.
Czym różnią się te dwa przykłady? W pierwszym z nich mowa o ataku cybernetycznym, może nawet nazwanym, jednakże w żaden sposób nie został opisany skutek. Atak typu ransomware może spowodować mało istotne, negatywne skutki w przypadku, gdy wyłącznie jeden komputer w organizacji zostanie zainfekowany, a zagrożenie nie rozprzestrzeni się na inne systemy teleinformatyczne z uwagi na dobrze dobrane środki ochrony cybernetycznej.
W drugim przykładzie przedstawione są konkrety. Nazwany jest faktyczny czynnik ryzyka ujęty w ramy i kontekst negatywnego skutku jego wystąpienia. Podane jest zagrożenie, którego materializacja skutkuje określonymi negatywnymi konsekwencjami – czyli przestojem organizacji oraz poniesionymi z tego tytułu stratami finansowymi dużych rozmiarów. Inną kwestią jest określenie, jakie straty dla organizacji są stratami dużych rozmiarów, ale to doprecyzuję w dalszej części artykułu.
Zarządzanie ryzykiem w kontekście norm ISO
Z poprzednich artykułów cyklu dowiedzieliście się, że określone normy ISO: 27001, 27005 czy 22301 – pomagają organizacjom w zdobyciu cyberodporności oraz w spełnieniu zdecydowanej większości wymagań dyrektywy NIS2. Jak zatem ujęte jest zarządzanie ryzykiem w wymienionych normach?
Zacznę od podstawowej normy związanej Systemem Zarządzania Bezpieczeństwem Informacji – czyli ISO 27001. We wstępie do normy możemy przeczytać, że „System zarządzania bezpieczeństwem informacji zapewnia zachowanie poufności, integralności i dostępności informacji w wyniku stosowania procesu zarządzania ryzykiem i dostarcza stronom zainteresowanym zaufania, że ryzyka są odpowiednio obsługiwane.” Należy zatem powiedzieć wprost – zarządzanie ryzykiem jest podstawowym narzędziem, które służy do zapewnienia bezpieczeństwa przetwarzanych w organizacji informacji. Dodatkowo nałożenie na to ram systemu (SZBI) sprawia, że wyniki analizy ryzyka – czyli zidentyfikowane zagrożenia – są odpowiednio obsłużone co zwiększa zaufanie do organizacji.
O kolejnej z wymienionych norm nie będę długo mówił, gdyż jej nazwa „ISO 27005 – Ocena ryzyka w bezpieczeństwie informacji” mówi sama za siebie. Jest to zatem norma wspomagająca, z rodziny norm ISO 27000, która nie mówi dlaczego, ale jak powinien przebiegać proces zarządzania ryzykiem związanym z zapewnieniem bezpieczeństwa informacji.
Trzecia z wymienionych norm – „ISO 22301 Zarządzanie Ciągłością Działania” – w wielu obszarach opiera się na analizie ryzyka. W pierwszej kolejności sama selekcja procesów krytycznych powinna być przeprowadzona w oparciu o analizę ryzyka. To na podstawie wyników analizy organizacja powinna określić, które procesy są dla niej krytyczne. Następnie przeprowadza się analizę niższego poziomu – wyłania systemy, które realizują oraz wspierają procesy krytyczne, czyli mają na nie bezpośredni wpływ – tzw. BIA (z ang. Business Impact Analysis). Na potrzeby opracowania planów ciągłości działania trzeba określić scenariusze zagrożeń. Tu po raz kolejny przychodzi z pomocą zarządzanie ryzykiem. To na podstawie przeprowadzonej analizy ryzyka organizacja określa, które ze scenariuszy są dla niej na tyle realne (czyli posiadają najwyższe prawdopodobieństwo wystąpienia) oraz na tyle niebezpieczne (powodują największe straty finansowe czy wizerunkowe), że musi dla nich wytworzyć plany ciągłości działania. Tym samym właśnie na podstawie analizy ryzyka należy przygotować organizację do sprawnego przywrócenia ciągłości działania ograniczającego skutki wystąpienia poważnego incydentu cyberbezpieczeństwa.
Jak praktycznie zarządzać ryzykiem?
Współpracując z naszymi Klientami, często spotykam się z podejściem, że ryzyko jest postrzegane jako pewna zbędna „papierologia”, która służy tylko i wyłącznie angażowaniu czasu pracowników na wypełnianie nikomu niezrozumiałych tabelek, które nie przynoszą żadnych pozytywnych rezultatów. Otóż tak nie jest. Zapewne przekonały się o tym organizacje, które stały się ofiarą ataku cyberprzestępców. Większość z nich, niestety po fakcie, pierwsze swoje kroki kieruje do ekspertów cyberbezpieczeństwa – w celu złagodzenia skutków incydentu oraz aktualnego zabezpieczenia systemów teleinformatycznych przed wystąpieniem w przyszłości tego typu zdarzeń. I tu okazuje się, że organizacja nie może się zabezpieczyć na przyszłość, jeżeli nie będzie mieć wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji, który, jak przedstawiłem dotychczas, nie może funkcjonować bez zarządzania ryzykiem. Czyli można zauważyć, że prędzej czy później następuje powrót do obszaru ryzyka.
Czy zatem można zarządzać ryzykiem cyberbezpieczeństwa w sposób przystępny, czyli taki, żeby Rejestr ryzyka i inne arkusze nie stały się kolejnymi wypełnianymi dokumentami, które są tworzone wyłącznie z powodu odgórnego nakazu oraz taki, aby niósł pozytywny wydźwięk w postaci podniesienia cyber-odporności? Otóż odpowiadam, że TAK. Wieloletnie doświadczenie w tym obszarze pozwoliło zespołowi FortCyber, w którym pracuję, na zbudowanie swoistego, autorskiego FrameWorku zarządzania ryzykiem, który da się zaimplementować w większości organizacji, jest prosty, łatwy do zrozumienia oraz stosowania, a dodatkowo zawiera kluczowe elementy pozwalające na osiągnięcie zgodności z normą ISO 27001 oraz NIS2.
Z jakich elementów powinno składać się zarządzanie ryzykiem cyberbezpieczeństwa?
Jak w każdym z obszarów najważniejszą, a zarazem najwyżej usytuowaną regulacją jest Polityka zarządzania ryzykiem cyberbezpieczeństwa. Określa ona główne podobszary cyber-ryzyka tj. role i odpowiedzialności, cele zarządzania ryzykiem w zakresie cyberbezpieczeństwa, definiuje pojęcia, określa ciągłość procesu i osadza kwestię cyber-ryzyka w kontekście organizacji. Procedura zarządzania ryzykiem – kolejny z dokumentów – opisuje w sposób bardziej szczegółowy sposób zarządzania ryzykiem w organizacji oraz odwołuje się do pozostałych dokumentów, definiując ich zakres oraz cel. Następne dokumenty mają charakter praktyczny – są swego rodzaju narzędziami, które pozwalają w zrozumiały sposób przejść przez proces szacowania ryzyka – zarówno za pierwszym razem, w którym przeważnie wspomagamy naszych Klientów, jak i kolejnym, który Klienci bez większych problemów wykonują samodzielnie.
Pierwszym narzędziem jest Metoda szacowania ryzyka – dokument definiujący, jak w szczegółowy sposób przejść proces szacowania ryzyka. Określa – w odniesieniu do rzeczywistych i dających się oszacować danych – jakie poziomy prawdopodobieństwa oraz skutków materializacji ryzyka organizacja powinna przyjąć. Dodatkowo przedstawia ona matryce ryzyka, czyli jakie poziomy ryzyka zostaną ustalone przy połączeniu określonego prawdopodobieństwa względem oczekiwanych, negatywnych skutków materializacji. Dokonując szacowania ryzyka zawsze trzeba działać w pewnych okolicznościach – bez względu czy realizowany jest cykliczny przegląd ryzyka, czy jest to szacowanie ad-hoc – np. z powodu wystąpienia incydentu bezpieczeństwa – konieczne jest określenie kontekstu szacowania ryzyka. Wskazany jest tu zakres i cel prowadzonych działań, określone, jakimi poziomami ryzyka organizacja się zajmuje, jakie procesy lub systemy obejmuje oraz jaką metodę będzie wykorzystywać. Wszystkie wymienione informacje wskazane są w dokumencie Kontekst szacowania ryzyka. Centralnym miejscem, w którym gromadzone są zidentyfikowane czynniki ryzyka wynikające z prowadzonych analiz jest Rejestr ryzyka. Poza nazwaniem określonego ryzyka wskazany jego poziomy w zakresie skutków i prawdopodobieństwa, podstawowe informacje na temat planów postępowania z ryzykiem oraz inne niezbędne informacje pozwalające na cykliczne prowadzenie przeglądów. Kolejnymi narzędziami, jakie wykorzystuje się przy prowadzeniu procesu szacowania ryzyka są: Arkusz analizy wysokopoziomowej – prowadzi się na nim swoista burzę mózgów nad możliwymi zagrożeniami; Arkusz analizy właściwej – w którym zajmuje się wyselekcjonowanymi zagrożeniami oraz ustala się plany postępowania z ryzykiem dla każdego z istotnych zagrożeń; Zestawienie generycznych scenariuszy ryzyka – wspomaga organizację w przeprowadzeniu analizy wysokopoziomowej oraz Plany postępowania z rykiem będący podsumowaniem najważniejszych działań w organizacji zaplanowanych w celu ograniczenia ryzyka w zakresie cyberbezpieczeństwa.
Podsumowanie
Mam nadzieję, że w niniejszym artykule udało mi się przekonać Was do następujących faktów:
- Zarządzenie ryzykiem jest niezmiernie istotne.
- Ryzyko nie jest czyimś wymysłem i pozwala organizacji na lepsze zarządzanie bezpieczeństwem informacji, a przede wszystkim pozwala na zarządzanie bezpieczeństwem w sposób świadomy.
- Proces zarządzania ryzykiem pozwala na dobranie adekwatnych środków do zachowania wymaganego poziomu cyberbezpieczeństwa.
- Można zarządzać ryzykiem w sposób praktyczny, prosty, nawet nie posiadając wysoce fachowej wiedzy w tym obszarze.
*
Dziękuję, że zapoznaliście się z całą treścią artykułu, w szczególności, że dla wielu czytelników ujęta w nim tematyka może wydawać się mało ciekawa. Zapraszam do kolejnych. W następnym tekście, jak zwykle w sposób praktyczny, opowiem o zarządzaniu ciągłością działania.
Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne