Zarządzanie ryzykiem w cyberbezpieczeństwie
rola szacowania ryzyka na podstawie zróżnicowanych źródeł informacji
Streszczenie
W obliczu dynamicznie zmieniającego się krajobrazu zagrożeń cybernetycznych organizacje muszą podejmować skuteczne działania w zakresie zarządzania bezpieczeństwem informacji. Również nowe regulacje, takie jak NIS 2 i związana z nią nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), podkreślają znaczenie szacowania ryzyka oraz odpowiedzialność organizacji za stosowanie odpowiednich środków zarządzania tym ryzykiem.
Kluczowym elementem w procesie szacowania ryzyka jest korzystanie z różnorodnych i wartościowych źródeł informacji. Oprócz tych tradycyjnych, takich jak właściciele biznesowi aktywów, działy IT i audytorzy, którzy okresowo (czasami niestety raz na rok albo rzadziej) identyfikują aktywa, zabezpieczenia i ich skuteczność, organizacje powinny również wykorzystywać nowoczesne metody, narzędzia oraz usługi: SOC, pentesty, CERT i CTI. Zróżnicowane źródła informacji pozwalają bowiem na dokładniejszą analizę zagrożeń oraz lepsze przewidywanie potencjalnych incydentów.
W kontekście nowych wymagań prawnych oraz zmieniającego się krajobrazu zagrożeń szacowanie ryzyka jest nie tylko kwestią zapewnienia zgodności, ale po prostu ważnym elementem strategii biznesowych dla wielu organizacji.
Definicje
Aktywa (assets) to konkretne zasoby posiadane przez organizację, które mają potencjalną lub rzeczywistą wartość dla organizacji. Wartość ta może być zarówno materialna, jak i niematerialna, a także uwzględniać ryzyka oraz zobowiązania.
Klasy lub grupy aktywów (asset classes or groups) to kategorie, na które dzieli się aktywa, najczęściej na podstawie ich charakterystyki. Nieco rzadziej spotykany jest podział dokonywany na podstawie odpowiadającego im ryzyka. Najczęściej wyróżnia się klasy takie jak: fizyczne, informacyjne, niematerialne, krytyczne, wspomagające, o charakterze ciągłym, technologie informacyjno-komunikacyjne (ICT), infrastruktura, ruchomości.
Ryzyko (risk) to wpływ niepewności na cele organizacji. Obejmuje ono odchylenia od oczekiwań, które mogą mieć zarówno pozytywne, jak i negatywne skutki. Cele, do których odnosi się ryzyko, mogą dotyczyć różnych aspektów, jednak w analizowanym kontekście ograniczamy ich rozumienie do celów związanym z zapewnieniem bezpieczeństwa informacji i ciągłości działania. Cele mogą także występować na różnych poziomach, w tym strategicznym, ogólnym dla organizacji, projektowym, produktowym i procesowym.
Ryzyko odnosi się do potencjalnych zdarzeń oraz ich konsekwencji. Może być wyrażane jako kombinacja skutków danego zdarzenia (w tym zmian okoliczności) oraz związanego z nimi prawdopodobieństwa ich wystąpienia. Niepewność natomiast odnosi się do stanu braku informacji, zrozumienia lub wiedzy dotyczącej zdarzenia, jego następstw lub prawdopodobieństwa.
Identyfikacja ryzyka (risk identification) to proces wyszukiwania, rozpoznawania i opisywania ryzyka. Identyfikacja ryzyka obejmuje rozpoznanie źródła ryzyka, zdarzeń, ich przyczyn i potencjalnych następstw. Identyfikacja ryzyka może obejmować dane historyczne, analizy teoretyczne, pozyskane opinie, opinie ekspertów oraz potrzeby interesariuszy.
Szacowanie ryzyka (risk assessment) to ogólny proces, który obejmuje identyfikację ryzyk, analizę ryzyka oraz ocenę ryzyka[1]. Jest to kluczowy element zarządzania ryzykiem, który pozwala na systematyczne podejście do zrozumienia zagrożeń i ich potencjalnych skutków dla organizacji.
Ocena ryzyka (risk evaluation) to proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia czy ryzyko lub jego wielkość są akceptowalne lub tolerowalne. Ocena ryzyka wspomaga podejmowanie decyzji w zakresie postępowania z ryzykiem.
Analiza ryzyka (risk analysis) to proces mający na celu zrozumienie natury ryzyka oraz określenie jego poziomu. Analiza ryzyka stanowi podstawę do ewaluacji ryzyka oraz podejmowania decyzji w zakresie postępowania z ryzykiem. Analiza ryzyka zawiera estymację ryzyka.
Proces zarządzania ryzykiem (risk management process) oznacza systematyczne stosowanie polityk, procedur i praktyk zarządzania do działań w zakresie komunikacji, konsultacji, ustanawiania kontekstu, oraz identyfikowania, analizowania, oceny, postępowania z ryzykiem, monitorowania i przeglądu ryzyka.
Zarządzanie ryzykiem w cyberbezpieczeństwie zgodnie z nowymi przepisami
Dyrektywa NIS 2
NIS 2, podobnie jak i inne akty prawne Unii Europejskiej, takie jak ogólne rozporządzenie o ochronie danych (RODO), stosuje podejście oparte na ryzyku. Oznacza to, że podmioty kluczowe i ważne objęte dyrektywą są zatem zobowiązane do zapewnienia poziomu bezpieczeństwa sieci i systemów informatycznych odpowiedniego do istniejącego ryzyka. Obejmuje to nie tylko identyfikację potencjalnych zagrożeń, ale także ocenę ich wpływu na działalność organizacji.
W odróżnieniu od RODO, NIS 2 określa katalog minimalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych[1]. Obejmuje on przykładowo politykę analizy ryzyka, jak również polityki i procedury służące ocenie skuteczności środków zarządzania tym ryzykiem w cyberbezpieczeństwie.
Spełnienie minimalnego katalogu środków określonych w dyrektywie NIS 2 nie wystarczy jednak, aby w zwiększyć odporność organizacji na zagrożenia i zapewnić zgodność z przepisami. Każda organizacja ma bowiem unikalne aktywa informacyjne oraz inne zasoby i każdej organizacji mogą dotyczyć unikalne ryzyka. Z tych względów konieczne jest dostosowanie zabezpieczeń do specyficznych potrzeb i kontekstu działalności danego podmiotu kluczowego lub ważnego, co może wymagać wdrożenia dodatkowych środków poza te określone w minimalnym katalogu.
Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC)
Projekt nowelizacji UKSC implementujący NIS 2 do polskiego porządku prawnego zaostrza wiele wymagań wskazanych w dyrektywie, także w odniesieniu do zarządzania ryzykiem dla bezpieczeństwa informacji i ciągłości działania.
Zgodnie z projektem podmiot kluczowy lub podmiot ważny powinien wdrożyć system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot, zapewniający:
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, a w szczególności, lecz niewyłącznie, polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne.
Ponadto, zgodnie z projektem podmiot kluczowy i podmiot powinny opracować, stosować i aktualizować dokumentację dotyczącą bezpieczeństwa. Do tej dokumentacji dotyczącej zalicza się dokumentację normatywną i operacyjną. Dokumentację normatywną stanowi m.in. dokumentacja ochrony infrastruktury, obejmująca szacowanie ryzyka dla obiektów infrastruktury, a także plan postępowania z ryzykiem.
Projekt nowelizacji UKSC śrubuje wymagania dyrektywy, ponieważ ma na celu nie tylko dostosowanie polskiego prawa do wymogów unijnych, ale także ogólną poprawę efektywności ochrony sieci teleinformatycznych i systemów informacyjnych w Polsce.
Szacowanie ryzyka
Kluczowe standardy
Aby zrealizować wymagania NIS 2, organizacje powinny ustanowić odpowiednie środki zarządzania ryzykiem w cyberbezpieczeństwie. Powinny one uwzględniać fizyczne i środowiskowe bezpieczeństwo sieci i systemów informatycznych, obejmując środki mające na celu ochronę takich systemów przed awariami systemu, błędami ludzkimi, złośliwymi działaniami lub zjawiskami naturalnymi. Wiodącymi standardami w tym zakresie są międzynarodowe normy z rodziny ISO/IEC 27000. W dyrektywie NIS2 odniesiono się do kwestii uwzględnienia odpowiednich norm europejskich i międzynarodowych przy wdrożeniu odpowiednich i proporcjonalne środki techniczne, operacyjne i organizacyjne w motywie 79 oraz w art. 21 ust. 1.
Aby dobrać odpowiednie środki, organizacje mogą korzystać zatem z różnych standardów dotyczących zarządzania ryzykiem. Jednym z nich jest norma ISO 31000, która dostarcza wytycznych dotyczących identyfikacji, oceny oraz traktowania jakichkolwiek ryzyk w sposób systematyczny, przejrzysty i wiarygodny, w obrębie dowolnego zakresu i kontekstu. Jest ona uniwersalna i może być stosowana przez organizacje różnej wielkości oraz w działające różnych branżach. Jest jednak bardzo ogólna i nie uwzględnia specyfiki ryzyk w bezpieczeństwie informacji, w szczególności związanych z cyberzagrożeniami.
Bardziej specyficznym standardem jest natomiast norma ISO/IEC 27005, która koncentruje się na zarządzaniu ryzykiem związanym z bezpieczeństwem informacji. Obejmuje ona szczegółowe wytyczne dotyczące procesu oceny ryzyka w kontekście ochrony informacji. Norma ta jest ściśle powiązana z innym standardem, a mianowicie normą ISO/IEC 27001, która określa wytyczne dotyczące ustanowienia, wdrożenia i utrzymania systemu zarządzania bezpieczeństwem informacji (SZBI/ISMS).
Ogólność normy ISO 31000 może być zarówno jej zaletą, jak i wadą. Z jednej strony ta norma oferuje elastyczność i szerokie zastosowanie, a z drugiej może prowadzić do problemów z jej skuteczną implementacją w specyficznych kontekstach. ISO/IEC 27005 jest bardziej szczegółowa w zakresie technik i metod analizy ryzyka w obszarze cyberbezpieczeństwa, a przez to bardziej użyteczna w kontekście spełnienia wymagań dyrektywy NIS 2.
Niemniej jednak, wykorzystanie standardu ISO 31000 lub ISO/IEC 27005 pozwala organizacjom na oszacowanie ryzyka, które zagraża ich sieciom i systemom informatycznym wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług. Dzięki temu mogą one dobierać odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, co jest kluczowe dla zapewnienia zgodności z wymaganiami NIS 2 oraz skutecznej ochrony ich zasobów przed zagrożeniami.
Podejścia do szacowania ryzyka
Istnieją dwa główne podejścia do szacowania ryzyka:
- Top-down – koncentruje się na ogólnych celach organizacji. W tym modelu identyfikacja ryzyk odbywa się na podstawie strategii organizacyjnej, co pozwala na zrozumienie, jakie zagrożenia mogą wpłynąć na osiągnięcie tych celów. To podejście jest często stosowane w celu szybszego przeprowadzenia szacowania ryzyka.
- Bottom-up – rozpoczyna się od identyfikacji aktywów i ich atrybutów, zagrożeń i ich prawdopodobieństwa (w niektórych metodykach – potencjalnego wpływu), następnie podatności, w niektórych metodykach zabezpieczeń i ich skuteczności, by na podstawie tych danych przeprowadzić analizę ryzyka związanego z tymi elementami. W tym przypadku analiza ryzyka opiera się na szczegółowych danych, co może prowadzić do bardziej precyzyjnej oceny ryzyka na poziomie operacyjnym.
Obie metody mają swoje zalety i wady, a ich skuteczność często zależy od specyfiki organizacji oraz jej kultury zarządzania ryzykiem. Idealnym, lecz wymagającym rozwiązaniem może być połączenie obu podejść (szacowanie w modelu Top-down przeprowadza biznes pod kierownictwem CISO, a w modelu Bottom-up dział IT, również przy wsparciu CISO), co pozwala na uzyskanie pełniejszego obrazu ryzyk oraz lepsze dostosowanie strategii zarządzania do zmieniającego się otoczenia.
Systematyczne szacowanie ryzyka
Projekt nowelizacji UKSC wskazuje, że podmiot kluczowy lub ważny powinien wdrożyć system zarządzania bezpieczeństwem informacji, który zapewnia prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem.
Projekt nowelizacji UKSC nie precyzuje, na czym dokładnie ma polegać systematyczność szacowania ryzyka. Można rozumieć to pojęcie jako proces, który powinien być realizowany w sposób uporządkowany i regularny, co pozwala na efektywne identyfikowanie i ocenianie ryzyk dla organizacji.
Systematyczność może również obejmować ustalenie harmonogramu przeglądów ryzyka, które powinny odbywać się w określonych odstępach czasu lub w odpowiedzi na konkretne wydarzenia, takie jak zmiany w otoczeniu prawnym, technologicznym czy operacyjnym.
Dynamiczna analiza ryzyka
Dynamiczna analiza ryzyka to proces ciągłej oceny zagrożeń i podatności w zmieniającym się środowisku technologicznym. Zgodnie z wymaganiami NIS 2 oraz projektem nowelizacji UKSC, CSIRT MON, CSIRT NASK i CSIRT GOV mają za zadanie zapewnienie takiej analizy, co pozwala na szybsze reagowanie na incydenty.
Projekt nie precyzuje, na czym dokładnie ma polegać dynamiczność tego procesu. Można jednak przyjąć, że dynamiczna analiza ryzyka powinna odbywać się w sposób ciągły i adaptacyjny, czyli dostosowywać się do zmieniających się warunków i zagrożeń.
Aspekty praktyczne
Wybór metodyki
Wybór odpowiedniej metodyki szacowania ryzyka zależy od specyfiki organizacji oraz dostępnych zasobów. Oto możliwe warianty:
- organizacja posiada ekspertów oraz narzędzia do samodzielnego szacowania ryzyka zgodnie z wybraną już przez siebie metodyką i nie potrzebuje zewnętrznego wsparcia;
- organizacja dysponuje ekspertami, narzędziami i wybrała odpowiednią dla siebie metodykę, ale potrzebuje zewnętrznego wsparcia, np. w dostosowaniu metodyki do indywidualnych potrzeb, uzupełnieniu krajobrazu ryzyka;
- organizacja posiada szczątkową metodykę szacowania ryzyka, potrzebuje jednak wsparcia, np. w jej dostosowaniu, wyborze, zaprojektowaniu lub dostosowaniu odpowiedniego narzędzia do szacowania ryzyka;
- Organizacja nie posiada żadnej metodyki, wymaga wsparcia w zakresie wyboru odpowiedniej metodyki oraz prostego narzędzia, które pozwoli jej zapoczątkować szacowanie ryzyka i da podstawy do dalszego rozwoju tego procesu.
Na polskim rynku dominują organizacje z poziomów 3. i 4., które zdecydowanie potrzebują wsparcia w zakresie szacowania ryzyka. Rosnąca świadomość znaczenia zarządzania ryzykiem skłania jednak wiele organizacji do poszukiwania zewnętrznych ekspertów oraz narzędzi, które pomogą im w efektywnym wdrażaniu praktyk związanych z bezpieczeństwem informacji.
Organizacje na poziomie 3. są świadome potrzeby zarządzania ryzykiem, ale nie mają jeszcze w pełni rozwiniętego procesu ani narzędzi do jego efektywnego wdrażania. Często potrzebują wsparcia w dostosowaniu istniejącej metodyki, wyborze odpowiednich narzędzi czy zaprojektowaniu bardziej kompleksowego podejścia do zarządzania ryzykiem.
Z kolei organizacje na poziomie 4. to te, które nie posiadają żadnej metodyki szacowania ryzyka. Takie podmioty wymagają pomocy w wyborze odpowiednich metodyk oraz prostych narzędzi, które umożliwią im zainicjowanie procesu szacowania ryzyka i stworzenie podstaw do dalszego rozwoju w tym zakresie.
Źródła danych w analizie ryzyka
Zaleca się korzystanie ze zróżnicowanego wachlarza źródeł danych w celu dokładniejszej analizy ryzyka. Mogą składać się nań zarówno tradycyjne źródła danych, jak i nowoczesne narzędzia wspierające procesy analityczne.
Do tradycyjnych źródeł danych w szacowaniu ryzyka zalicza się informacje, których źródłem są właściciele biznesowi, Chief Information Security Officer (CISO), dział IT oraz wyniki audytów i testów penetracyjnych (pentestów). Właściciele biznesowi dostarczają cennych informacji na temat specyfiki działalności oraz potencjalnych zagrożeń, które mogą wpływać na operacje organizacji. CISO jako odpowiedzialny za bezpieczeństwo informacji, ma kluczową rolę w identyfikacji ryzyk związanych z tą domeną. Dział IT dostarcza technicznych aspektów dotyczących infrastruktury oraz zabezpieczeń, a audyty i pentesty pozwalają na ocenę skuteczności istniejących zabezpieczeń oraz identyfikację luk w systemach, aplikacjach, infrastrukturze.
Współczesne podejście do analizy ryzyka uzupełnia te tradycyjne źródła o zaawansowane narzędzia, takie jak Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) oraz Security Orchestration, Automation and Response (SOAR). Niedawno to tej listy dołączyły narzędzia Breach and Attack Simulation (BAS). Wszystkie te narzędzia m.in. gromadzą dane w czasie rzeczywistym, monitorując aktywność w sieci oraz aktywność użytkowników i wykrywając anomalie, co pozwala na szybsze identyfikowanie potencjalnych zagrożeń lub wręcz jak BAS symulują zaawansowane ataki. Coraz częściej wykorzystuje się również algorytmy uczenia maszynowego do analizy dużych zbiorów danych, co zwiększa precyzję przewidywania ryzyk i umożliwia automatyzację procesów reagowania na incydenty. Wskazane narzędzia są wykorzystywane przez zespół SOC (Security Operation Center), czyli specjalistów, którzy zajmują się monitorowaniem, analizowaniem i reagowaniem na incydenty związane z bezpieczeństwem informacji w czasie rzeczywistym. W przypadku wykrycia zagrożenia, SOC podejmuje działania mające na celu ograniczenie szkód i przywrócenie normalnego funkcjonowania organizacji.
W szacowaniu ryzyka coraz większe znaczenie zyskują również informacje zbierane w ramach Cyber Threat Intelligence (CTI). CTI to proces gromadzenia, analizy i udostępniania informacji o zagrożeniach cybernetycznych, które mogą wpływać na bezpieczeństwo organizacji. Informacje te mogą obejmować dane o nowych wektorach ataków, technikach wykorzystywanych przez cyberprzestępców oraz trendach w zakresie zagrożeń. Wykorzystanie informacji z CTI wzbogaca tradycyjne metody szacowania ryzyka, dostarczając kontekstu do analizy zagrożeń i podatności. Dzięki temu organizacje mogą lepiej przewidywać potencjalne ataki i dostosowywać swoje zabezpieczenia.
Wsparcie ComCERT
ComCERT SA świadczy kompleksowe usługi w zakresie cyberbezpieczeństwa, pomagamy zarówno w budowaniu zespołów Security Operations Center (SOC) od podstaw, jak i świadczymy usługę zewnętrznego SOC oraz Cyber Threat Intelligence (CTI), oferowane w ramach autorskiego portalu C3TI. Oferujemy również kompleksowe wsparcie w zakresie szacowania ryzyka na każdym etapie tego procesu.
Budowanie zespołów SOC od podstaw obejmuje projektowanie i wdrażanie struktury SOC w środowisku klienta. Proces ten oparty jest na najlepszych praktykach branżowych określanych przez MITRE (organizacja non-profit zajmująca się badaniami w dziedzinie bezpieczeństwa), SANS (wiodąca organizacja edukacyjna w zakresie bezpieczeństwa IT) oraz ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa).
Z kolei dzięki obsługiwanej przez nas zewnętrznej usłudze SOC nasi klienci mogą korzystać z ciągłego monitorowania bezpieczeństwa ich systemów przez wykwalifikowany zespół specjalistów. To umożliwia organizacjom dostęp do wiedzy i doświadczenia ekspertów, którzy wykorzystują nowoczesne technologie do detekcji i analizy zagrożeń.
W ramach usługi C3TI, ComCERT SA dostarcza natomiast informacje o aktualnych cyberzagrożeniach, co pozwala na lepsze przewidywanie ataków i dostosowywanie zabezpieczeń i strategii reagowania na incydenty.
Dzięki naszym usługom SOC oraz C3TI organizacje uzyskują dostęp do bogatych źródeł danych, które mogą posłużyć do kompleksowego oszacowania ryzyka dla danej organizacji. Informacje te są kluczowe dla efektywnego zarządzania ryzykiem i umożliwiają lepsze przygotowanie na potencjalne zagrożenia.
Nasze usługi obejmują również pomoc w wyborze odpowiedniej metodyki szacowania ryzyka, która najlepiej odpowiada specyfice danej organizacji. Następnie wspieramy klientów w przygotowaniu lub dostosowaniu odpowiednich narzędzi do analizy ryzyka, co zapewnia efektywność i zgodność z najlepszymi praktykami branżowymi. Ponadto oferujemy szkolenia dla personelu, aby zapewnić, że zespół jest dobrze przygotowany do realizacji procesu szacowania ryzyka.
Podsumowując, ComCERT SA jest zaufanym partnerem w obszarze cyberbezpieczeństwa, oferując kompleksowe rozwiązania wspierające organizacje we wszystkich obszarach związanych z bezpieczeństwem informacji. Dzięki naszym usługom klienci mogą skoncentrować się na swojej podstawowej działalności, mając pewność, że ich bezpieczeństwo jest w rękach ekspertów.
Podsumowanie
Szacowanie ryzyka jest fundamentem w zarządzaniu bezpieczeństwem informacji. Nowe regulacje, takie jak NIS 2 i nowelizacja UKSC, podkreślają znaczenie tego procesu oraz odpowiedzialność organizacji za skuteczne wdrażanie odpowiednich środków zarządzania ryzykiem.
Organizacje muszą dostosować swoje strategie do zmieniającego się krajobrazu cyberzagrożeń, co wymaga nie tylko monitorowania aktualnych ryzyk, ale także przewidywania zagrożeń. W tym kontekście kluczowe staje się korzystanie z zaawansowanych narzędzi i usług oraz czerpanie informacji o zagrożeniach z różnych źródeł, takich jak usługi typu Cyber Threat Intelligence (CTI), które mogą znacząco wspierać proces szacowania ryzyka.
Jeśli Twoja organizacja potrzebuje wsparcia w zakresie zarządzania bezpieczeństwem informacji, ComCERT SA jest idealnym partnerem, który pomoże Ci w tym procesie. Nasze doświadczenie pozwala na odpowiednie zabezpieczenie Twojej organizacji przed zagrożeniami.
Autorzy:
Janusz Cendrowski
Damian Grodziński