Analýza rizik
Analýza rizik
- Určí, co jsou naše opravdu kritická data, systémy a služby, bez kterých by firma nemohla fungovat, nebo by utrpěla obrovské škody.
- Před čím to musíme chránit, tj. jaká nebezpečí hrozí našim důležitým aktivům.
- Jak moc jsme zranitelní, tj. jaké naše slabiny mohou útočníci využít k dosažení svých cílů.
- Jak moc velký by to byl průšvih, tj. posouzení dopadu, kdyby k tomu došlo u konkrétního aktiva.
- Jaká je pravděpodobnost, že se to stane, tj. odhadneme, jak často by k naplnění konkrétní hrozby mohlo dojít.
- Jak velké je to konkrétní riziko tj. analýza zkombinuje dopad a pravděpodobnost, že to nastane.
- Co s tím máme dělat, tj. doporučení jaká konkrétní bezpečnostní opatření musíme realizovat.
Všechna Aktiva jsou v rámci Analýzy rizik ohodnocena dle důležitosti a podle možného dopadu na poskytování reg. služeb při jejich narušení z pohledu:
- Integrity (neoprávněné změny)
- Důvěrnosti (neoprávněné vyzrazení)
- Dostupnosti, kde je zvlášť hodnocen dopad jejich úplného zničení a dočasné nedostupnosti (doba se volí podle povahy aktiva)
Zároveň do analýzy vstupují hrozby, které se musí ocenit, jak moc jsou pravděpodobné.
Příklad: hrozba je povodeň a zranitelnost je zatopení/poškození aktiva. Takže u aktiva musíme vědět, jak často hrozí v daném umístění povodeň a u jak moc je to aktivum zranitelné tou povodní = jak odolné nebo zabezpečené je proti vodě. Např. serverovnu si nedám do sklepa, když vím, že tam se může být zaplavena, když nedaleký potok se rozvodní.
Pro sektory energetiky a IT/Telco katalog hrozeb může vypadat takto:
KATALOG HROZEB
| # | Hrozba | Příklad zranitelnosti | C | I | A | Relevantní aktiva |
|---|---|---|---|---|---|---|
| 1 | Neoprávněný přístup interními pracovníky | Chybějící řízení přístupů, nadměrná oprávnění uživatelů. | X | X | X | Data, Informace, SW |
| 2 | Neoprávněný přístup cizími osobami | Slabá hesla, chybějící MFA (vícefaktor), nechráněné sítě. | X | X | X | Sítě, Servery, VPN |
| 3 | Zneužití práv (neoprávněná akce obsluhy) | Sdílené admin účty, chybějící dohled nad administrátory. | X | X | Konfigurace, SCADA, ERP | |
| 4 | Zneužití systémových zdrojů | Nízký monitoring výkonu, nezabezpečený HW (těžba kryptoměn). | X | Servery, Výkon HW | ||
| 5 | Popření | Chybějící logování nebo neměnnost logů (nelze dokázat viníka). | X | Auditní stopy, Logy | ||
| 6 | Napadení komunikace | Nešifrované protokoly (HTTP, Telnet), chybějící certifikáty. | X | X | Síťový provoz, Web | |
| 7 | Přerušení komunikace | Jediná trasa (SPOF), chybějící redundance konektivity. | X | Internet, Linky, Rádiostanice | ||
| 8 | Kybernetický útok z komunikační sítě | Nezabezpečený perimetr, chybějící IPS/IDS nebo Firewall. | X | X | X | Celá IT/OT infrastruktura |
| 9 | Zavedení škodlivého softwaru | Absence antiviru (AV/EDR), povolená instalace SW uživatelem. | X | X | X | Koncové stanice, Servery |
| 10 | Selhání hardware nebo média | Zastaralý HW po záruce, chybějící náhradní díly na skladě. | X | PLC, Servery, Disky | ||
| 11 | Selhání software | Neotestované aktualizace, chyby v zakázkovém kódu. | X | X | Aplikace, OS, Databáze | |
| 12 | Selhání externí služby | Špatné SLA smlouvy, závislost na jediném dodavateli Cloudu. | X | Cloud, Podpora 24/7 | ||
| 13 | Selhání podpory prostředí | Chybějící UPS, nefunkční klimatizace v serverovně, povodeň. | X | X | Budovy, Rozvodny | |
| 14 | Selhání údržby | Neprovádění revizí, nečištění filtrů chlazení, ignorování chyb. | X | Technologie, Facility | ||
| 15 | Chyba uživatele | Nízké povědomí o bezpečnosti, únava, složité ovládání SW. | X | X | Data, Konfigurace | |
| 16 | Nedostatek zaměstnanců | Jediný člověk s unikátním know-how (faktor “autobus”). | X | Provoz, Kontinuita (BCM) | ||
| 17 | Prozrazení informací z vyřazené komponenty | Likvidace disků bez certifikovaného smazání/skartace. | X | Staré notebooky, Disky | ||
| 18 | Ztráta zařízení, média a dokumentů | Nešifrované notebooky, vynášení papírových složek ven. | X | X | Mobilní zařízení, Šanony | |
| 19 | Krádež interními pracovníky | Slabá fyzická kontrola při odchodu, chybějící inventarizace. | X | X | Majetek, Citlivá data | |
| 20 | Krádež externími osobami | Nedostatečné oplocení, chybějící mříže, kamery či ostraha. | X | X | Venkovní rozvodny, Sklady | |
| 21 | Úmyslné poškození interními pracovníky | Nespokojenost zaměstnanců, absence psychologických testů. | X | X | Kritická infrastruktura | |
| 22 | Úmyslné poškození externími osobami | Vandalismus na odlehlých místech, sabotáž vedení. | X | X | Stožáry, Čidla, Kabely | |
| 23 | Sociální inženýrství | Chybějící školení uživatelů proti phishingu a vishingu. | X | X | Lidé (Management, Dispečeři) | |
| 24 | Sledování a odposlech | Absence politiky čistého stolu, nechráněné zasedací místnosti. | X | Strategická jednání | ||
| 25 | Selhání business procesů | Neexistující postupy pro krizové stavy, špatné workflow. | X | Fakturace, Řízení výroby | ||
| 26 | Nesprávné řízení bezpečnosti | Chybějící role manažera bezpečnosti, neprovádění auditů. | X | X | X | Celá organizace |
Zranitelnosti a hrozby se musí ohodnotit. Zatímco u zranitelnosti se hodnotí její míra tj. úroveň zneužitelnosti v kontextu firmy. U hrozby se hodnotí její pravděpodobnost.
Návrh hodnocení hrozeb
| ID | Stupeň | Význam | Časová frekvence výskytu | Typický příklad |
|---|---|---|---|---|
| T1 | A+ | Velmi vysoká | Neustále (denně až týdně). | Phishingové kampaně, automatizované skenování portů. |
| T2 | A | Vysoká | Pravidelně (několikrát za rok). | Výpadek ISP, lidská chyba při konfiguraci, selhání HW. |
| T3 | B | Střední | Občas (jednou za 1 až 3 roky). | Cílený hackerský útok, odchod klíčového admina. |
| T4 | C | Nízká | Výjimečně (jednou za 5 až 10 let). | Požár v blízkosti serverovny, cílená fyzická sabotáž. |
| T5 | D | Teoretická | Téměř nikdy (jednou za 50+ let). | Pád letadla na budovu, katastrofické zemětřesení v ČR. |
Z toho se pak vypočítá úroveň rizika tzv. koeficient rizika tj. pravděpodobnost hrozby a úroveň zranitelnosti:
RIZIKO = Hodnota aktiva x Pravděpodobnost hrozby x Existující zranitelnost
Současně se musí definovat, jaká hodnota rizika je pro firmu ještě akceptovatelná. Výstupem je:
- Hodnocení rizik - co s identifikovanými riziky (akceptace, sledování redukce, eliminace, vyhnutí nebo přenos a sdílení),
- Plán zvládání rizik - konkrétní opatření jak ta jednotlivá rizika eliminovat, např. přijetím a realizací konkrétních bezpečnostních opatření,
- Prohlášení o aplikovatelnosti - to je vlastně nová GAP analýza, jak si firma bude stát po realizaci těch opatření.