Share Fondacija

Procena rizika od sajber pretnji

Uvod

Sajber bezbednost je postala imperativ u modernom poslovnom okruženju, budući da su organizacije svih veličina i delatnosti često izložene raznim sajber pretnjama i rizicima. Kako se tehnologija razvija i digitalni prostor postaje sve prisutniji, sposobnost organizacija da adekvatno prepoznaju, procene i upravljaju sajber rizicima postaje ključni faktor njihovog dugoročnog uspeha.

U ovom tekstu proći će se kroz proces procene rizika i važnost stvaranja individualne matrice rizika prilagođene specifičnim potrebama organizacije. Razumevanje ovih koncepata omogućava organizacijama da bolje zaštite svoje digitalne resurse, identifikuju potencijalne pretnje i adekvatno smanje nivo rizika. 

Šta je sajber bezbednosni rizik?

Sajber bezbednosni rizici se odnose na gubitak poverljivosti, integriteta ili dostupnosti informacija, podataka ili informacionih (ili kontrolnih) sistema i odražavaju potencijalne negativne posledice na organizacione operacije (tj. misiju, funkcije, imidž ili reputaciju), imovinu, pojedince, druge organizacije i naciju.

Rizik sam po sebi ne mora biti ni pozitivan ni negativan. Rizik predstavlja mogućnosti / ranjivosti da neka potencijalna pretnja ugrozi neki resurs. Ta mogućnost predstavlja ustvari ranjivost organizacije: ako na primer zaposleni koriste slabe lozinke ili koriste slične lozinke za više naloga, to predstavlja ranjivost i postoji rizik da se lako otkriju lozinke i da napadač dobije pristup nalozima zaposlenog.

Rizik = Pretnja + Ranjivost + Uticaj (Vrednost imovine)

Organizacije svakodnevno upravljaju rizicima. Procena rizika sajber bezbednosti je proces identifikacije, analize i ocene rizika. Pomaže da se odredi koje su prakse, mere i procedure sajber bezbednosti adekvatne kao odgovor na  rizike sa kojima se suočava svaka organizacija, a da se dodatno ne izgube vreme, trud i resursi. Osim što poboljšava razumevanje bezbednosnih rizika i smanjuje nepovoljne poslovne ishode, tačna procena rizika osigurava i efikasno i efektivno raspoređivanje kapaciteta i preventivno reagovanje na rizik.

Ključni koraci procene rizika

Prvi korak jeste da se odrede digitalne vrednosti koje se žele zaštiti u organizaciji (na primer mejl nalozi, nalozi na društvenim mrežama, rezervne kopije podataka, uređaji, lokalna mreža, vebsajt organizacije), onda je potrebno prioritizovati te vrednosti na osnovu ozbiljnosti posledica koja bi nastale da se određena vrednost ugrozi i verovatnoće da ta vrednost bude ugrožena i potom je potrebno odrediti koje bi sve potencijalne pretnje mogle da ugroze digitalnu bezbednost organizacije i po potrebi konkretno svaku vrednost. 

Sledeći važni koraci jesu analiza svih do sada implementiran bezbednosnih mera i dobrih praksi u organizaciji kako bi se uočili nedostaci i potencijalne ranjivosti i kako bi se popravilo opšte preventivno reagovanje organizacije na rizike.

Matrica procene rizika

Matrice procene rizika su popularan alat za vizualizaciju rizika. Najčešća matrica je grafikon ili tabela koja preseca verovatnoću ostvarenja pretnje i ozbiljnost ili štetnost posledica. Zavisno od mesta gde se presecanje ove dve karakteristike rizika dogodi na osama, može se odrediti nivo rizika. Ovaj vizuelni alat omogućava organizacijama da analiziraju svoje rizike i prioritetizuju one koji zahtevaju hitno kontrolisanje i one koje mogu biti tolerisani.

Matrice rizika takođe pružaju trenutni pregled pretnji u određenom trenutku. Da bi se osigurala tačnost i adekvatnost matrice rizika, ovaj proces treba sprovoditi redovno, jednom godišnje ili kada postoji potreba za tim.

Matrica rizika odgovara na dva pitanja:

Koja je verovatnoća da će se ovi rizici dogoditi?

Kakve će biti posledice ovih rizika po organizaciju?

Važna pitanja

Procena rizika i pravljenje matrice rizika su subjektivne aktivnosti i zavise od trenutnog osećaja organizacije ili iskustava iz prošlosti, međutim postoje određena pitanja koja mogu pomoći da se što bolje odrede rizici. 

• Resursi koji treba da budu zaštićeni → identifikovati najranjivije resurse
• Identifikovati pretnje za svaki resurs → uzeti u obzir pretnje sa kojima ste se susreli u prošlosti
• Zašto mislite da je vaša organizacija bila ciljana ili bi mogla biti ciljana?
• Da li biste preduzeli mere protiv pretnje ili biste je zanemarili?
• Da li je taj rizik prihvatljiv za vašu organizaciju?
• Da li postoje mere (preventivne i reaktivne) koje se trenutno primenjuju u vašoj organizaciji u vezi sa digitalnom bezbednošću?
• Ko je odgovoran za sprovođenje ovih mera?
• Vremenski okvir za sprovođenje (kada biste reagovali)
• Kakvi su trenutni nedostaci digitalne bezbednosti vaše organizacije?

Nivo rizika

Nakon identifikacije svih mogućih rizika, sledeći korak je njihova analiza. Procena nivoa rizika označava procenu prihvatljivosti rizika po rad organizacije. 

Nivo Rizika = Verovatnoća + Ozbiljnost / Posledica

Tokom procesa kreiranja matrice rizika, potrebno je prioritizovati rizike, odnosno odrediti nivo rizika. 

Faktori koji se razmatraju prilikom prioritetizacije rizika uključuju:

• Potencijalni finansijski gubitak
• Izgubljeno vreme
• Ozbiljnost uticaja
• Dostupnost resursa za upravljanje rizikom

Analiza rizika pomaže organizacijama da razviju odgovore na ove rizike u zavisnosti od njihove ozbiljnosti i razumeju kako utiču na različite aspekte poslovanja.

Postoje sledeća 4 nivoa rizika:

• Ekstremni rizici (extreme)
• Veoma opasni rizici (high)
• Opasni rizici (medium)
• Minimalno opasni rizici (low)

Zavisno od nivoa rizika dalje se određuje način reagovanja i kontrolisanja ili umanjenja rizika.

Kako preventivno uticati na sajber bezbednosne rizike, odnosno kako se zaštititi?

Nakon detaljne analize rizika, rizici treba da budu rangirani po ozbiljnosti i zatim prioritetizovani. 

Rizici koji bi uzrokovali male ili nikakve neprijatnosti po svakodnevne aktivnosti organizacije predstavljaju minimalno opasne rizike i ne zahtevaju resurse da se njima upravlja, dok se rizici koji značajno utiču na rad i funkcionisanje organizacije smatraju ekstremno opasnim rizicima i zahtevaju posebno obraćanje pažnje na njih i korišćenje resursa da bi se ti rizici umanjili. 

Uobičajene strategije za ublažavanje rizika uključuju:

Kontrolisanje i smanjenje rizika – predstavlja strategiju gde je cilj da se uklane li smanje rizici, s tim da se treba imati u vidu da potpuno eliminisanje rizika nije moguće. Na šta se može uticati jeste na izvor rizika, eliminisanjem izvora rizika, može se ukloniti i potencijalni rizik. Smanjenje rizika se postiže primenom adekvatnih bezbednosnih mera i praksi. 

Stručna pomoć i konsultacije – predstavlja kontaktiranje eksterne IT podrške kako bi se efikasno reagovalo na identifikovane rizike. Ovo može uključiti i angažovanje eksternih konsultanata za procenu rizika i rešavanje bezbednosnih problema.

Implementacija dobrih bezbednih praksi – podrazumeva da se ustanove i sprovode bezbednosne politike i procedure u okviru organizacije kako bi se smanjili sajber incidenti. Takođe to podrazumeva i usklađenost sa sajber bezbednosnim standardima i regulativama. 

Edukacija zaposlenih i sticanje veština – ovo uključuje edukaciju zaposlenih o osnovnim konceptima rada i funkcionisanja informacionih sistema i sajber bezbednosti, kao što su prepoznavanje sajber pretnji, razumevanje rada računara i prepoznavanje potencijalno sumnjivih aktivnosti. Edukacija zaposlenih treba da obuhvati upoznavanje sa alatima za sajber bezbednost, kao što su antivirusni programi, firewall-ovi, password menadžeri, enkripcija i drugi alati i prakse koji pomažu u prevenciji rizika.

Redovno praćenje i analiza rizika – podrazumeva kontinuirano praćenje i analizu sajber prostora kako bi se brzo identifikovali novi rizici ili incidenti. Ovo uključuje i analizu trenutnog stanja u organizaciji i trenutnih potreba organizacije i poboljšavanje bezbednosnih strategija i procedura u skladu sa promenama. 

Podizanje nivoa kulture sajber bezbednosti – predstavlja promovisanje kulture sajber bezbednosti unutar organizacije, gde svaki zaposleni razume svoju ulogu u očuvanju bezbednosti i zna kako da reaguje u slučaju sajber rizika ili incidenata.

Ove strategije treba prilagoditi potrebama i mogućnostima vaše organizacije kako biste efikasno upravljali rizicima.

Proces upravljanja rizikom

Da sumiramo, postoji pet glavnih koraka u procesu upravljanja rizikom koje organizacije treba da prate:

Identifikacija potencijalnih rizika:

Ovaj korak podrazumeva prepoznavanje i dokumentovanje svih potencijalnih rizika sa kojima se organizacija može suočiti. To uključuje identifikaciju unutrašnjih i spoljašnjih faktora koji mogu uticati funkcionisanje organizacije. Ovom koraku treba da prethode identifikovanje i prioritizovanje digitalnih vrednosti i identifikovanje svih potencijalnih pretnji. 

Analiza rizika:

Nakon identifikacije rizika, organizacija treba da sprovede dublju analizu kako bi razumela njihovu verovatnoću i uticaj na poslovanje. U ovom koraku se kreira matrica rizika. 

Evaluacija rizika:

U ovom koraku, organizacija procenjuje nivoe rizika u skladu sa klasifikacijom u matrici. Rizici se obično klasifikuju kao ekstremni, visoki, umereni ili niski, što pomaže organizaciji da usmeri svoje resurse na najvažnije pretnje.

Tretiranje rizika:

Ovaj korak obuhvata donošenje odluka o tome kako će se postupiti sa identifikovanim rizicima. Postoje četiri osnovne strategije za upravljanje rizicima: prihvatanje (ako je rizik nizak ili se može prihvatiti), izbegavanje (ako je moguće), smanjenje (preduzimanjem preventivnih mera) i prenošenje rizika (npr. putem osiguranja). Organizacija treba da odabere odgovarajuću strategiju za svaki identifikovani rizik.

Redovno praćenje i pregled rizika:

Upravljanje rizikom nije statičan proces, već dinamičan. Organizacija treba neprestano da prati i pregleda rizike kako bi bila sigurna da su identifikovani rizici još uvek relevantni i da se nisu promenili. Takođe je važno pratiti i efikasnost primenjenih strategija za upravljanje rizicima i prilagoditi ih ako je potrebno u skladu sa promenama u organizaciji. 

Ovaj proces upravljanja rizikom pomaže organizacijama da bolje razumeju svoje izazove i pretnje, bolje se pripreme za njih i smanje potencijalne negativne uticaje na poslovanje.

Koristan alat za procenu rizika od sajber pretnji

RAWRR je open-source alat koji automatizuje sve navedene korake i kreira matricu rizika. Na jednostavan način mapira rizike i daje mogućnost generisanja izveštaja. U RAWRR možete da unesete sve vrednosti koje želite da zaštitite i uporedo sa tim unosite i sve potencijalne pretnje. Postoji opcija da se doda i deo o merama i praksama koje se do sada primenjuju u organizaciji, a pored toga i deo u kom možete da unesete sve nove mere i dobre prakse koje bi bile korisne za preventivno delovanje i umanjenje rizika. Dostupan je na nekoliko jezika i moguće ga je prevoditi i lokalizovati i na nove jezike.

Zaključak

Procena rizika pomaže identifikaciju ključnih digitalnih resursa koji bi mogli potencijalno biti ugroženi raznim pretnjama sajber bezbednosti. Omogućava organizacijama da planiraju odgovarajuće mere sajber bezbednosti i smanje šanse da se rizici ostvare. Međutim, nije uvek moguće potpuno eliminisati rizike.

Organizacije moraju kreirati individualne matrice rizika prema svojim poslovnim potrebama, i te matrice treba smatrati poverljivim.

Ninoslava Bodganović je ekspertkinja za sajber bezbednost u SHARE Fondaciji. Njeno polje delovanja su analiza stanja digitalne bezbednosti i izgradnja bezbednosnih mera i procedura u organizacijama za zaštitu od sajber napada, kao i pružanje pomoći u slučaju sajber incidenata.

Čitaj još:

• Sve što ste hteli da znate: forenzika mejlova
• Hakerspejsovi i zajednice u Srbiji
• Kako je Novi Sad otet i zaključan: studija slučaja ransomver napada