CSIRT i CERT

1.3.1        Ryzyko

Przed zdefiniowaniem pojęć: zagrożenie, zdarzenie, incydent i atak, uważamy za konieczne zdefiniowanie przynajmniej pojęcia ryzyka, które jest bezpośrednio związane z pojęciami zdefiniowanymi w dalszej części.

Słownik interpretacyjny bezpieczeństwa cybernetycznego definiuje ryzyko jako: "(1) Niebezpieczeństwo, możliwość wystąpienia szkody, straty, niepowodzenia. (2) Wpływ niepewności na osiąganie celów. (3) Możliwość, że zagrożenie wykorzysta słabość zasobu lub grupy zasobów i wyrządzi szkodę organizacji. [1]

Ryzyko można również zdefiniować jako potencjalne zagrożenie, które może się urzeczywistnić i wykorzystać słabe punkty danego zasobu. Zgodnie z art. 4 ust. 9 NIS ryzyko definiuje się jako "wszelkie możliwe do określenia okoliczności lub zdarzenia, które mogłyby mieć negatywny wpływ na bezpieczeństwo sieci i systemów informatycznych. W cyberprzestrzeni na zagrożenia narażeni są użytkownicy, systemy i aplikacje komputerowe, które z nich korzystają, oraz inne elementy TIK.

Termin ryzyko wyraża prawdopodobieństwo wystąpienia niepożądanego zdarzenia. Stopień prawdopodobieństwa wystąpienia tego zdarzenia określa się za pomocą analizy ryzyka. Minimalne wartości standardowe dla metod identyfikacji, analizy, oceny i leczenia ryzyka są określone w normie EN 31010.

Valášek i in. [3] stwierdzają, że ocena ryzyka opiera się zwykle na trzech podstawowych pytaniach:

• Jakie złe (niepożądane) rzeczy mogą się wydarzyć? Co może się nie udać?
• Jaka jest możliwość/prawdopodobieństwo, że tak się stanie?
• Jak poważne (intensywność, wielkość itp.) mogą być skutki (wpływy, konsekwencje)?

Jednak, zdaniem Valáška, pytania te stanowią jedynie podstawowe ramy, w których można określić własne ryzyko. Oprócz tych trzech pytań zadawane są następujące pytania uzupełniające, które dotyczą ważnych czynników wpływających na charakterystykę ryzyka:

Dla każdego ryzyka obliczany jest poziom istotności ryzyka, który można wyrazić w następujący sposób:

Znaczenie ryzyka = Wpływ ryzyka * Prawdopodobieństwo wystąpienia ryzyka

"Wynikiem analizy ryzyka jest określenie znaczenia zdefiniowanego ryzyka. Każde ryzyko, biorąc pod uwagę zakres wymagań, ma różne skutki, które może wywołać. Wpływ lub konsekwencje ryzyka ocenia się w pięciopunktowej skali w następujący sposób:

Oprócz powyższego, ocena ryzyka musi uwzględniać także inne okoliczności, takie jak:

• nieodłączny charakter (rodzaj) ryzyka lub zagrożenia,
• podatność aktywów na zagrożenia,
• prawdopodobieństwo przekształcenia się ryzyka w zdarzenie lub incydent związane z bezpieczeństwem.

Analiza ryzyka jest bardzo trudna i wymaga znajomości aktywów, zagrożeń, a przede wszystkim doświadczenia w tej dziedzinie. Na podstawie analizy ryzyka można określić środki minimalizujące lub całkowicie eliminujące ryzyko.

1.3.2        Aktywa

Aktywa to wszystko, co ma wartość dla danej osoby, organizacji lub państwa.

Z punktu widzenia prawa cywilnego majątek może być rzeczą materialną (budynek, system komputerowy, sieć, energia, towary itp.) lub niematerialną (informacje, wiedza, dane, programy itp.).

Zasobem może być jednak również właściwość (np. dostępność i funkcjonalność systemu i danych itp.) lub reputacja itp. Z punktu widzenia bezpieczeństwa cybernetycznego zasobem są również ludzie (użytkownicy, administratorzy itp.) oraz ich wiedza i doświadczenie.

Zgodnie z sekcją 2(f) i (g) VoKB, aktywa dzielą się na pomocnicze i podstawowe.

Zasoby pomocnicze to zasoby techniczne, pracownicy i wykonawcy zaangażowani w eksploatację, rozwój, zarządzanie lub bezpieczeństwo systemu teleinformatycznego.

Podstawowym składnikiem aktywów jest informacja lub usługa przetwarzana lub dostarczana przez system teleinformatyczny.

1.3.3        Podatność na zagrożenia

Podatność na ataki to słaby punkt zasobu, oprogramowania lub zabezpieczeń, który jest wykorzystywany przez jedno lub więcej zagrożeń.

Podatność, podobnie jak zagrożenie, może być spowodowana różnymi czynnikami, na które składają się działania ludzkie, awarie techniczne i ewentualnie siła wyższa.

W dziedzinie cyberbezpieczeństwa podatności dzieli się na:

• znane (opublikowane) luki w zabezpieczeniach
  • załatane (naprawione) - typowym przypadkiem są luki w oprogramowaniu, dla których producent wydał już aktualizację
  • niezałatane (nieleczone) - podmiot, u którego wystąpiła luka (producent, administrator itp.) wie o niej, ale nie zapewnił jej usunięcia

• nieznane podatności
  • ukryte
  • nieodkryte

W przypadku nieznanych podatności istotne jest to, czy zostały one odkryte przez atakującego, producenta, analityka bezpieczeństwa, testera penetracyjnego czy użytkownika. Równie ważna jest motywacja osoby, która odkrywa słabe punkty.

Luki w zabezpieczeniach to potencjalne zagrożenia dla bezpieczeństwa. Luki w zabezpieczeniach można do pewnego stopnia wyeliminować poprzez konsekwentne aktualizowanie i wprowadzanie poprawek do całego oprogramowania. [5]

W rozporządzeniu w sprawie bezpieczeństwa cybernetycznego w załączniku 3 wymieniono przykładowo niektóre z tych słabych punktów. Zgodnie z tym dekretem, słabe punkty to:

1.     Niewłaściwa konserwacja systemu informacyjno-komunikacyjnego,

2.     przestarzałość systemu informacyjno-komunikacyjnego,

3.     Niewystarczająca ochrona obwodu zewnętrznego,

4.     Brak świadomości bezpieczeństwa wśród użytkowników i administratorów,

5.     nieodpowiednie ustawienia uprawnień dostępu,

6.     Nieodpowiednie procedury identyfikacji i wykrywania negatywnych zjawisk bezpieczeństwa, zdarzeń związanych z bezpieczeństwem cybernetycznym i incydentów bezpieczeństwa cybernetycznego,

7.     Nieodpowiednie monitorowanie użytkowników i administratorów oraz niewykrycie niewłaściwego lub problematycznego zachowania,

8.     niewystarczające określenie zasad bezpieczeństwa, niedokładne lub niejednoznaczne określenie praw i obowiązków użytkowników, administratorów i ról bezpieczeństwa,

9.     Niewystarczająca ochrona aktywów,

10.  nieodpowiednia architektura zabezpieczeń,

11.  Niewystarczająca niezależna kontrola,

12.  Niewykrycie we właściwym czasie niewłaściwego postępowania pracowników.