Poté, co jsme si udělali přehled o všech datech, jejich umístění, přístupech k nim a jejich tocích, poté co jsme totéž udělali se všemi dalšími aktivy (stolní počítače, tiskárny, notebooky, telefony, programy a aplikace atd.), poté co jsme analyzovali veškeré procesy s nimi související, máme přiměřené množství informací, abychom se mohli začít věnovat analýze hrozeb a řízení rizik.
Rizika chceme znát a řídit proto, abychom věděli, kde nás aktuálně nejvíc tlačí bota. Na co se prioritně zaměřit, kam vrhnout omezené zdroje. Kde bude jejich užití nejvíce efektivní. A také abychom mohli v dlouhodobějším horizontu na základě konkrétních dat vyhodnocovat, zda se v kyberbezpečnosti postupně zlepšujeme, nebo naopak.
Hrozba, zranitelnost a riziko
Nejdříve si však musíme vyjasnit tři důležité pojmy, které se často navzájem zaměňují:
- Hrozba („threat“) je potenciální příčina nechtěného incidentu, která může vést k poškození či zneužití systému, zařízení, dat nebo služby organizace. Podle jedné z definic je hrozba něco, co je schopno narušit běžný či řádný stav věcí a zasáhnout do práv jiných subjektů.
- Zranitelnost („vulnerability“) je slabina, kterou může hrozba využít, aby se zhmotnila.
- Riziko („risk“) je součin pravděpodobnosti, že se hrozba zhmotní a stane se incidentem, a velikosti dopadu takového incidentu na organizaci.
Příkladem hrozby může být phishingový útok cílený na vylákání bankovních přístupových údajů. Zranitelnost v takovém případě může mj. představovat nedostatečně proškolený a trénovaný člen či členka pracovního týmu.
Útoky tohoto typu jsou přitom zaznamenávány poměrně běžně, bez ohledu na charakteristiku organizace či hospodářský účel jejich existence. Pravděpodobnost, že se takový útok může uskutečnit, je vysoká. Krádež finančních prostředků z účtu organizace přitom má obvykle velký dopad na její provoz. Riziko je v takovém případě rovněž vysoké.
Vztah mezi hrozbou a rizikem je tedy takový, že hrozba představuje potenciální nebezpečí, zatímco riziko je pravděpodobnost a potenciální dopad zhomtnění tohoto nebezpečí na konkrétní aktiva (data, systémy, identity).
Zároveň také platí, že pokud existuje hrozba, ale nejsou k dispozici žádné zranitelnosti, které by tato hrozba mohla využít, nebo pokud dopad úspěšného útoku je minimální, pak je i riziko nízké. Naopak, i malá hrozba může představovat vysoké riziko, pokud zranitelnosti jsou závažné a/nebo početné a potenciální dopad je zároveň vysoký.
Hodnocení rizik „na koleně“
Pro základní hodnocení rizik můžeme využít jednoduchou matici 3×3, kde na jedné ose hodnotíme frekvenci (pravděpodobnost výskytu) hrozby (1-3) a na druhé ose míru dopadu incidentu na organizaci (1-3):
Pravděpodobnost výskytu hrozby:
1 – Nízká
2 – Střední
3 – Vysoká
Míra dopadu:
1 – Nízká
2 – Střední
3 – Vysoká
Výsledek:
Vynásobením obou hodnot získáme číslo od 1 do 9, které nám určuje míru rizika (nebo také prioritu pro řešení potřebných opatření):
1-3: Nízká priorita
4-6: Střední priorita
7-9: Vysoká priorita
Příklad 1:
- Hrozba: Požár v kanceláři
- Frekvence: 1 (Nízká)
- Dopad: 3 (Vysoký)
- Výsledek: 1 x 3 = 3 (Nízká priorita)
Příklad 2:
- Hrozba: Phishingový útok
- Frekvence: 3 (Vysoká)
- Dopad: 3 (Vysoký)
- Výsledek: 3 x 3 = 9 (Vysoká priorita)
| Frekvence nízká | Frekvence střední | Frekvence vysoká | |
| Míra dopadu nízká | 1 | 2 | 3 |
| Míra dopadu střední | 2 | 4 | 6 |
| Míra dopadu vysoká | 3 | 6 | 9 |
Prioritizace a řešení rizik
Rizika s vysokou prioritou (7-9) je potřeba řešit co nejdříve to bude možné. Rizika se střední prioritou (4-6) je nutné sledovat a výhledově zavést opatření na jejich snížení. Ta s nízkou prioritou (1-3) můžeme monitorovat a řešit je v případě změny okolností. V uvedených příkladech se jedná o velice zjednodušené hodnocení rizik. Pro účel menších neziskových organizací je však dostačující.
Uvedenou matici však lze podle potřeb organizace modifikovat a přizpůsobovat, např. škálovat na podrobnější měřítko 3×5, 5×5 nebo 10X10 (pak počítáme a srovnáváme rizika na ose 1 až 15, resp. 1 až 100). Záleží, nakolik přesně a jemně jsme schopni posoudit pravděpodobnost výskytu hrozby a dopad incidentu na organizaci.
| Frekvence 1 | Frekvence 2 | Frekvence 3 | Frekvence 4 | Frekvence 5 | |
| Dopad 1 | 1 | 2 | 3 | 4 | 5 |
| Dopad 2 | 2 | 4 | 6 | 8 | 10 |
| Dopad 3 | 3 | 6 | 9 | 12 | 15 |
| Dopad 4 | 4 | 8 | 12 | 16 | 20 |
| Dopad 5 | 5 | 10 | 15 | 20 | 25 |
Typy opatření na snížení rizika:
- Preventivní opatření: Zaměřují se na odstranění zranitelností a snížení pravděpodobnosti výskytu hrozby (např. firewall) nebo snížení dopadu incidentu (např. zálohování dat).
- Detektivní opatření: Slouží k včasnému odhalení hrozby (např. monitoring IT systémů, bezpečnostní audit).
- Reaktivní opatření: Uplatňují se po vzniku incidentu (např. havarijní plán, obnovení dat ze zálohy).
Manažer kyberbezpečnosti jako křeček v kolečku
Nebo spíš na spirále vedoucí vzhůru?
Analýza hrozeb a řízení rizik není jednorázový proces, abychom skokově zvýšili svou kyberbezpečnost a měli nadobro vystaráno. Je to stále se opakující, nikdy nekončící série různých úkonů. Koloběh, během kterého musíme stále znova vyhodnocovat nové informace a reagovat na ně. Některé hrozby časem vznikají a jiné zanikají, mění se pravděpodobnost jejich výskytu (ideálně i díky našim proaktivním opatřením), zavedenými opatřeními průběžně snižujeme dopad možných incidentů na organizaci. Takže se průběžně v čase mění i hrozby, jejichž řešení nám z řízení rizik vychází jako prioritní.
Aby bylo možné tento proces efektivně řídit, je dobré si určit pevné (přiměřeně pohodlné) lhůty pro:
- analýzu a hodnocení hrozeb a rizik (např. 1x ročně, 2x ročně apod.) a návrh opatření;
- zavedení nových opatření (např. 4 měsíce);
- vyhodnocení opatření a hodnotící zpráva o předchozím období (např. 2 měsíce);
a vědět, v jaké fázi se zrovna pohybujeme. A také celý proces pečlivě dokumentovat.
Jaké jsou „naše“ hrozby?
Ale jak zjistit, co jsou vlastně konkrétní hrozby, které musíme zrovna my řešit? Není v tom vlastně žádná složitost, položme si jednoduché otázky:
- Co špatného by se mohlo stát?
- Co se může pokazit?
- V čem kde můžeme udělat chybu?
- Kde cítíme, že jsme laxní a neměli bychom být?
A hledejme odpovědi. Nejprve sami. A pak společně v týmu. Vizualizujme si běžný pracovní den, naše úkony. A zapojme fantazii. Vžijme se do role útočníků a zkusme vymyslet, jak bychom naší vlastní organizaci mohli efektivně uškodit, kdybychom byli v jejich roli. Nezapomínejme na nechtěné události, ze kterými nemusí být zlý úmysl. A také neopomiňme přírodní živly.
Odhalování potenciálních hrozeb může být dobré téma teambuildingové aktivity. Je to vlastně taková detektivka, která může zcela přirozeně prohloubit povědomí spolupracovníků a spolupracovnic o kyberbezpečnosti. Nebo jim ukázat nové dimenze, jak o kyberbezpečnosti v jejich každodenním pracovním životě přemýšlet. A tedy i motivovat, aby různá opatření skutečně dodržovali*y. Nebojte se tedy do analýzy a řízení rizik zapojit celý tým.
