Почему управление рисками не работает?

Тим Уилсон
DarkReading

В двух докладах, опубликованных за последние время, описывается трудоемкость традиционного подхода к расчету рисков на предприятии, и предлагаются новые способы вычисления рисков, учитывающие угрозы, специфические для конкретной отрасли, и потенциальные выгоды от внедрения инноваций.

Сегодня компания Verizon выпустила дополнение к отчету на тему взлома данных, который был опубликован в этом году ранее (см. Исследование Компанией Verizon Связи Внешних Атак с Внутренними Ошибками (Verizon Study Links External Hacks to Internal Mistakes)). Исследование, в котором факторы риска для шести различных отраслей сравнивались на основе данных о реальных судебных делах в области информационной безопасности, показало, что вероятность осуществления конкретных видов атак не одинакова для различных отраслей.

В другом независимом отчете, а именно в докладе Комитета RSA по Информационной Безопасности при Совете по Бизнес-Инновациям (Business Innovation Council), также рекомендуется использовать новый метод оценки рисков, в котором более тщательно сопоставляются потенциальные экономические выгоды и угрозы безопасности.

В докладе Verizon представлен обобщенный анализ 530 судебных разбирательств по взлому данных, которые компания провела на крупных предприятиях. Исследователи проанализировали распределение причин взломов по отраслям и выявили типы атак, наиболее распространенные в каждой из отраслей.

Выяснилось, что вероятность некоторых видов атак сильно отличается для различных сфер бизнеса. Например, в сфере финансовых операций Verizon выявили большое число сложных атак, организованных совместно внешними злоумышленниками и внутренними сотрудниками фирмы, а также атак с применением социальной инженерии. Вероятность внутренних, внешних и «совместных» атак здесь находится в пределах от 38 до 56 %.

В то же время в пищевой промышленности наблюдались гораздо более простые атаки. Вероятность внутренних атак составляет здесь всего 4 %, в то время как вероятность внешних и совместных атак - 70-80 %.

«Атаки, наблюдаемые в сфере финансовых операций, нетривиальны и изощренны», – говорит Брайан Сартин (Bryan Sartin), один из авторов доклада Verizon. «В сфере питания же, наоборот, мы встретили множество повторяющихся атак типа компрометации данных in-a-box, таких [...] как бывает, когда грабители обнаружат, что если определенным образом стукнуть по кассовому аппарату, то он откроется».

Исследователи из Verizon обнаружили похожие различия в сложности атак и подходах к взлому данных и в других отраслях, в том числе в сферах розничной торговли и высоких технологий. Так, в розничной торговле отмечается самое большое количество инцидентов и в то же время наиболее низкий уровень сложности атак. В сфере же высоких технологий в связи с высоким уровнем технической образованности сотрудников внутренние атаки происходят чаще, чем в какой-либо другой отрасли.

Эти исследования показывают, по словам Сартина (Sartin), что использование обобщенных методов расчета рисков (например, вероятности внутренних атак) может дать ошибочные результаты, если не учесть специфику конкретной сферы деятельности. Несмотря на то, что существует множество методов расчета трендов атак, лишь немногие из них учитывают тип рассматриваемой отрасли, и это упущение, как предполагает Сартин (Sartin), может оказаться критическим для точности полученных результатов.

В то время как Verizon указывает на необходимость учитывать при оценке рисков специфику отрасли, Комитет RSA по Информационной Безопасности при Совете по Бизнес-Инновациям (Business Innovation Council), состоящий из директоров по информационной безопасности и других специалистов в этой области, опубликовал вчера доклад, в котором также рекомендуется пересмотреть используемые подходы к вычислению рисков.

В этой работе совет RSA «проанализировал, почему традиционные методы оценки угроз информационной безопасности не работают в современных условиях, когда каждая бизнес-инновация влечет за собой повышение уровня риска для данных». В исследовании делается вывод о необходимости разработки нового метода вычисления рисков, в котором больше внимания уделялось бы особенностям отрасли, а не специфическим проблемам IT-безопасности.

В сущности, в этом докладе указывается на то, что современные модели управления рисками больше ориентированы на угрозы, связанные с уязвимостями и стоимостью их устранения. Однако такие модели часто не принимают в расчет потенциальную экономическую выгоду от внедрения новых сетевых и web-возможностей. Таким образом, как отмечают авторы, слишком много внимания уделяется рискам и слишком мало – выгодам.

В работе RSA предлагается новый подход к управлению рисками, при котором каждая инициатива в области IT будет проходить через процесс определения выгод от нее, прежде чем подвергнуться оценке бизнес- и IT-организациями на предмет рисков.

Идея состоит в том, чтобы создать дополнительное поле взаимодействия между технической и бизнес-сторонами так, чтобы обе эти стороны осознавали как потенциальные риски, так и потенциальные выгоды и уже на основе этого принимали решение о дальнейших действиях. В докладе даже описывается процесс принятия решения, когда две стороны не могут прийти к единому мнению в ходе обсуждения рисков и выгод, и рекомендуется создание «совета по рискам в компаниях», в который вошли бы представители из всевозможных отраслей бизнеса.

«Любая бизнес-инновация описывается своим соотношением риск-выгода», – говорится в статье. «Если служба информационной безопасности работает только над снижением уровня риска и не уделяет должного внимания потенциальным выгодам, это может привести установлению непреодолимых препятствий на пути инноваций. Необходимо коренным образом менять такой подход к развитию».