26.03.2014

О риск-ориентированном подходе и статистике инцидентов ИБ в АСУ ТП

После публикации сегодня заметки о статистике реальных инцидентов ИБ в индустриальных системах Ригель меня покритиковал, ссылаясь на то, что в случае с критичными инфраструктурами данный риск-ориентированный подход не применим и в любом случае надо исходить из того, что даже при минимальной вероятности угрозы ущерб от ее реализации может быть настолько значительным, что с такой угрозой надо считаться и защищаться от нее.

Могу сказать, что я с этим утверждением и не спорил и, более того, уже писал про него год назад :-) Но так как многие читатели моих заметок рассматривают их как независимые произведения, да еще и часто читаемые не на моем официальном блоге, а на реплицируемых его ресурсах, то они могли и не знать про мои предыдущие заметки по теме. Писать же каждый раз ссылки "по теме" или disclaimer'ы слишком долго и нудно. В итоге могло сложиться не совсем верное мнение, что опубликованная мной статистика может применяться для оценки рисков в индустриальных системах. Не совсем так.

В феврале прошлого года американский центр разведки и безопасности 21-го века опубликовал материал, который был посвящен именно этому вопросу. Если его резюмировать, то идея проста - оценка рисков критическим инфраструктурам бизнесом может закончиться тем, что на безопасность деньги тратиться не будут ввиду малой вероятности наступления риска (даже при большом размере ущерба). Иными словами бизнес будет просто игнорировать безопасность, опираясь на классический риск-ориентированный подход. И если для "офисной" безопасности это работает, то для критических инфраструктур просчет может стоить очень дорого - не в финансовом исчислении, а с точки зрения экологических катастроф или человеческих жертв. Поэтому в случае с критическими инфраструктурами (как и в случае с гостайной) защищать их надо в любом случае - невзирая на низкую вероятность угрозы. 

6 коммент.:

Михаил Ракутько комментирует...

И если для "офисной" безопасности это работает, то для критических инфраструктур просчет может стоить очень дорого - не в финансовом исчислении, а с точки зрения экологических катастроф или человеческих жертв.

Иными словами, формула матожидания ущерба по прежнему работает, но возможна неверная оценка ущерба или вероятности, правильно?

Алексей Беседин комментирует...
Этот комментарий был удален автором.
Алексей Беседин комментирует...

Михаил Ракутько
Не, смысл в том, что ущерб ВСЕГДА большой и распределяется на всех вокруг.

Компания то может и отряхнется, а экосистема, национальные, геополитические интересы, курс валюты и т.д. пострадают сильней, в свою очередь "эхом" вернут Компании неучтенный ущерб.
Риск-ориентированный подход не учитывает взаимосвязи смежных областей и защищает только "себя". А ущерб то суммарный для всех надо считать, все взаимосвязано.
Критические инфраструктуры и гос тайна не должна думать только о себе, а должна прикрывать и всех вокруг и не запустить "цепную реакцию".
Я так понимаю...

doom комментирует...

В данном случае сложнее всего оценить ущерб от реализации угрозы ИБ. От несанкционированного доступа к АРМ оператора АСУ ТП до реальной катастрофы - пропасть. И надо понимать, какими путями злоумышленник может придти к реальной катастрофе.

Евгений Родыгин комментирует...

Критическая инфраструктура... Тут коллеги забывают упомянуть о важном факте, который простому смертному в уши не дует... Очень удобно считать все что за забором - КИ и пыхтеть что ай ай ай... Однако, посмотрев ясным взором оказывается, что критичными окажутся 2-3 системы из 20-30 используемых... И тут поляна поиграться ого какая...

Алексей Беседин комментирует...

Евгений Родыгин
Согласен, и также не стоит забывать и о взаимосвязанности этих 2-3 систем как между собой, так и с оставшимся 20-30. Пробьют слабых, войдут в контур защиты и из внешних наушителей превратились во внутренних...