6.5.19

Оценка ущерба от инцидентов ИБ (возможный подход)

На ряде последних мероприятий по ИБ, в процессе общения с коллегами, я неоднократно слышал лестные отзывы о том, что ФСТЭК обещала подготовить и опубликовать до конца года методички по моделированию угроз для КИИ и по оценке ущерба для них же. А что же вы сейчас делаете, - спрашивал я у коллег. А мы ждем! Вдруг сделаем неправильно и ФСТЭК нас за это накажет в соответствие с планируемым штрафом по КоАП?! Очень интересная позиция, которая показывает, что мы никак не уйдем от этого идолопоклонства перед регулятором и надежду на то, что он-то уж лучше знает, как оценивать угрозы и ущерб для бизнеса, которым регулятор никогда не занимался.

И это при том, что у многих компаний, являющихся субъектами КИИ, уже проведены мероприятию по оценке рисков и разработаны примерно вот такие карты негативных бизнес-событий с экспертной оценкой их вероятности и размера последствий.


В анализе "кибернетических рисков", как иногда говорят чиновники и другие далекие от ИБ персонажи, они применяются давно и в целом безуспешно, разве что позволяя хоть как-то приоритезировать усилия по управлению ими. Правда, в условиях попытки оценивать вероятность будущих событий в непрерывно изменяющемся мире и технологий и угроз, выглядит это достаточно странно. Вчера у вас атак на блокчейн не было, сегодня тоже нет, значит ли это, что и завтра их не будет?


Ну да ладно. Фиг с ней, с вероятностью. Пусть будет экспертная оценка. Попробуем разобраться с ущербом. Вроде как умные люди на разных мероприятиях говорят, что с бизнесом надо говорить на языке бизнеса, а он понимает только язык денег. Поэтому ущерб надо считать в деньгах.


И вот тут наступает ступор. Причем не только у безопасников, но и у самого бизнеса, который далеко не все и не всегда считает именно "рублем" (не зря же в свое время придумали систему сбалансированных показателей), а безопасники с него требуют оценки именно финансовой. Но это не всегда и нужно. Если вернуться к набившему оскомину совету "говорите с бизнесом на его языке", то мы должны вспомнить, что бизнес - это операции, в результате которых субъект КИИ получает прибыль (ну или наращивает выручку, или увеличивает долю рынка). Соответственно нарушение этих операций влияет на бизнес-показатели организации и должно быть нейтрализовано. Или застраховано, или принято, если нарушение несущественно. Вот влияние киберугроз на бизнес-операции и должны быть оценено. Именно на бизнес-операции, а не вообще на то, что может быть измерено. А что может относиться к измеримым и универсальным показателям бизнес-операции? Изменение стоимости чего-то или количества чего-то (не забывая про время, которое влияет на оба показателя). Вот их-то мы и оцениваем при измерении ущерба. Например, вот ряд "универсальных" метрик при оценки ущерба (они могут встретиться почти в любой компании).


Само собой, могут быть и специфические метрики. Например, в рамках генерации электроэнергии может применяться вот такой показатель. За ним, безусловно, может стоять какой-нибудь инцидент ИБ, который и приводит к снижению генерируемых мощностей. А может и не стоять, что чаще всего и бывает. И тогда такой инцидент врядли заинтересует бизнес и уж точно, объект, на котором такой инцидент произойдет врядли будет считаться значимым.


Но иногда бизнес обращается внимание не только на показатели бизнес-операций. Например, в одной крупной отечественной финансовой организации председатель правления оценивает инциденты ИБ (именно он - ниже применяется более привычная классификация) по PR-масштабу. Попали сведения об инциденте в прессу - инцидент важный (даже если на бизнес-операции он напрямую никак не повлиял - а гудвил или репутационный ущерб у нас считать как-то непринято); не попали - неважный. Поэтому для таких инцидентов может потребоваться своя градация ущерба - от несущественного до катастрофического).


Разумеется, часть из описанных метрик являются результатом сложения метрик более детальных, получаемых в рамках декомпозиции. Например, тот же финансовый ущерб может складываться из следующих параметров:
  • стоимость прямых потерь от нарушения бизнес-операций
  • стоимость восстановления бизнес-операций
  • снижение стоимости акций (стрёмный показатель, но иногда тоже поддается измерению)
  • размер штрафов
  • упущенная выгода (если вы можете ее посчитать)
  • снижение лояльности заказчиков
  • замена оборудования или повторный ввод информации
  • взаимодействие с пострадавшими заказчиками
  • и т.д.
Подводя итог, хочется еще раз сформулировать ключевые области, которые стоит брать во внимание во время оценки ущерба от возможных инцидентов ИБ:
  • Что остановит или замедлит операции в вашей организации (что характерно, это применимо не только к коммерческим предприятиям, но и к государственным)?
  • Что приведет к снижению прибыли / выручки / маржинальности / доли рынка вашей компании?
  • Что приведет к снижению качества предоставляемого продукта / услуги?
  • Что приведет к негативному влиянию на цель компании / бизнес-подразделения / бизнес-проекта / executive sponsor?
А все остальное мы отбрасываем за ненадобностью, так как оно не несет ничего ценного для бизнеса и тратить на него ресурсы компании и свои время и энергию нецелесообразно.

Да, кстати. Ровно эта идея и заложена в ПП-127 по категорированию объектов КИИ. Но там оно описано слишком высокоуровнево и без примеров. Может в методике ФСТЭК это все будет, но появиться она в любом случае позже сроков составления перечня объектов КИИ, прописанных в ПП-127. Так что не тяните, а еще раз посмотрите на то, что вы делаете в контексте категорирования своих объектов КИИ и попробуйте посмотреть на эту задачу с точки зрения бизнеса. В кои-то веки у вас появляется возможность увязать свою деятельность с тем, что нужно ему, а не только регулятору.

2 коммент.:

Александр Германович комментирует...

Идолопоклонство здесь не причем. К интересам бизнеса закон 187-ФЗ никакого отношения не имеет, он об интересах государства. И именно государство (в лице регулятора) всегда может сказать бизнесу: "вы неверно определили угрозы", причем, даже не объясняя почему неверно. Или может заставить руководствоваться абсолютно неадекватной методикой 2007 года. И закон бизнес выполняет не потому, что это ему выгодно, а потому что есть ответственность.

Алексей Лукацкий комментирует...

Это не совсем так. Регулятор не может сказать "вы неверно определили угрозы", не имея для этого основания в виде нормативного акта. А его нет. Поэтому регулятора можно спокойно и абсолютно законно послать и если он не согласен, встретиться в суде.

Бизнес законы по ИБ не выполняет, так как это дороже, чем мизерная ответственность.