Hirdetés
. Hirdetés

Cyber Risk Quantification, azaz a kiberkockázatok számszerűsítése

|

A CRQ még egy kevéssé ismert fogalom Magyarországon, de mielőtt bemutatnánk magát a modellt, ami csupán csak egy eszköz, lépjünk pár lépést hátrébb és nézzük meg mire is használható ez az eszköz... egyáltalán mitől is nevezhetünk "jónak" egy kockázatkezelési programot?

Hirdetés

A cikk a ComputerTrends magazin 2024. február 14-ei lapszámában jelent meg.

A válasz a kérdésre az lehet, hogy akkor, ha hatásosan tud támogatni döntéshozatalt. A kockázatkezelés fontos döntései azok, melyek azzal foglalkoznak, hogy egy adott kockázat kezelésére fordított erőforrások hogyan viszonyulnak a kockázatcsökkentés mértékéhez. Tehát ha van egy feltárt kiberkockázatunk, akkor maximálisan mennyi pénzt érdemes költenünk annak csökkentésére (mitigációjára), vagy éppen transzferálásra (pl. biztosítással történő lefedésére) annak érdekében, hogy a maradvány (reziduális) kockázatunk az általunk már elfogadható szintre csökkenjen. Ez egy teljesen jogos kérdés mondjuk a CIO-tól, de a megválaszolása a hagyományos piros-sárga-zöld (kvalitatív) kockázatkezelési megközelítésekkel komoly problémába ütközik.

Tehát innen visszatekintve a fenti kijelentésünkre, miszerint akkor nevezhetünk jónak (komoly hozzáadott értékkel bírónak) egy kockázatkezelési programot, ha az hatásosan támogat döntéshozatalt, könnyen belátható, hogy a megtérülés számszerűsítése (Cyber ROI) nélkül nem beszélhetünk megalapozott döntéshozatalról.

Vegyünk egy példát: az, hogy a Red Team vagy éppen a Pentester csapat egy magas kockázatú (piros) észrevételt tett, amely kezelésére mondjuk MFA kiterjesztése szükséges a külsős fejlesztői körre, továbbá a hálózati szegmentációt is újra kell gondolni, nagyjából 400.000 USD értékben és lévén, hogy a kockázat kritikus, ezt a pénzt el kell költeni, az nem nevezhető egy hatásosan megtámogatott döntéshozatalnak.

Hirdetés

Compliance (pl. PCI-DSS, DORA, NIS2 stb.) szempontból persze megfelel egy csupán csak e pontig eljutó kvalitatív kockázatkezelési program, viszont legalább a nagyobb pénzügyi hatású döntések esetén elvárható lenne a kockázatkezeléstől, hogy meg tudja mondani azt is, hogy a 400.000 USD befektetésével a kockázati kitettségünk 200.000 vagy éppen 2.000.000 USD-vel csökken, mert ez nagyon nem mindegy.

Pontosan ezt a célt szolgálja a CRQ, mely a kockázati kitettség kvantitatív (pénzértékben történő) kifejezését segít megvalósítani.

A fenti szcenárió CRQ alkalmazásával a következőképp nézne ki: egy eloszlás függvényt rajzolnánk fel, ahol az x tengelyen a teljes kockázati kitettség van feltüntetve pénzértékben kifejezve, az y tengelyen pedig a veszteség bekövetkezési valószínűsége:

A teljes kockázati kitettség alatt egyrészt a bekövetkezett káresemény közvetlen hatásaként jelentkező, úgy nevezett elsődleges veszteséget értjük (pl. bevételkiesés, helyreállítás költsége stb.), másrészt pedig azon másodlagos veszteségeket is, amelyek külső érdekeltek (stakeholder-ek) negatív reakcióiból származnak (pl. hatósági bírság).

Az ábrát elemezve látszik, hogy 80%-os bekövetkezési valószínűsége van annak, hogy minimum 1,7 millió USD veszteséget leszünk kénytelenek elkönyvelni az adott kockázati szcenárió kapcsán. Egy újabb kvantifikáció lefuttatásával azt is meg tudjuk mondani, hogy a 400.000 USD értékű befektetéssel a kockázati szintet várhatóan 700.000 USD-re tudnánk csökkenteni:

A két és félszeres megtérülést látva tehát valóban megalapozottan állíthatjuk, hogy a feltárt magas kockázatot érdemes mitigálni 400.000 USD befektetésével.

Még hasznosabb azonban, ha ezt a kvantifikációs eljárást lefuttatjuk a többi jelentősebb kockázati szcenárióinkra is:

Itt mutatkozik meg a modell döntéstámogató ereje igazán: nem kérdés, hogy az elsődleges prioritás az A kockázat kezelése lesz, a D esetén pedig a kockázat elfogadása javasolandó.
Viszont, ha csupán az utolsó, kvalitatív kockázati besorolást tartalmazó oszlop adataira támaszkodnánk, akkor valószínűleg rosszul priorizálnánk és a B kockázat kezelését vennénk előre…

Végszóként annyit jegyeznénk meg, hogy a kvantifikációs modell nem varázsgömb, ez is csak egy modell: a rendkívül komplex valóság egy szükségszerűen leegyszerűsített képe, így a jövőből visszamérve a fenti számok egészen biztosan "rosszak" lesznek. Viszont ahhoz elég jók, hogy a helyes döntések szülessenek meg általuk. Ennél többet pedig nem is várhatunk a kockázatkezeléstől.

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.