Почему риск-ориентированный подход не работает в промышленной кибербезопасности

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(2)
()
Вчера (28 сентября) я выступал на пленарной дискуссии конференции по промышленной кибербезопасности, устроенной Лабораторией Касперского в Санкт-Петербурге, и по ее результатам мне хотелось бы описать мысль, которую я пытался донести на мероприятии.


Идея моего пятиминутного выступления была очень простой - риск-ориентированный подход в промышленной кибербезопасности не работает. И причина тому проста - у нас отсутствует один из ключевых элементов формулы риска - вероятность его наступления. Как обычная она оценивается? Два классических подхода - оценка по фактам или оценка по ощущениям (она же экспертная). Первый метод, базирующийся на статистике, активно применяется в "офисной" ИБ, но не работает в промышленности, так как статистика инцидентов почти отсутствует или стремится к нулю. Да, у нас есть репозиторий инцидентов RISI, но даже в нем число примеров несравнимо с тем, что происходит и известно по обычным сетям. И строить на них адекватную картину не получается. Отсюда первый вывод - классическая оценка рисков по статистике (она же активно применяется и страховыми компаниями) в промышленной ИБ не работает. Пока не работает. Возможно, со временем ситуация изменится, число инцидентов будет расти (не хотелось бы), и тогда появится адекватная оценка вероятности происходящего.

Второй подход, экспертный, работает тоже из рук вон плохо, так как согласно психологии восприятия рисков человеку свойственно принижать проблемы, с которыми он не сталкивался. А мы, как уже видели выше, почти не сталкиваемся с серьезными инцидентами ИБ в своей практике, а если они и происходят, то мы считаем их случайностью. Если же инциденты случаются у наших коллег, то вступает в игру другое следствие из психологии восприятия рисков - предубеждение оптимизма, то есть классическое "с нами такого не случится" (достаточно вспомнить, сколько людей страхует свою жизнь, квартиру и т.п.). Второй вывод тоже прост - пока экспертная оценка работает тоже не очень хорошо. А тут еще и страшилки про сталелитейный завод к Германии (на конференции так никто и не назвал имени пострадавшей компании, но один человек по секрету на ушко мне сообщил, что он знает людей, которые точно знают, что произошло и где, но сам он этого не знает :-), которые только усиливает мнение бизнеса, что их стращают на пустом месте.

И вот тут мы подходим к неожиданному выводу - государство должно вмешаться и немножко порегулировать эту тему, так как бизнес сам не готов вкладывать в то, что может никогда не произойти или произойти с очень малой вероятностью. Но... не просто вмешаться, а сделать это грамотно и осмысленно. Для этого надо:

  • привлекать экспертное сообщество (из разных отраслей) до принятия каких-то управленческих решений
  • разработать понятные и дифференцированные критерии категорирования критических инфраструктур
  • разработать решения, которые учитывают отраслевую специфику
  • (самое главное) предоставить переходный период на реализацию разработанных требований (с этим у нас основная проблема и не только в промышленной ИБ). 


То есть задача государства в данном случае помочь бизнесу "войти в реку", а не бояться, толкаясь на берегу в ожидании когда "накроет". Именно помочь, а не кошмарить угрозами введения уголовной ответственности с 1-го января 2018 года (а она же вступает в силу уже через 3 месяца). И это именно тот редкий случай, когда государство должно "вмешиваться". В остальных случаях такое вмешательство с обязательными требованиями только вредит. В конце концов задача государственного регулирования заключается в том, чтобы найти баланс между интересами бизнеса, общества, граждан и государства и помочь в тех случаях, когда эти сущности не могут договориться между собой без участия властей. Поскольку пока в области промышленной ИБ бизнес не всегда видит необходимость инвестировать в защиту от того, что никогда не случалось, то государство должно предвосхитить эти инциденты, которые могут иметь катастрофические последствия, внедрив свое регулирование.
Оцените материал:
Total votes: 100
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя e.v.rodygin

Риск-ориентированый подход работает(для обоснования затрат) только там где в него верят. По честному он не работает нигде и это давно развенчаный миф...

И да, я об этом уже писал ;) 

up
6 users have voted.
Аватар пользователя riskmn

Забавная статья.

Алексей, ты говоришь, что у нас нет RM и предлагаешь его внедрять через регулирование. Логично, поскольку по-другому никто не будет в это вкладываться - дело ведь затратное.

Если уйти от классического понимания проблемы, то нечто "самопальное" (некие фрагменты) у нас имеются - пожарная, пром и прочее (это по наследству),

В СССР не считали ущерб от каждого риска - там было проще - не допустить аварий / простоев и подобное. Влияние военного времени - любая остановка - смерти подобна. Так и жили и все соблюдали....

. Системного подхода (как "за речкой") конечно нет - это верно. Так на глазок и с учетом здравого смысла....и авось.....

up
6 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.