Analiza kibernetičkog rizika sazrijeva
Ovog ljeta, Uprava za vrijednosne papire i burze SAD-a (SEC) privukla je pažnju novim pravilima (vidi priopćenje za medije ovdje) koja zahtijevaju od javno izlistanih kompanija da obavijeste o materijalnim kibernetičkim incidentima. "Materijalni" dio privukao je mnogo kritika, prije svega usmjerenih na povećane troškove usklađivanja.
Ono što više zabrinjava je potencijal da obavezna izvješća o kibernetičkim incidentima zapravo mogu pomoći kibernetičkim kriminalcima (vidi ovdje), pružajući im putokaz koje kompanije ciljati i kako ih napasti - transparentnost ne pomaže uvijek sigurnosti. Zahtjevi za izvješćivanjem mogli bi napadačima reći u kojem trenutku kompanija sazna za napad, što kompanija zna o tome i kakve su financijske posljedice (tj. koliko otkupine napadač može dobiti).
U svakom slučaju, implementacija novih pravila SEC-a sada otkriva zanimljive detalje o kompanijama koje su nedavno bile pogođene kibernetičkim napadima (vidi nedavne primjere ovdje), jer ti incidenti počinju trigerirati izdavanje obaveznih izvješća.
Čitanjem tih izvješća postaje očigledno da kompanije pogođene ransomwareom ili drugim napadima na lanac opskrbe trpe značajan pad prodaje i kvartalne profitabilnosti.
Ali što je s drugim troškovima i gubicima?
Institut FAIR, neprofitna organizacija koja pomaže kompanijama u mjerenju korporativnog rizika, već neko vrijeme objavljuje svoj model za procjenu kibernetičkog rizika, što ga čini široko priznatim standardom za kvantitativnu analizu kibernetičkog rizika.
Nedavno je organizacija ažurirala svoj model kako bi uzeo u obzir nove SEC-ove propise i taktike prijetnji aktera (prije svega ransomware) - FAIR Model za ocjenu materijalnosti (FAIR-MAM).
FAIR-MAM model se može koristiti za brzo procjenjivanje vjerojatnog materijalnog gubitka uslijed novog kibernetičkog incidenta ili praćenje incidenta kako postaje materijalan tijekom vremena.
Ovaj model pruža detaljniju razgradnju i opis kategorija koje doprinose veličini gubitka (tj. utjecaju), posebno korisno za određivanje kada izloženost kibernetičkom gubitku postaje materijalni rizik za organizaciju.
Koristan je fokusirati se na 10 primarnih modula ili kategorija troškova koje doprinose ukupnom utjecaju ili trošku koji proizlazi iz kibernetičkog incidenta:
1. Troškovi odgovora na povredu informacija i kazne (posebno gubitak osjetljivih PII podataka) 2. Gubitak povjerljivih podataka (zaštićeni podaci ili drugi nematerijalni resursi) 3. Troškovi prekida poslovanja 4. Kibernetičke iznude (otkupnina) 5. Troškovi odgovora na sigurnost mreže i obnovu 6. Financijske prijevare (poslovna kompromitacija e-pošte i ukradena sredstva) 7. Medijski sadržaj, odnosno troškovi reakcije medija 8. Oštećenje hardvera, odnosno zamjena servera ili prijenosnih računala (ako je potrebno) 9. Unaprjeđenja nakon povrede (obavezna i dobrovoljna) 10. Troškovi ugleda (kibernetičko osiguranje, povećani troškovi kapitala, fluktuacija zaposlenika, zadržavanje klijenata, tržišna vrijednost itd.)
Ova lista olakšava analizu potencijalnih gubitaka i, konačno, postavljanje novčanog iznosa na njih. Vrijedi razmotriti to čak i ako niste kompanija podložna regulaciji SEC-a, jer kibernetički napadi će se nastaviti događati.