Analiza kibernetičkog rizika napreduje
Ovog ljeta američka Komisija za vrijednosne papire i berzu (SEC) privukla je pažnju novim pravilima (vidi saopćenje za medije ovdje) koja zahtijevaju od javno listiranih kompanija da priopšte materijalne kibernetičke incidente. "Materijalni" dio privukao je mnogo kritika, uglavnom usmjerenih na povećane troškove usaglašenosti.
Ono što više brine je zapravo potencijal da obavezno otkrivanje kibernetičkih incidenata može pomoći kibernetičkim kriminalcima (vidi ovdje), pružajući im putokaz o tome koje kompanije ciljati i kako ih napasti - transparentnost nije uvijek od pomoći sigurnosti. Prijave bi onda mogle reći napadačima kada kompanija sazna za napad, što kompanija zna o tome i kakve su finansijske posljedice (tj. koliko otkupninu napadač može dobiti).
U svakom slučaju, implementacija novih pravila SEC-a sada otkriva zanimljive detalje o kompanijama koje su najskorije pogođene kibernetičkim napadima (vidi nedavne primjere ovdje), jer ovi incidenti počinju pokretati obavezna priopćenja.
Čitanjem tih izvješća postaje očigledno da kompanije pogođene ransomwareom ili drugim napadima na lanac snabdijevanja trpe značajne gubitke u prodaji i kvartalnoj profitabilnosti.
Ali što je s ostalim troškovima i gubicima?
FAIR Institut, neprofitna organizacija koja pomaže kompanijama da mjere korporativne rizike, već neko vrijeme objavljuje svoj model za procjenu kibernetičkog rizika, čineći ga široko priznatim standardom za kvantitativnu analizu kibernetičkog rizika.
Nedavno je organizacija ažurirala svoj model kako bi uzela u obzir i nova pravila SEC-a i taktike prijetnji (poglavito ransomware) - FAIR Model za procjenu materijalnosti (FAIR-MAM).
FAIR-MAM model može se koristiti za brzu procjenu vjerojatnog materijalnog gubitka iz novog kibernetičkog incidenta ili praćenje incidenata kako postaju materijalni tokom vremena.
Pruža detaljniju strukturu i opis kategorija koje doprinose veličini gubitka (tj. uticaju), posebno korisno za određivanje kada izloženost kibernetičkim gubicima postaje materijalni rizik za organizaciju.
Korisno je fokusirati se na 10 primarnih modula ili kategorija troškova koje doprinose ukupnom uticaju ili trošku rezultirajućem iz kibernetičkog incidenta:
1. Troškovi odgovora na povredu informacija i kazne (posebno gubitak osetljivih ličnih podataka) 2. Gubitak vlasničkih podataka (izgubljeni poslovni tajni ili druga nematerijalna sredstva) 3. Troškovi prekida poslovanja 4. Kibernetičko ucjenjivanje (ransom) 5. Troškovi odgovora na mrežnu sigurnost i obnovu 6. Finansijska prevara (kompromitovane poslovne adrese e-pošte i ukradeni fondovi) 7. Medijski sadržaj, tj. troškovi medijskog odgovora 8. Oštećenje hardvera, tj. zamjena servera ili prenosnih računara (ako je potrebno) 9. Unapređenja nakon povrede (obavezna i dobrovoljna) 10. Troškovi ugleda (kibernetičko osiguranje, povećani kapitalni troškovi, odlazak zaposlenih, zadržavanje klijenata, tržišna vrijednost itd.)
Ovaj popis olakšava analizu mogućih gubitaka i, konačno, postavljanje novčanog iznosa. Vrijedi razmotriti ovo čak i ako niste kompanija regulisana od strane SEC-a, jer će se kibernetički napadi svakako nastaviti neometano.
