Analiza kibernetskega tveganja postaja zrelejša

Ta poletje je ameriška komisija za vrednostne papirje in borzo (SEC) poskrbela za novice z novimi pravili (glejte tiskovno sporočilo tukaj), ki zahtevajo, da morajo javno objavljena podjetja razkriti pomembne kibernetske incidente. Del "pomembnih" je pritegnil veliko kritik, predvsem zaradi povečanih stroškov skladnosti.

Bolj utemeljena skrb je potencial za obvezne razkriti o kibernetskih incidentih, da bi dejansko pomagali kibernetskim kriminalcem (glejte tukaj), tako da jim izročijo zemljevid, katere družbe ciljati in kako jih napasti - preglednost ni vedno v pomoč varnosti. Zahteve za poročanje bi uspešnim napadalcem lahko povedale, kdaj je podjetje izvedelo za napad, kaj podjetje ve o njem, in kakšne finančne posledice so verjetne (npr. koliko odkupa lahko napadalec dobi).

V vsakem primeru izvajanje novih pravil SEC zdaj razkriva zanimive podrobnosti o podjetjih, ki jih je nedavno prizadel kibernetski napad (glejte nedavne primere tukaj), saj začenjajo sprožati obvezna razkritja.

Ob branju postaja očitno, da podjetja, ki jih je prizadel ransomware ali drugi napadi na dobavno verigo, trpijo velike izgube tako pri prodaji kot pri četrtletnem dobičku.

Toda kaj pa druge stroške in izgube?

FAIR Institute, neprofitna organizacija, ki pomaga podjetjem meriti korporativno tveganje, že nekaj časa objavlja svoj model za ocenjevanje kibernetskega tveganja, ki ga že dolgo priznava kot standard za kvantitativno analizo kibernetskega tveganja.

Nedavno je organizacija posodobila svoj model, da upošteva tako nove pravila SEC kot tudi taktike akterjev groženj (predvsem ransomware) - FAIR model materialnosti ocene (FAIR-MAM).

Model FAIR-MAM lahko uporabimo za hitro oceno verjetnih materialnih izgub ob novem kibernetskem incidentu ali za sledenje incidentom, ko sčasoma postanejo materialni.

Zagotavlja bolj podroben razčlenitev in opis kategorij, ki prispevajo k velikosti izgube (tj. vpliv), kar je posebej koristno za določanje, kdaj postane izpostavljenost izgubi zaradi kibernetskega tveganja materialno tveganje za organizacijo.

Uporabno je, da se osredotočimo na 10 osnovnih modulov ali kategorij stroškov, ki prispevajo k skupnemu vplivu ali stroškom zaradi kibernetskega incidenta:

1. Stroški odziva in kazni za varovanje informacij o zasebnosti (zlasti izguba občutljivih osebnih podatkov)

2. Izguba zaupnih podatkov (izguba poslovnih skrivnosti ali drugih neopredmetenih sredstev)

3. Stroški prekinitve poslovanja

4. Kibernetska izsiljevanja (ransom)

5. Stroški odziva in obnovitve omrežne varnosti

6. Finančna goljufija (kršitev poslovne e-pošte in kraja sredstev)

7. Stroški medijskih vsebin, tj. stroški medijskega odziva

8. Fizično uničenje strojne opreme, tj. zamenjava strežnikov ali prenosnih računalnikov (če je potrebno)

9. Izboljšave po vdoru (obvezne in prostovoljne)

10. Stroški ugleda (kibernetsko zavarovanje, povečani stroški kapitala, obračanje zaposlenih, ohranjanje strank, tržna vrednost itd.)

Ta seznam olajša analizo obsega potencialne izgube in nazadnje postavi številko. Vredno je razmisliti o tem, tudi če niste podjetje, ki ga urejajo pravila SEC, saj bodo kibernetski napadi še naprej neovirano nadaljevali.