Analiza kibernetičkih rizika napreduje
Ovog leta, Uprava za hartije od vrednosti i berzu Sjedinjenih Američkih Država (SEC) privukla je pažnju novim pravilima (vidi saopštenje za štampu ovde) koja zahtevaju od kompanija koje se kotiraju na berzi da obelodane materijalne kibernetičke incidente. Deo o "materijalu" privukao je mnogo kritika, pre svega usmerenih na povećane troškove usaglašenosti.
Validnija zabrinutost je potencijal da obavezno obelodanjivanje kibernetičkih incidenata zapravo pomogne sajber kriminalcima (vidi ovde), tako što će im pružiti plan na koje kompanije da ciljaju i kako da ih napadaju - transparentnost nije uvek od pomoći kada je u pitanju bezbednost. Izveštaji bi tada mogli reći uspešnim napadačima kada je kompanija saznala o napadu, šta kompanija zna o tome i kolike će verovatno biti finansijske posledice (tj. koliko otkupa napadač može dobiti).
U svakom slučaju, primena novih pravila SEC-a sada otkriva zanimljive detalje o kompanijama koje su nedavno pogođene kibernetičkim napadima (vidi nedavne primere ovde), jer su ti incidenti počeli da pokreću obavezna obelodanjivanja.
Čitanjem tih izveštaja postaje očigledno da kompanije koje su pogođene ransomverom ili drugim napadima na lanac snabdevanja trpe značajne gubitke kako u prodaji, tako i u kvartalnoj profitabilnosti.
Ali šta je sa drugim troškovima i gubicima?
FAIR Institut, neprofitna organizacija koja pomaže kompanijama da mere korporativne rizike, već neko vreme objavljuje svoj model za procenu kibernetičkih rizika, čineći ga široko prepoznatim standardom za kvantitativnu analizu kibernetičkih rizika.
Nedavno je organizacija ažurirala svoj model kako bi uzeo u obzir kako nova pravila SEC-a, tako i taktike aktera pretnji (pre svega ransomvera) - FAIR Model za procenu materijalnosti (FAIR-MAM).
FAIR-MAM model može se koristiti kako bi se brzo procenila verovatna materijalna šteta nastala usled novog kibernetičkog incidenta ili pratili incidenti kako postaju materijalni tokom vremena.
On pruža detaljniju razradu i opis kategorija koje doprinose veličini gubitka (tj. uticaju), posebno korisnu za određivanje kada izloženost kibernetičkim gubicima postaje materijalni rizik za organizaciju.
Korisno je fokusirati se na 10 glavnih modula ili kategorija troškova koje doprinose kumulativnom uticaju ili trošku nastalom usled kibernetičkog incidenta:
1. Troškovi reagovanja na povredu informacione privatnosti i kazne (posebno gubitak osetljivih ličnih podataka) 2. Gubitak podataka o intelektualnoj svojini (poslovne tajne ili drugi nematerijalni resursi izgubljeni) 3. Troškovi prekida poslovanja 4. Kibernetička ucena (otkup) 5. Troškovi reagovanja i obnove mrežne bezbednosti 6. Finansijska prevara (prevara u poslovnoj e-pošti i ukradeni fondovi) 7. Troškovi medijskog sadržaja, tj. troškovi medijskog reagovanja 8. Oštećenje hardvera, tj. zamena servera ili laptopova (ako je potrebno) 9. Unapređenja nakon prekida (obavezna i dobrovoljna) 10. Troškovi ugleda (kibernetičko osiguranje, povećani kapital, fluktuacija zaposlenih, zadržavanje klijenata, tržišna vrednost itd.)
Ova lista olakšava analizu potencijalnih gubitaka i, konačno, stavljanje brojčanog iznosa na njih. Vredi je razmotriti čak i ako niste kompanija pod regulacijom SEC-a, jer će kibernetički napadi nastaviti da se odvijaju bez obzira na to.
