Încercare de plasare a conceptului de risc cibernetic în domeniul extins al
managementului riscului
I. Managementul riscului vs managementul riscului cibernetic
Managementul riscului și managementul riscului cibernetic sunt două domenii strâns legate, dar distincte,
care se completează reciproc în cadrul unei organizații.
Managementul riscului reprezintă un domeniu larg care implică în linii mari identificarea, evaluarea și
gestionarea riscurilor pentru a proteja organizația în a-și atinge obiectivele. Acesta acoperă o gamă
extinsă de riscuri, inclusiv riscuri financiare, operaționale, legale, de pierdere a reputației. Managementul
riscului vizează identificarea și evaluarea riscurilor în toate aspectele operaționale ale organizației și
dezvoltarea unor strategii și planuri de gestionare a acestora.
Din acest punct de vedere, riscurile cibernetice intră în aria generală de interes a managementului riscului
într-o organizație.
Risc operațional
Risc financiar
Risc reputațional
Risc de piață
Risc cibernetic
Pe de altă parte însă, securitatea cibernetică s-a detașat în ultima perioadă ca domeniu separat sub umbrela
generală a securității IT, în urma digitalizării agresive a celor mai multe industrii/domenii: financiar,
sănătate, energie/utilități, IT/telecomunicații, transport, retail, producție, sector public.
Ca urmare, managementul riscului cibernetic se concentrează în mod specific pe identificarea,
evaluarea și gestionarea riscurilor cibernetice. Aceasta implică protejarea activelor digitale, a
sistemelor informatice, a rețelelor și a datelor împotriva amenințărilor cibernetice. Managementul riscului
cibernetic abordează riscuri generate de amenințări care speculează vulnerabilități tehnice ale organizației,
cu consecințe manifestate de asemenea în plan financiar, operațional, legal, de pierdere a reputației.
Din această perspectivă, se poate considera că un risc cibernetic, la origine de natură pur tehnică, este per
se în același timp și un risc de business.
Risc operațional
Risc financiar
Risc cibernetic
Risc cibernetic
Risc reputațional
Risc de piață
Risc cibernetic
Risc cibernetic
Ca urmare:
La nivel organizațional este obligatorie continua comunicare și coordonare între Risk Manager (RM) și Chief
Security Officer (CSO) pentru a asigura o abordare integrată și eficientă a gestionării riscurilor și a
securității. RM-ul furnizează informații despre riscurile identificate și evaluarea acestora, iar CSO-ul
utilizează aceste informații pentru a dezvolta și implementa măsuri specifice de securitate. De asemenea,
CSO-ul furnizează feedback și rapoarte despre incidentele și vulnerabilitățile identificate, care pot fi folosite
de către RM pentru a ajusta și actualiza strategiile și planurile de gestionare a riscurilor.
II. Vocabular
În managementul riscului discutăm despre “eveniment”, “incident”, “alertă” și “factori de risc”, în plus în
securitatea cibernetică se adaugă termenii “vulnerabilitate” și “amenințare”.
Vulnerabilitatea reprezintă o deficiență a sistemelor, rețelelor, aplicațiilor sau procedurilor organizaționale,
care expune organizația la amenințări (evenimente negative care speculează aceste deficiențe), iar riscul
cibernetic reprezintă potențialele daune sau pierderi care pot apărea în urma unor evenimente cibernetice
neașteptate sau malefice.
Dacă în general în managementul riscului discutăm de risc = probabilitate * impact, în securitatea cibernetică
discutăm mai degrabă de risc cibernetic = probabilitatea amenințării * vulnerabilitate * valoarea informației.
III. Risc vs risc cibernetic: tipologii
Negativ vs Pozitiv
În domeniul securității cibernetice se discută în mod preponderent de aspectul negativ al riscurilor. Însă
identificarea unei vulnerabilități în sistem înainte de exploatarea ei are o conotație pozitivă și survine din
inițiative precum sisteme de patch management (care cresc încrederea clienților) sau white hat hacking.
Cunoscut vs Necunoscut
Toate metodele de atac cibernetic folosite vreodată pot contribui la evaluarea riscurilor cunoscute pentru
care, în dependență de specificul industriei, trebuie stabilite strategii și priorități de abordare. Riscurile
cibernetice necunoscute sunt cauzate de amenințări generate de noi tehnologii și de noi metode de atac,
încă nemanifestate.
Intern vs Extern
Când discutăm despre riscul cibernetic, distincția între intern și extern se diluează, fiind vorba mai degrabă
de un context favorizant apariției riscului. Deși este clar că amenințările sunt externe (exceptând evident
situațile în care se intenționează voluntar subminarea organizației din interior), la gradul lor de reușită
contribuie de cele mai multe ori și mai degrabă în mod involuntar, actori interni.
De neconformitate strategică
Neprioritizarea securității cibernetice poate expune organizația la riscuri semnificative. Lipsa investițiilor
și resurselor adecvate în securitatea cibernetică poate facilita apariția vulnerabilităților și poate afecta în
mod negativ capacitatea organizației de a-și îndeplini obiectivele strategice. În plus, nesincronizarea cu
strategiile de securitate cibernetică ale eventualilor parteneri din piață poate conduce la imposibilitatea
dezvoltării businessului.
De neconformitate legislativă
Deși sistemul legislativ nu poate întotdeauna ține pasul cu dezvoltarea tehnologică și reglementările
specifice vin cu întârziere, respectarea lor este obligatorie, și în securitatea cibernetică acoperă aspecte
precum protecția și stocarea datelor, confidențialitatea comunicării, raportarea incidentelor.
Operațional
Riscul cibernetic operațional se referă la situații precum pierderea datelor, întreruperea sau distorsionarea
serviciilor. Odată cu expansiunea IoT, suprafața de expunere a amenințărilor a crescut, și odată cu ea și
probabilitatea manifestării acestui tip de risc.
Financiar
Riscul financiar de natură cibernetică este complex și se poate manifesta în mai mute planuri: tranzacții
frauduloase, ransomware, recuperarea datelor, imposibilitatea continuării parteneriatelor existente
(incompatibilitate între sisteme).
De pierdere a reputației
Impactul negativ asupra brandului unei organizații este dificil de cuantificat. În urma amenințărilor
cibernetice, acesta se traduce în mod direct în pierderea unor clienți existenți precum și în dificultatea
atragerii de noi clienți. Atacurile cibernetice pot viza expunerea către public de informații confidențiale sau
diseminarea de informații false.
De piață
Spionajul cibernetic economic are ca scop obținerea avantajului competitiv în domeniul economic și
comercial prin accesarea informațiilor confidențiale referitoare la inovații, planuri de afaceri, strategii de
marketing.
IV. Strategii
Deși cele 4 strategii de abordare a riscului (M.E.A.T.) sunt aplicabile și în cazul riscului cibernetic, în
domeniul securității cibernetice s-a simțit nevoia nuanțării unui framework specific (NIST CSF):
1. Identificare: a activelor fizice și software critice pentru organizație și a riscurilor asociate lor,
analizarea politicilor curente de securitate cibernetică și identificarea vulnerabilităților și
amenințărilor
2. Protecție: a activelor identificate la pct 1 împotriva amenințărilor cibernetice prin protocoale de
securitate (Identity Management, Access Control), traininguri, acces limitat la informații (need-toknow basis)
3. Detectare: a incidentelor cibernetice pe măsură ce apar, prin sisteme de monitorizare/alertare
4. Răspuns la incidente prin planuri bine definite de răspuns, escalare și analiză a lor
5. Recuperare în urma unui incident și restabilirea rezilienței și a operațiunilor normale în cadrul
organizației
V. Anexa
Prezentare generală a celor mai comune amenințări cibernetice
Amenințare
Descriere
Tip
Risc asociat
Malware
- link sau atasament infectat
Virus Troian
- negativ
- cunoscut
- extern cu contribuție internă
- operațional, financiar, reputațional
- de piață
Ransomware
Wiper Malware
Worms
Spyware
Inginerie Sociala
- manipulare psihologică
Phishing/Spear phishing
Malvertising
Baiting
- negativ
- cunoscut
- extern cu contribuție internă
- operațional, financiar, reputațional
Smishing/Vishing
Whaling
Pretexting
Scareware
Diversion Theft
Honey trap
Tailgating/piggybacking
Pharming
Parole
- acces la credențiale
Brute Force
Dictionary
Rainbow table
- negativ
- cunoscut
- extern
- operațional, financiar, reputațional
Credential Stuffing
Keylogging
APT
- acces neautorizat și nedescoperit mult timp
- negativ
- cunoscut
- extern
- operațional, financiar, reputațional
- de piață
DDoS
- suprasolicitarea resurselor/serviciilor
- negativ
- cunoscut
- extern
- operațional, financiar, reputațional
MitM
- interceptarea și manipularea comunicațiilor
- negativ
- cunoscut
- extern
- operațional, financiar, reputațional