Всеки експерт по киберсигурност ще се съгласи: оценката на риска е незаменим инструмент. Независимо дали следвате ISO/IEC 27001, IEC 62443, NIST CSF или европейски регулации като NIS 2 и Cyber Resilience Act, всяка рамка изисква оценка на риска.
Причината е проста: светът е пълен с неизвестности, уязвимости и потенциални пътища за атака. В такава среда оценката на риска е единственият рационален начин да се вземат решения за необходимите мерки за киберзащита на продукт или система.
Но не всяка оценка на риска е полезна. Много от тях остават статични формалности, които трудно водят до реални решения.
Пет елемента на добра оценка на киберсигурност
1. Реални последствия за бизнеса
Защо е важно:
Оценката на риска не трябва да се ограничава до ИТ или OT средата. Тя трябва да отчита влиянието върху реалните бизнес процеси и физически системи. Например, срив на сървър е неприятен, но не винаги критичен – докато аварирал кран в открит рудник може да предизвика сериозни последици.
Какво да следите:
-
Оценката на последствията трябва да започне в самото начало – това дава ориентир за всички следващи стъпки.
-
Включете C-level мениджъри и експерти по безопасност, за да приоритизирате критичните последствия.
Пример:
При оценка на риск за колесен кран с кофа, най-големият риск е той да се преобърне – това е червено в оценката, докато по-малко критични инциденти са зелени.
2. Разбиране на архитектурата и функциите на системата
Защо е важно:
Без ясно разбиране на системата е невъзможно моделиране на атаки или идентифициране на критичните изисквания за защита. Това включва кибер, кибер-физически и операционни системи.
Какво да следите:
-
Не се фокусирайте върху дребни детайли; целта е голямата картина.
-
Използвайте диаграми за системи и потоци на данни.
-
Включете хората и техните взаимодействия с технологиите – те могат да бъдат както вектори на атака, така и контрамерки.
-
Разгледайте системата през функции („кой какво прави с какво и защо?“).
Пример:
Функция „Операция и мониторинг на крана“ обединява ролите на оператори, инженери и IT/OT специалисти, като диаграмата свързва функциите със съответните реални последствия.
3. Сценарии на атаки
Защо е важно:
Сценариите на атаки са мост между системите и реалните последствия, водещ до конкретни изисквания за защита. Методи като STRIDE, DREAD, PASTA или MITRE ATT&CK могат да се използват.
Какво да следите:
-
Работете от последствията към атаката: кои сценарии могат да причинят най-големи вреди?
-
Фокусирайте се върху вероятни и високо въздействащи сценарии, а не върху всевъзможни хипотетични атаки.
-
Моделирайте конкретни пътища на атака, а не сложни дървета на възможности.
Пример:
Сценарий, при който кранът може да се преобърне вследствие на кибератака върху управлението на двигателя.
4. Изисквания за киберсигурност с аргументация
Защо е важно:
Целта на оценката е да се определят точните изисквания за защита, а всяко решение трябва да е ясно аргументирано.
Какво да следите:
-
Прозрачност: ясно кои системи, атаки и последствия се покриват.
-
Аргументация: дали изискването е поради риск, регулация или функционални ограничения.
-
Свързаност с регулации и стандарти: улеснява адаптацията при промяна на изискванията.
Пример:
Изискване за защита на PLC системата добавено директно към диаграмата, като е ясно с коя атака и последствие е свързано.
5. Отчети за различни целеви групи
Защо е важно:
Докладите превръщат анализа в инструмент за вземане на решения, достъпен за мениджъри, екипи по внедряване, клиенти и одитори.
Какво да следите:
-
Яснота и разбираемост: отчети, които могат да се разберат без дълбоки технически познания.
-
Целева аудитория: отделете отчети за управлението, екипите за внедряване и клиента.
-
Повишаване на осведомеността: разбираемите отчети увеличават шанса за следване на препоръките.
Пример:
„Cyber Decision Diagram“ предоставя едностранична визуализация на решенията, която свързва атаки, системи и мерки.
Мислене в слоеве: Layered Blueprints
-
Функционален слой (FC) – описва системни функции и реални последствия.
-
Слой на рискове (RI) – конкретни рискови сценарии.
-
Слой на изисквания (RE) – мерки за защита.
-
Слой на внедряване (IM) – превръща изискванията в конкретни действия (не винаги част от оценката на риска).
Този модел помага да се внедрят петте ключови елемента, като диаграмите остават в центъра на анализа и комуникацията.
Заключение
-
Не се съсредоточавайте върху метода или отговорника – важно е да се спазят петте елемента:
-
Реални последствия
-
Разбиране на системата
-
Сценарии на атаки
-
Изисквания на киберсигурността
-
Отчети за целеви групи
-
-
Използвайте диаграмите като централен инструмент за вземане на решения.
-
Дори с ограничени ресурси можете да превърнете оценката на риска в мощен инструмент за управленски решения и защита на активи.
