Ryzyko z zabezpieczeń…

0
36

Czyli dlaczego nie wystarczy wdrożenie systemu zarządzania bezpieczeństwem, a trzeba jeszcze go utrzymywać – a to budżet.

Na początek cytat:

W skutek epidemii świńskiej grypy 1976 roku w USA zmarła jedna osoba. Rząd wprowadził wówczas program szczepień, podczas którego od efektów ubocznych zmarło 30 osób, a ponad 500 zachorowało na zespół Guillaina-Barrego.

Ciekawe… ciekawe, dlaczego nie ma w niniejszym cytacie podanej informacji – NA ILE OSÓB objętych szczepieniami taki wynik? Dlaczego zajmuję się tym zagadnieniem? Otóż jest to standardowy problem stosowanych zabezpieczeń, na etapie prewencji – czyli działanie mające na celu zapobiegać. Paradoksalnie – ten sam mechanizm działa w wielu innych obszarach bezpieczeństwa, a podobnie populistyczne stwierdzenia są problemem dla wszystkich “bezpieczników” w firmach i organizacjach.

I albo słyszymy – przecież i tak by się nie stało. Albo jak w cytacie powyżej – tylko szkód narobiliście tym swoim bezpieczeństwem.

Więcej przykładów?

Ostatnie mistrzostwa na białym puchu. I w Norwegii wyłączyła się telewizja internetowa. Całkiem normalne – duża ilość zapytań, spowodowała reakcję systemu IPS (intrusion prevention system) i wypięte zostały serwery w celu ich ochrony. Cóż – bezpiecznik winny (tu akurat być może, ale na końcu konkluzje).

Czy też bardziej prozaiczne – ewakuacja, bo system sygnalizacji pożaru wygonił użytkowników, w wyniku wykrycia… dymu. Albo nie daj… odpalenie “sprinklerów” (tryskaczy) i zalanie całego magazynu.

Wszystko to wskazuje na jedną rzecz. Ogromny problem przy doborze zabezpieczeń, zwłaszcza, jeśli same z siebie mogą generować zagrożenia. Czyli:

Ryzyko z zabezpieczeń, siła zagrożenia, skuteczność zabezpieczeń

Wiele zabezpieczeń jest źródłem zagrożeń z innego rodzaju. W momencie ich stosowania ryzyko z zabezpieczenia winno zostać przeliczone i przeszacowane, który skutek jest lepszy? Braku zabezpieczenia i ewentualne ryzyko pierwotne, czy jednak lepiej wdrożyć zabezpieczenie, ale liczyć się z ryzykiem wtórnym? Oczywiście rozważania tego typu mają ogromny wpływ na “zyskowność” inwestycji w bezpieczeństwo. Ale nie o finansowaniu i wyliczeniach dziś, choć pamiętać powinniśmy.

Wróćmy jako do obrazu – przykładu z cytatu. Prezentacja wyników w taki sposób jest nieco ocierającą się o manipulację. Bo nawet nie mamy podstawy do oszacowania rzeczywistego wpływu na zagrożenie (choroba). A otoczenie jest dość istotne. Otóż warto pamiętać, że głównie oddziaływała na umysły obawa powtórki z 1918 roku, gdzie “hiszpanka” zabiła miliony ludzi. Czy nowa choroba zabiłaby czy nie, czy by nastąpiła epidemia czy nie – wiemy… DZIŚ.

I to jest cała istota i problem związany z budowaniem działań prewencyjnych (zapobiegawczych). Z jednej strony – jako negatyw mamy ryzyka, które owe zabezpieczenia generują, w wyniku swojej konstrukcji, założeń etc. Z drugiej strony – mamy do czynienia z oszacowaniem scenariusza – czyli na ile zagrożenie jest poważne i jak silne jest jego oddziaływanie. Z trzeciej oszacowanie wpływu zabezpieczenia na zagrożenie. A czwarta – to jak zabezpieczenie nam zagraża.

Co zrobić..?

Po pierwsze – nie mieszać. Wszystkie te działania opisane powyżej są samodzielnymi etapami. I tak powinny być oceniane. Dzięki temu nie miesza się z danymi wejściowymi. Dobrze, jeśli każde z tych działań może robić nieco inny zespół. A więc:

  • Szacujemy realne zagrożenie;
  • Szacujemy siłę zagrożenia;
  • Oceniamy prawdopodobieństwo wydarzenia (również do liczenia “zyskowności” bezpieczeństwa);
  • I mamy ryzyko (wyrażone w skalach jakich używamy);
  • Planujemy zabezpieczenia (rozwijamy założenia ze strategii bezpieczeństwa, a jak takiej nie ma, cóż… wymyślamy);
  • Szacujemy siłę oddziaływania zabezpieczenia na ryzyko pierwotne (skuteczność, jaka będzie podstawą do oceny zyskowności);
  • Szacujemy ryzyko, jakie niesie zabezpieczenie (na podstawie cech i wykorzystywanych mechanizmów czy środków łączonych w zabezpieczenia) – ryzyko wtórne. Zgodnie z wcześniejszym mechanizmem (zagrożenie, siła oddziaływania, prawdopodobieństwo);
  • Oceniamy działania synergiczne na inne ryzyka (jedno zabezpieczenie nie działa tylko na jedno ryzyko – dlatego wymogiem dzisiejszych czasów jest integracja bezpieczeństwa);
  • Wdrażamy lub odstępujemy.

Po drugie – monitorować. Zagrożenia przed materializacją, (z wyjątkiem nagłych zdarzeń), mają cechy co najmniej takie jak natężenie, powtarzalność. Można to naprawdę ładnie monitorować, ale tu potrzebna jest ŚWIADOMOŚĆ. I dzięki temu otrzymujemy jedno z mocniejszych źródeł informacji o prawdopodobieństwie i sile. Ale warto pamiętać, że … historia jest dobrym nauczycielem, tylko że nigdy dokładnie tak samo się nie powtórzy. Co pokazała historia z wirusami i szczepionkami. Dlatego monitorowanie – do obserwacji trendów. Ale nie tylko ta metoda do szacowania skutku czy też rzeczywistego prawdopodobieństwa. Warto skorzystać z metody mieszanej (wiele standardów o niej mówi). Tzn. po “przebiciu” parametrów dopuszczalnych, wdrażamy szczegółowe metody oceny i szacowania (mierniki w strategii) oraz metody ex ante – najlepiej scenariuszowe.

Po trzecie – zawsze możemy się mylić. I to też jest ryzyko z zabezpieczeń.

Podsumowanie

Wiem, że to wszystko wygląda nieco jak schizofrenia. Robimy zabezpieczenia, które szacujemy na ryzyka z nich, a potem jeszcze oceniamy, gdzie zabezpieczenie działa … Istny młynek. Ale niestety tak jest, a historia nauczyła nas już tego, że to co bierzemy za zabezpieczenie i wdrażamy jako zabezpieczenie – może być też źródłem zagrożenia.