ionel_nitu

Ionel Niţu
Director General la
Centrul de Analiza a Informatiilor
si Evaluare a Tendintelor – CAIET

“Describing a past event is not intelligence analysis; it is history. True intelligence analysis is always predictive.”

Robert Clark

Despre ce NU am vrut să scriu

Acest articol ar fi trebuit să fie despre cybersecurity și, mai precis, despre nevoia de (ICS-)CERT în anumite domenii vitale din România (printre care și energia).

Am renunțat să abordez acest subiect, întrucât mai puțin de 20% din stakeholderii din domeniul energetic cu care am discutat de la începutul acestui an au înțeles importanța prevenirii amenințărilor cibernetice.

Literatură de specialitate există suficientă. La fel și modele de succes (implementarea unor astfel de CERT-uri în țări dezvoltate). La ultima conferință pe cyber la care am participat am prezentat un model de CERT privat într-un anumit segment de industrie din SUA.

Mi s-a spus chiar că ideea (în România) nu e nouă, fiind avansată/vehiculată de cel puțin doi ani.

Și atunci nu pot să nu mă întreb: și de ce nu se face nimic?

  1. Pentru că există percepții total diferite cu privire la securitate și ceea ce presupune ea.
  2. Pentru că nu știm cum să facem, de unde să începem.
  3. Pentru că (încă) nu ni s-a întâmplat ceva grav.

Despre ce am vrut să scriu

Supozițiile de mai sus sunt valabile atât pe palierele („verticale”) firești în care trebuie așezată securitatea (de la cea regională și națională, trecând prin cea aferentă unui domeniu, de ex. cel energetic, cea a firmelor, până la cea a comunităților și a persoanei), cât și între diferite tipuri de securitate (într-o abordare să-i spunem “pe orizontală”), respectiv: fizică, tehnică (chiar și tehnologică, dacă vorbim de SCADA), HR, IT, a informației, cibernetică și procedurală.

Cu alte cuvinte, este foarte posibil ca, de fapt, să nu avem politici coerente de securitate, pentru că nu știm cum să abordăm riscul. Spre exemplu, în domeniul energetic din România nu am auzit de un proiect de securitate care să vizeze tot ciclul: de la producție, trecând prin transport și distribuție și ajungând la cetățean (consumator). În ziua de azi, este foarte probabil ca un producator de energie să investească în securitatea fizică, transportatorul în securitatea în caz de dezastre, iar distribuitorul în securitatea sistemelor SCADA, fiecare în parte fiind de fapt vulnerabil în părțile în care ceilalți doi au decis să investească. De asemenea, e posibil să tratăm probleme persistente (vechi), neglijând riscurile noi, deși impactul celor din urmă poate fi catastrofal. Să mai consemnăm și că foarte puține abordări în zona privată vizează într-un tot unitar toate palierele securității.

Cu privire la supoziția 2 (“pentru că nu știm cum să facem, de unde să începem”), reiau câteva din concluziile unui studiu (realizat în coautorat) pe care l-am prezentat la o conferință (2012) a International Studies Association:

Context

Riscurile clasice, convenţionale sunt înlocuite de altele, mult mai difuze, complexe şi dinamice. Riscurile vechi continuă să se manifeste, dar prin alte forme (acompaniind perfect globalizarea, prin efectele pe care le generează). Ca şi cum nu era de ajuns, lumea spre care ne îndreptăm pare tot mai surprinzătoare, iar evenimente de tipul lebedelor negre sau gri par să se transforme din excepţie în regulă.

Pe acest fundal gri, se resimte nevoia, din ce în ce mai mult, a unor instrumente care să ofere posibilitatea de a scana viitorul şi de a anticipa riscurile, în vederea unei gestionări coerente a acestora (cu accent pe prevenire).

În acest sens, ideea motto-ului de mai sus, care evidenţiază necesitatea utilizării unor metodologii structurate de abordare integrată a riscurilor, devine un imperativ.

 

Ciclul analiză – evaluare – decizie

Managementul integrat al riscurilor presupune în fapt derularea unui ciclu, care include:  identificarea şi evaluarea riscurilor relevante (analiză); evaluarea toleranţei la riscurile relevante (evaluare); adoptarea măsurilor de răspuns (decizie).

  1. a) Analiza presupune un proces complex de auditare în scopul identificării riscurilor. În urma identificării riscurilor relevante la nivel strategic, acestea sunt evaluate, inclusiv din perspectiva transpunerii în spaţiile tactic/operaţional.
  2. b) Evaluarea reprezintă etapa prin care riscurile identificate sunt analizate sub aspectul a doi parametrilor: impact şi probabilitate de apariţie.
  3. c) Această etapă contribuie la cunoaşterea şi înţelegerea aprofundată, completă şi riguroasă a riscurilor, fundamentând deciziile viitoare.

 

O matrice (cu 2 sau 3 dimensiuni) de evaluare a riscului

Evaluarea se poate realiza folosind mai multe instrumente, unul dintre cele mai răspândite fiind matricea probabilitate-impact cu următoarele etape:

evaluarea probabilităţii de materializare a riscurilor identificate.

Probabilitatea reprezintă posibilitatea ca un risc să se materializeze şi măsoară gradul de certitudine – ce poate fi reprezentat pe diverse tipuri de scală (de 1 la 5, de la imposibil la foarte probabil etc.).

Probabilitatea de manifestare a unui risc este determinată atât prin examinarea datelor istorice relevante, a evenimentelor şi/sau situaţiilor care au apărut în trecut şi, prin urmare, s-ar putea manifesta în viitor, cât şi prin analizarea evenimentelor/situaţiilor actuale/în desfășurare, a căror materializare poate duce la apariţia unor riscuri într-un orizont de timp apropiat;

evaluarea impactului în cazul în care riscul s-ar materializa.

Impactul reprezintă consecinţa/efectul, dacă riscul s-ar materializa şi se evaluează pe o scală de la 1 la 5 (pericolele cu probabilitate de producere zero nu reprezintă pericole reale).

În evaluarea impactului, se ţine seama de faptul că riscurile care au un impact puternic semnalează o problemă acută, iar cele care se manifestă frecvent şi au un impact redus semnalează o problemă cronică;

evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.

iotu_graficExpunerea la risc reprezintă combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului, care pot fi resimţite în cazul în care riscul s-ar materializa. Expunerea la risc are semnificaţie numai înaintea materializării riscurilor. În cazul în care acestea se materializează, expunerea la risc devine, în fapt, impact.

Scala expunerii la risc poate fi şi ea reprezentată în mai multe feluri (matriceal, cromatic, numeric etc.) care să descrie variaţia probabilităţii şi a impactului.

Evaluarea riscurilor trebuie actualizată pe măsură ce noi date semnificative devin disponibile şi contextul se schimbă. Totodată, la finalul acestei etape, trebuie actualizate datele existente la nivelul instrumentelor utilizate (fie ele softuri ori soluţii analitice), cele aferente impactului, probabilităţii şi expunerii la risc.

În urma parcurgerii etapelor de identificare şi evaluare se poate, în sfârşit, întocmi o reprezentare clară şi sintetică a riscurilor (grafică sau de altă natură, după îndemânarea analistului sau gustul beneficiarului), cu ierarhizarea acestora în funcţie de nivelul de expunere. Acesta constituie un instrument foarte important în managementul riscurilor, facilitând stabilirea unei ordini prioritare a riscurilor.

Evaluarea toleranţei reprezintă etapa prin care este stabilit nivelul de risc care poate fi acceptat, înainte de adoptarea măsurilor de răspuns. În acest context, sunt luate în considerare riscuri inerente (existente în absenţa oricăror măsuri de înlăturare sau atenuare) şi riscuri reziduale (care rămân după întreprinderea măsurilor de răspuns).

Stabilirea limitei de toleranţă la risc implică un anumit grad de subiectivitate deoarece depinde, în mare măsură, de felul în care este perceput riscul, ca fiind tolerabil sau nu – dacă expunerea sa se încadrează în limitele de toleranţă stabilite.

Pentru determinarea limitei de toleranţă la risc se folosesc soluţii matriceale de tip probabilitate-impact.

Utilizarea culorilor evidenţiază profilul riscului, care este rezultatul evaluării riscurilor şi al toleranţei la acestea şi indică un răspuns optim, într-o anumită ordine de priorităţi. Profilul riscului rezultă din regruparea riscurilor identificate, evaluate şi ierarhizate în raport cu mărimea deviaţiei faţă de toleranţa la acestea.

Astfel, toate riscurile care au un nivel al expunerii ce se situează deasupra limitei de toleranţă trebuie tratate prin măsuri prin care expunerea la riscuri reziduale să se aducă sub această limită de toleranţă.