Методика оценки киберрисков корпоративного центра ИТ-мониторинга

ВВЕДЕНИЕ

Ускорение и углубление процессов цифровизации производства неизбежно увеличивает зависимость ключевых бизнес-процессов предприятий от информационных технологий и сред, что, в свою очередь, неизбежно вызывает рост масштаба, усиление сложности и критичности киберугроз. Эти тренды все острее ставят как перед руководством компаний, так и перед кибер сообществом вопросы кибербезопасности в теоретическом, и практическом аспектах. Таким образом, вопросы оценки киберрисков их предотвращения и снижения приобретают в последнее время особо острую актуальность. Ежегодный кратный рост киберугроз вызвал реакцию как у научного сообщества, так и у практикующих специалистов в области кибербезопасности, что нашло отражение в работах зарубежных авторов (С. Каплана (Kaplan, S.) [2, c. 407-417], К. Тама (Tam, K.) [7, c. 129-163], Х.Бойса (Boys, S.) [8], Ф.А. Дюрана (Duran F.A.) [10]) и отечественных исследователей (А. Ю. Пучков, А. М. Соколов, С. С. Широков, Н. Н. Прокимнов [11, c. 85-102], Иванов А. А. [13, c.17-20], Прибочий М. [14, c.36-39], Догучаева С. М. [15, c.65-68], Гладков А. Н. [12, c.32-37], Савин М. В. [16, c.24-31], Федотова Г. В. [17, c.118-122], Белов А. С. [18, 75-80]. При этом следует отметить дефицит конкретного методологического материала в приложении к конкретным секторам экономики и отраслям промышленности, относящегося к выявлению и предотвращению конкретных киберугроз и прошедшего апробацию в производственных условиях. Для сужения указанного определенного научного пробела по данному направлению автором было проведено исследование с целью разработки собственной методологии по анализу и оценке киберрисков и киберугроз на примере крупной нефтегазовой компании. Научную новизну исследования составляет пошаговый алгоритм определения, расчета и оценки всех методологических компонентов в условиях удаленного управления регионально распределенными производственными системами из единого центра корпоративного мониторинга с помощью комплексов физических и виртуальных цифровых технологий. При этом согласно авторской гипотезе ключевой составляющей является моделирование различных сценариев кибератак злоумышленниками различной квалификации с количественным расчетом рисков, оцениваемых мультифункциональной группой специалистов, в сравнении с установленным приемлемым уровнем риска для конкретной отрасли или предприятия. Последующая апробация авторской методологии подтвердила ее актуальность и применимость.

ОСНОВНАЯ ЧАСТЬ

Одним из ключевых факторов повышения конкурентоспособности современной нефтегазовой компании является существенное снижение издержек на поддержание бизнес-процессов, а также их ускорение. Это может достигаться за счет централизации и виртуализации процессов, что в равной степени относится к процессам в области информационных технологий, где современный технико-технологический уровень позволяет создавать мощные хабы на корпоративном уровне – такие, как центры обработки данных (ЦОД) или корпоративные центры мониторинга (КЦМ), где управление серверным оборудованием, сетевым оборудованием, информационными системами и ИТ сервисами ведется минимально достаточным количеством персонала удаленно, непрерывно и в реальном времени. Практика создания центров удаленного мониторинга ИТ инфраструктуры и систем получила развитие в рамках программ бизнес- и цифровой трансформации, ставших популярными в последние годы в ряде крупных компаний в РФ. Главной целью таких центров является предотвращение и обнаружение нештатных ситуаций, связанных с работой корпоративной инфраструктуры, информационных систем и информационной безопасности, а главной задачей – устранение инцидентов (сбоев, деградаций, отказов и пр.) до оказания ими негативного влияния на бизнес-процессы корпорации. Другими словами – обеспечение непрерывного бесперебойного функционирования серверного ландшафта, сетевой инфраструктуры, корпоративных и локальных информационных систем [1].

Учитывая исключительную критичность единых корпоративных центров по сравнению с распределенными для бизнес-процессов предприятия с учетом требования обеспечения непрерывности и удаленного режима управления особую роль для функционирования КЦМ приобретает риск-менеджмент. В современных условиях риск-менеджмент представляет собой стандартную практику анализа, оценки и обработки рисков для минимизации их негативных последствий от неблагоприятных финансовых, операционных, экологических, политических, организационных или других подобных событий.

Управление рисками подразумевает в себе процесс, посредством которого организации выявляют возможные риски, оценивают эти риски с точки зрения их терпимости, вероятности возникновения рисковых ситуаций и на основе полученной информации принимают управленческие решения с целью недопущения рисковых ситуаций и снижения потерь на основе их допустимости. Данное направление существует уже несколько десятилетий. Хотя определения риска различаются, Каплан и Гаррик определяют риск как «возможность потери или ущерба» и «степень вероятности такой потери» [2]. В рамках данного исследования под риском будет пониматься следствие влияния на неопределенности на достижение поставленных целей [3], а под риск-менеджментом – процесс принятия и реализации управленческих решений, которые направлены на снижение вероятности возможных потерь и неблагоприятного результата деятельности [4].

Оценка рисков в общем плане представляет собой реализацию трех основных этапов (рисунок 1) [5].

Рисунок 1. Три этапа управления рисками [5].

Ввиду специфики центров управления типа КЦМ или ЦОД – а именно исключительной роли информационных технологий в обеспечении бизнес-процессов – наиболее значимым и существенным из всех возможных рисков является киберриск. Киберриск относится к категории бизнес-рисков, связанной, в частности, с использованием, владением, эксплуатацией, участием, воздействием и внедрением информационных технологий управления в организации. Данный вид рисков включает события, вероятность возникновения которых и их размер являются неопределенными, которые могут негативно повлиять на деятельность компании и ее способность достигать стратегических целей.

Определение вероятности возникновения киберриска или киберугроз весьма затруднительно, поскольку не только невозможно определить вероятность, если полный набор сценариев неизвестен, но также трудно точно смоделировать вероятность преднамеренных атак интеллектуальных и адаптивных противников. Подходы могут учитывать вероятность возникновения атаки, вероятность успешного завершения атаки и/или вероятность возникновения неблагоприятного воздействия. Факторы, влияющие на вероятности, часто являются функцией угроз, уязвимостей и любых возможных мер по смягчению последствий. Вероятность совершения атаки также зависит от стимулов противника, которые для каждого из них различны и зависят от мотивов, намерений и навыков противника. Последствия киберинцидента обычно определяются в терминах триады C–I–A (конфиденциальность – целостность – доступность).

Учитывая сложность оценки киберрисков, необходимо использовать инструменты анализа рисков, которые обеспечивают целостный, дифференцированный подход к выявлению киберрисков, выходящий за рамки традиционного внимания к безопасности и включающий другие проблемы, такие как финансовые или операционные последствия. Анализ киберрисков использует количественные, полуколичественные или качественные методы для определения уровня риска для установки, системы или компонента. Однако из-за ограниченных данных и проблем с моделированием динамических аспектов угрозы и уязвимости количественные методы определения киберриска по своей сути являются ошибочными. При анализе рисков безопасности доступны исторические данные об отказах оборудования, неблагоприятных событиях и факторах окружающей среды для расчета вероятностей и неопределенностей количественными методами [6]. Даже при наличии информации о полных историях кибератак или взломов, постоянных изменениях, связанных с векторами угроз, навыками ведения состязательности и технологическими достижениями, эти данные все равно могут быть неактуальными, а предполагаемый количественный анализ – неточным. При реализации киберрисков у злоумышленников нет ни одинаковых мотивов, ни одинаковых ресурсов при атаке [7], поэтому сценарии атак будут различаться. Используя предыдущие исследования [8], группы атак были идентифицированы.

Определенные сценарии кибератак важны с точки зрения подготовки к будущим киберсобытиям с точки зрения организации. Угрозы и уязвимости – это понятия, связанные с несанкционированным доступом к объекту внутри организации различными способами. В модели комплексной оценки рисков кибербезопасности процесс управления рисками состоит из систематической совокупности мероприятий. Для анализа возможных угроз и уязвимостей программного продукта предлагается использовать разработанный автором алгоритм систематизации и оценки рисков при организации удаленного централизованного управления производственными системами, состоящий из 13 взаимосвязанных этапов, который был апробирован на различных сценариях кибератак на системы Корпоративного центра мониторинга крупной нефтегазовой компании (рисунок 2).

Апробация авторского алгоритма включала использование трех сценариев атаки на ИТ системы киберфизической среды КЦМ.

Рисунок 2. Этапы оценки киберрисков для цифровых технологий. [Источник: составлено автором.]

В репрезентативную группу анализа и оценки влияния и последствий атак по трем сценариям были включены следующие эксперты:

1. Заместитель Генерального директора дочерней ИТ компании - Главный инженер;

2. Начальник Управления предоставления и развития услуг информационной безопасности;

3. Начальник Управления экспертизы технических решений;

4. Эксперт Управления экспертизы технических решений;

5. Старший менеджер Управления обеспечения качества ИТ-услуг/ИТ-систем.

Оценка проводилась с участием каждого из 13 этапов путем описания киберфизической среды, установления уровня приемлемости киберриска, моделирования уровня атакующих, существа самой кибератаки, заполнения анкет с параметрами и расчетом уровня риска по каждому сценарию со сравнением с пороговым значением.

На этапе 1 были определены ключевые киберфизические элементы ИТ системы КЦМ, (Таблица 1).

На этапе 2 ключевые киберфизические системы КЦМ были проанализированы на предмет подверженности влиянию потенциальной кибератаки. Было определено, что в зоне риска находятся все системы, кроме источников бесперебойного питания (ИБП) и инженерные системы обеспечения (вентиляция, кондиционирование, освещение и пр.) (Таблица 2).

На этапе 3 были определены ключевые показатели эффективности бизнес-процесса (KPI) в рамках концепции кибербезопасности. Ключевыми показателями эффективности принимаются: конфиденциальность, целостность, доступность, безопасность, реальность. Для оценки были приняты 4 KPI (кроме безопасности, Таблица 3).

На этапе 4 были определены диапазоны уровней риска и граница приемлемости риска для КЦМ и его систем (Таблица 4).

На этапе экспертами была дана количественная оценка четырем KPI, имея в виду главную цель как обеспечение работоспособности КЦМ и главный риск, что в результате кибератаки КЦМ может быть выведен из строя (Таблица 5).

На этапе 6 экспертами была дана оценка потенциальных уязвимостей безопасности активов КЦМ для каждого из трех сценариев. Эксперты организации оценили устойчивость системы к потенциальным уязвимостям. Средний балл рассчитан для каждой уязвимости путем получения среднего значения результатов после опроса (Таблица 6).

Оценки дифференцируются по 5 уровням согласно описанию ниже (Таблица 6а).

На этапе 7 были детально описаны сценарии кибератаки. Сценарии были разработаны при поддержке опытных ИТ-специалистов КЦМ и КЦОД с учетом возможных атак, которые могут произойти относительно узких мест применяемых цифровых технологий управления и киберсобытий, происходящих по всему миру (Таблица 7).

На этапе 8 был рассчитан коэффициент воздействия уязвимостей в соответствии с каждым сценарием. Коэффициент воздействия уязвимости сценариев рассчитывался в диапазоне от 1,0 до 5,0 (Таблица 8).

На этапе 9 была рассчитана вероятность каждого сценария. Вероятность зависит от местоположения злоумышленника, уровня экспертизы злоумышленника, количества уязвимостей в сценарии и их последствий. Для нахождения вероятности этих компонентов значения были приняты исходя из результатов интервью с экспертами в своих областях. Вероятности сценариев рассчитываются в диапазоне от 0,0 до 1,0 на основе формулы:

, (3.2)

Где LS – вероятность реализации сценария киберсобытия; LevA – уровень экспертизы злоумышленника; Ea – эффект от уровня экспертизы злоумышленника; LA – месторасположение злоумышленника; Ep – эффект от местоположения злоумышленника; NV – количество уязвимости в сценарии и их последствия; Ev – эффект от уязвимостей сценария (Таблица 9)

На этапе 10 было выполнено преобразование вероятностей трех сценариев в риски в диапазоне от 1,0 до 5,0 по формуле:

, (3.3)

где L – показатель оценки риска; LS – вероятность реализации сценария киберсобытия; VI – коэффициент воздействия уязвимости для определенного сценария (Таблица 10).

После того, как на этапе 5 были определены и оценены KPI, на этапе 11 создается контрольный список для определения влияния, которое окажет киберсобытие на эти KPI. С помощью этого списка составляется анкета, которую экспертно заполнила репрезентативная группа со своими оценками влияния события на KPI (Таблица 11).

На этапе 12 коэффициенты влияния ключевых показателей эффективности сценариев были рассчитаны в диапазоне от 1,0 до 5,0 по формуле

, (3.4)

где I – коэффициент влияния ключевых показателей эффективности сценариев; LS – вероятность реализации сценария киберсобытия; KPI – ключевой показатель эффективности; n – количество уязвимостей (Таблица 12).

Наконец, на этапе 13 была проведена оценка риска для каждого сценария, которую затем сравнили с установленным уровнем приемлемости риска (Таблица 13).

Поскольку пороговый уровень приемлемости риска был установлен 2,5, то для сценариев 1 и 2 уровень риска оказался приемлемым, однако кратно превышен для сценария 3.

ЗАКЛЮЧЕНИЕ

Результаты апробации авторской методологии по моделированию и оценке киберрисков были проанализированы на тематическом совещании у Главного инженера профильной ИТ организации нефтегазовой компании, где по итогам мероприятия была зафиксирована основная выявленная проблема крайне высокой уязвимости бизнес-процессов и киберсистем в случае нахождения злоумышленника внутри компании, особенно для случаев, когда он обладает правами администратора и действует преднамеренно и обладает правами администратора. Также отмечалось, что, поскольку оценка по ряду ключевых составляющих алгоритма выполняется не количественным, а оценочным способом группой экспертов, к уровню их квалификации и компетентности должны предъявляться четко формализованные требования. По результатам проведенной оценки киберрисков должны быть запланированы мероприятия по устранению недопустимого уровня риска. С помощью превентивных и смягчающих контрольных барьеров киберриск может быть уменьшен благодаря избеганию риска (например, изменение операционной области), устранению источника риска (например, снижение уровня подключения), влиянию на вероятность (например, добавление контрольных барьеров), смягчению последствий (например, усиление реакции и восстановления после кибернападения) и разделению риска посредством страхования [9].

С точки зрения направления дальнейших исследований по данной теме автору рекомендовалось сфокусироваться на прикладной составляющей, а именно: сформировать перечень типовых сценариев кибератак на основе собственного опыта и опыта коллег из служб информационной безопасности, а также разработать методические рекомендации по предотвращению или снижению вероятности реализации каждого из сценариев.