В одной из статей я писал про использование графа рисков для КВО (даже на одной конференции про это рассказывал). Кое-кто даже просил пример практического применения и такой "пример" вполне себе существует... но под грифом "Для внутреннего пользования". Но оказалось, что есть и другой пример - мой граф использовал в своем диссертационном исследовании один мой бывший коллега.
Его работа заключалась в написание модуля клавиатурного почерка, как дополнения к DLP-системе, для использование в кредитно-финансовых организациях. Я, собственно, про это уже писал - но как-то очень сумбурно... что вызвано отсутствием системности, который и дает вышеупомянутый граф рисков ИБ.
Соответственно, в процессе написания диссертации у научного руководителя возник резонный вопрос - "как Вы покажете, что этот модуль кому-то нужен и обоснуете его внедрение? Какие риски Вы этим снижаете и насколько?"
Когда коллега решил проконсультироваться со мной - сразу в голове возник какой-то такой граф (кстати, обратите внимание, что на "верхнем уровне" есть разные виды последствий в отличие от графа КВО):
Оранжевым цветом здесь обозначены те компоненты рисков, на которые будет влиять внедрение клавиатурного модуля, а гранями ведущими "в никуда" в данном случае демонстрируется обширность и разветвленность графа, которую в рамках данной работы прорабатывать смысла не было. Да, под "несанкцианированными действиями на ПК работника банка" скрыт довольно большой перечень действий: проведение платежей, не одобренных требованиями валютного контроля, проведение мошеннических платежей, выдача кредитов кому-попало и т.д. и т.п.
Правда немного поразмыслив потом решили заменить "возможность отрикаемости от совершенных действий" и "чувство безнаказанности" - на "отсутствие ответственности" - что гораздо лучше звучит (хоть и имеет немного другой оттенок смысла), но в рамках диссертации - почему бы и нет. В любом случае, мне лень перерисовывать :). В соответствии с данной картинкой мы идентифицировал следующие риски:
Группа 1.
1) Прямой финансовый ущерб, вследствие несанкционированных действий работников банка на своем ПК, из-за возможности отрикаемости от совершенных действий
2) Санкции регуляторов, вследствие несанкционированных действий работников банка на своем ПК, из-за возможности отрикаемости от совершенных действий
3) Репутационные издержки вследствие несанкционированных действий работников банка на своем ПК, из-за возможности отрикаемости от совершенных действий
4) Прямой финансовый ущерб, вследствие несанкционированных действий работников банка на чужом ПК из-за возможности отрикаемости от совершенных действий
5) Санкции регуляторов, вследствие несанкционированных действий работников банка на чужом ПК, из-за возможности отрикаемости от совершенных действий
6) Репутационные издержки, вследствие несанкционированных действий работников банка на чужом ПК, из-за возможности отрикаемости от совершенных действий
Группа 2.
7) Прямой финансовый ущерб, вследствие несанкционированных действий работников банка на чужом ПК из-за чувства безнаказанности
8) Санкции регуляторов, вследствие несанкционированных действий работников банка на чужом ПК, из-за чувства безнаказанности
9) Репутационные издержки, вследствие несанкционированных действий работников банка на чужом ПК, из-за чувства безнаказанности
Группа 3.
10) Прямой финансовый ущерб, вследствие несанкционированных действий работников банка на чужом ПК из-за недостаточности средств аутентификации и аутентификации
11) Санкции регуляторов, вследствие несанкционированных действий работников банка на чужом ПК, из-за недостаточности средств аутентификации и аутентификации
12) Репутационные издержки, вследствие несанкционированных действий работников банка на чужом ПК, из-за недостаточности средств аутентификации и аутентификации
Внедрение "клавиатурного модуля" влияет на эти риски следующим образом:
Группа 1.
Внедрение разработанного программного комплекса в значительной мере повышает неотрекаемость от совершаемых действий. В этом случае, по судебному решению или согласию сторон финансовый ущерб может быть частично или полностью возмещен нарушителем, что снижает риски 1) и 4).
Группа 2.
В случае, если работники проинформированы о том, что внедрены дополнительные средства защиты, позволяющие проассоциировать действия совершенные под некоторой учетной записью с конкретным работником банка, то это служит психологической мерой защиты, снижающей вероятность использования чужой учетной записи (чужого ПК) для совершения несанкционированных действий, что в свою очередь значительно снижает риски этой группы.
Подобное информирование лучше всего проводить путем объявления выговора руководства банка при идентификации нарушителя, аутентифицировавшегося под чужой учетной записью администратором разработанного программного комплекса.
Группа 3.
При использование клавиатурного почерка для аутентификации повышается сложность несанкционированного доступа, а значит, снижаются риски третьей группы. Но, необходимо отметить, что клавиатурный почерк сильно зависит от психофизического состояния человека, и использование клавиатурного почерка для аутентификации может привести к реализации рисков, приводящим к нарушению бизнес-процессов.
Осталось все эти риски измерить в состояниях "до" и "после". Т.к. отсутствует привязка к конкретной организации (и мы не можем посчитать ущерб), то вполне можно воспользоваться методикой OWASP, чтобы вместо ущерба для бизнеса посчитать "технический ущерб".
Теперь, пару слов, чтобы быть честным и вернуться от теории к практике. Во-первых, "технический ущерб" - величина куда более далекая, последствия реализации обозначенных рисков в разных банках могут отличаться, впрочем как и вероятность реализации (в разных банках выстроена различная система защиты, они неодинаково интересны злоумышленникам и т.д.). Еще немаловажно сравнение обозначенных рисков с теме, которые на рисунке сознательно не отражены. Но настоящая беда не в этом, а в том, что внедрение такой системы неизбежно порождает ряд новых рисков, которые в некоторых случаях, уверен, перевесят сниженные. Но об этом ученому совету на защите рассказывать, конечно, не обязательно ;)
Комментариев нет:
Отправить комментарий