Навіщо медійникам оцінювати ризики у сфері цифрової безпеки та як це правильно зробити
Photo by cottonbro from PexelsРизик – це коли хтось зробить щось, що призведе до поганих наслідків для нас.
- Хакер зламав робочу пошту на замовлення фігуранта одного з журналістських розслідувань, щоб дізнатися, що у вас на нього є.
- Хтось невідомий украв смартфон для того, щоб продати його в ломбард.
- Поліція чи спецслужби незаконно визначають вашу геопозицію за допомогою операторів зв’язку, щоб дізнатися, хто ваш інформатор (з ким ви зустрічаєтесь).
Таких ризиків у кожної людини десятки, і для кожного з нас вони унікальні. Тож як ми їх оцінюватимемо?
Для початку варто подумати про те, якими активами ви володієте. Це може бути будь-що, що ви маєте або чим користуєтеся. Це і ваш смартфон, і робоча пошта, і флешки з матеріалами, і навіть інформатори. Техніка, акаунти, офіс, люди – все це так чи інакше може бути активом.
Зрозумівши, які активи ми маємо, йдемо до наступного кроку: думаємо, що поганого може статися з кожним з наших активів. Телефон можна загубити, його можуть викрасти, з нього можуть дістати сім-картку. Повертаючись до формулювання ризику: хтось може викрасти ваш смартфон для того, щоб дістати сімку, і за допомогою вашої сімки скинути пароль до вашої робочої пошти.
Наступним кроком буде власне оцінювання всіх наших ризиків. Для цього зручно використовувати електронну таблицю. Ми маємо записати всі наші ризики й спробувати оцінити їхню ймовірність та вплив на нас.
Ймовірність оцінюємо “на око”. Таке бувало з вами чи з кимось, кого ви знаєте? Хтось колись погрожував вам цим? Як ви відчуваєте, чи ця подія ймовірна? Я оцінюю свої ризики за 5-бальною шкалою, де 1 – малоймовірно, а 5 – майже гарантовано.
До прикладу, я оцінюю ймовірність зламу своєї пошти на 1, бо вона добре захищена, а от імовірність викрадення ноутбука – на 4, адже я багато подорожую з ноутбуком, і його можна викрасти не тільки в потягу, а й на тренінгах, якщо я його десь забуду.
Щодо впливу – тут я теж використовую 5-бальну шкалу, де 1 – майже непомітний вплив, а 5 – катастрофа. Злам пошти мав би на мене доволі суттєвий вплив, але не катастрофічний, тому я його оцінюю на 3, а от втрата ноутбука для мене стала б катастрофою, тож це тверда 5.
Результатом, остаточною оцінкою ризику буде сума його ймовірності та впливу. Отже, ризик зламу пошти для мене має ймовірність 1, вплив – 3, результат – 4, а от викрадення ноутбука має ймовірність 4, вплив – 5, і як результат – 9.
Після внесення всіх ризиків до єдиної таблиці та їхнього оцінювання, таблицю можна відсортувати за стовпчиком “результат”, це допоможе наочно подивитися на те, які ризики для вас найнебезпечніші. Саме з роботи над цими ризиками й треба починати.
Ось, як може виглядати таблиця ризиків.
Тож що робити після того, як усі ризики вже оцінено та відсортовано? Для кожного ризику ми маємо знайти відповіді на такі запитання:
- ХТО наш опонент?
- ЩО та ЯК він може зробити?
- Яка його МЕТА?
- Яка ЙМОВІРНІСТЬ його активності?
- Який ВПЛИВ на нас буде, якщо ризик станеться?
Розглянемо приклад з викраденням ноутбука, який для мене вийшов найважливішим:
- ХТО наш опонент? Випадковий крадій.
- ЩО та ЯК він може зробити? Вкрасти ноутбук, коли я залишу його в купе потяга або десь у ресторані під час обіду на якомусь тренінгу.
- Яка його МЕТА? Гроші. Він хоче просто продати цей ноутбук, не знаючи про цінність інформації, що на ньому зберігається.
- Яка ЙМОВІРНІСТЬ його активності? 4 з 5, доволі ймовірно.
- Який ВПЛИВ на нас буде, якщо ризик станеться? Я втрачу ноутбук як річ, яка коштує грошей. Я втрачу можливість працювати на деякий час. Я втрачу інформацію, яка збережена на ньому і яку я не скопіював у хмару.
У такий спосіб ми не зобов’язані розписувати абсолютно всі свої ризики. Ви маєте самостійно вирішити, яку кількість ризиків ви зможете так обробити. Це можуть бути, наприклад, усі ризики з результатом від 6 до 10. Або перші 10 ризиків. Але це можуть бути й усі ризики у вашій таблиці, якщо у вас є час та натхнення.
Наступним кроком буде детальніше пропрацювання реакції на ризик. Для кожного ризику ми можемо обрати одну з трьох дій:
- Прийняти ризик і нічого з ним не робити.
- Зменшити ймовірність ризику.
- Зменшити вплив ризику на нас.
Розглянемо приклад із втраченим ноутбуком. Чи можу я прийняти цей ризик і нічого не робити? Ні, я не готовий до цього. Чи можу я зменшити ймовірність його викрадення? Так! Для цього я маю завжди носити його із собою, коли кудись ненадовго йду. А як я можу зменшити вплив цього ризику на мене? Якщо ноутбук усе ж украдуть, то що я маю зробити вже зараз, щоб серйозно не постраждати? Я можу, наприклад, увімкнути на ноутбуці пароль, зашифрувати жорсткий диск та налаштувати автоматичне копіювання всіх важливих документів у хмарне сховище. Як це зробити, можете прочитати на сайті Лабораторії цифрової безпеки.
Якщо я почну носити ноутбук завжди із собою, то ймовірність його викрадення може зменшитися до 2 чи навіть 1. Коли ж я захищу його, виконавши всі поради від Цифролаби, – вплив у разі його викрадення також зменшиться до 2. Не до 1, бо ноутбук усе ще коштує грошей і в разі його викрадення я все ще залишуся без робочого інструмента на деякий час.
У такий спосіб ми можемо оцінити та обробити деякі свої ризики. Частину з них можна сильно послабити, виконавши певні дії. Частину послабити не вдасться, але тепер ми хоча б знаємо, з чим можемо мати справу, і маємо час підготуватися!
Генрі Дем’яновіч, консультант з інформаційної безпеки
Матеріал підготовлено за підтримки Міжнародного фонду "Відродження" у межах проєкту "Мобілізація зусиль для вирішення викликів у медіасфері України". Матеріал відбиває позицію авторів і необов’язково збігається з позицією Міжнародного фонду "Відродження".
