Навіщо медійникам оцінювати ризики у сфері цифрової безпеки та як це правильно зробити

Photo by cottonbro from Pexels Photo by cottonbro from Pexels

Ризик – це коли хтось зробить щось, що призведе до поганих наслідків для нас. 

  • Хакер зламав робочу пошту на замовлення фігуранта одного з журналістських розслідувань, щоб дізнатися, що у вас на нього є. 
  • Хтось невідомий украв смартфон для того, щоб продати його в ломбард. 
  • Поліція чи спецслужби незаконно визначають вашу геопозицію за допомогою операторів зв’язку, щоб дізнатися, хто ваш інформатор (з ким ви зустрічаєтесь). 

Таких ризиків у кожної людини десятки, і для кожного з нас вони унікальні. Тож як ми їх оцінюватимемо?

Для початку варто подумати про те, якими активами ви володієте. Це може бути будь-що, що ви маєте або чим користуєтеся. Це і ваш смартфон, і робоча пошта, і флешки з матеріалами, і навіть інформатори. Техніка, акаунти, офіс, люди – все це так чи інакше може бути активом.

Зрозумівши, які активи ми маємо, йдемо до наступного кроку: думаємо, що поганого може статися з кожним з наших активів. Телефон можна загубити, його можуть викрасти, з нього можуть дістати сім-картку. Повертаючись до формулювання ризику: хтось може викрасти ваш смартфон для того, щоб дістати сімку, і за допомогою вашої сімки скинути пароль до вашої робочої пошти.

Наступним кроком буде власне оцінювання всіх наших ризиків. Для цього зручно використовувати електронну таблицю. Ми маємо записати всі наші ризики й спробувати оцінити їхню ймовірність та вплив на нас. 

Ймовірність оцінюємо “на око”. Таке бувало з вами чи з кимось, кого ви знаєте? Хтось колись погрожував вам цим? Як ви відчуваєте, чи ця подія ймовірна? Я оцінюю свої ризики за 5-бальною шкалою, де 1 – малоймовірно, а 5 – майже гарантовано. 

До прикладу, я оцінюю ймовірність зламу своєї пошти на 1, бо вона добре захищена, а от імовірність викрадення ноутбука – на 4, адже я багато подорожую з ноутбуком, і його можна викрасти не тільки в потягу, а й на тренінгах, якщо я його десь забуду. 

Щодо впливу – тут я теж використовую 5-бальну шкалу, де 1 – майже непомітний вплив, а 5 – катастрофа. Злам пошти мав би на мене доволі суттєвий вплив, але не катастрофічний, тому я його оцінюю на 3, а от втрата ноутбука для мене стала б катастрофою, тож це тверда 5. 

Результатом, остаточною оцінкою ризику буде сума його ймовірності та впливу. Отже, ризик зламу пошти для мене має ймовірність 1, вплив – 3, результат – 4, а от викрадення ноутбука має ймовірність 4, вплив – 5, і як результат – 9.

Після внесення всіх ризиків до єдиної таблиці та їхнього оцінювання, таблицю можна відсортувати за стовпчиком “результат”, це допоможе наочно подивитися на те, які ризики для вас найнебезпечніші. Саме з роботи над цими ризиками й треба починати.

Ось, як може виглядати таблиця ризиків. 

Тож що робити після того, як усі ризики вже оцінено та відсортовано? Для кожного ризику ми маємо знайти відповіді на такі запитання:

  • ХТО наш опонент?
  • ЩО та ЯК він може зробити?
  • Яка його МЕТА?
  • Яка ЙМОВІРНІСТЬ його активності?
  • Який ВПЛИВ на нас буде, якщо ризик станеться?

Розглянемо приклад з викраденням ноутбука, який для мене вийшов найважливішим:

  • ХТО наш опонент? Випадковий крадій.
  • ЩО та ЯК він може зробити? Вкрасти ноутбук, коли я залишу його в купе потяга або десь у ресторані під час обіду на якомусь тренінгу.
  • Яка його МЕТА? Гроші. Він хоче просто продати цей ноутбук, не знаючи про цінність інформації, що на ньому зберігається.
  • Яка ЙМОВІРНІСТЬ його активності? 4 з 5, доволі ймовірно.
  • Який ВПЛИВ на нас буде, якщо ризик станеться? Я втрачу ноутбук як річ, яка коштує грошей. Я втрачу можливість працювати на деякий час. Я втрачу інформацію, яка збережена на ньому і яку я не скопіював у хмару.

У такий спосіб ми не зобов’язані розписувати абсолютно всі свої ризики. Ви маєте самостійно вирішити, яку кількість ризиків ви зможете так обробити. Це можуть бути, наприклад, усі ризики з результатом від 6 до 10. Або перші 10 ризиків. Але це можуть бути й усі ризики у вашій таблиці, якщо у вас є час та натхнення.

Наступним кроком буде детальніше пропрацювання реакції на ризик. Для кожного ризику ми можемо обрати одну з трьох дій: 

  • Прийняти ризик і нічого з ним не робити.
  • Зменшити ймовірність ризику.
  • Зменшити вплив ризику на нас.

Розглянемо приклад із втраченим ноутбуком. Чи можу я прийняти цей ризик і нічого не робити? Ні, я не готовий до цього. Чи можу я зменшити ймовірність його викрадення? Так! Для цього я маю завжди носити його із собою, коли кудись ненадовго йду. А як я можу зменшити вплив цього ризику на мене? Якщо ноутбук усе ж украдуть, то що я маю зробити вже зараз, щоб серйозно не постраждати? Я можу, наприклад, увімкнути на ноутбуці пароль, зашифрувати жорсткий диск та налаштувати автоматичне копіювання всіх важливих документів у хмарне сховище. Як це зробити, можете прочитати на сайті Лабораторії цифрової безпеки.

Якщо я почну носити ноутбук завжди із собою, то ймовірність його викрадення може зменшитися до 2 чи навіть 1. Коли ж я захищу його, виконавши всі поради від Цифролаби, – вплив у разі його викрадення також зменшиться до 2. Не до 1, бо ноутбук усе ще коштує грошей і в разі його викрадення я все ще залишуся без робочого інструмента на деякий час.

У такий спосіб ми можемо оцінити та обробити деякі свої ризики. Частину з них можна сильно послабити, виконавши певні дії. Частину послабити не вдасться, але тепер ми хоча б знаємо, з чим можемо мати справу, і маємо час підготуватися!

Генрі Дем’яновіч, консультант з інформаційної безпеки

Матеріал підготовлено за підтримки Міжнародного фонду "Відродження" у межах проєкту "Мобілізація зусиль для вирішення викликів у медіасфері України". Матеріал відбиває позицію авторів і необов’язково збігається з позицією Міжнародного фонду "Відродження".

 

Інші матеріали
КібербезпекаЯк убезпечитися від зараження комп'ютерним вірусом? Поради
mi100.info
Юридична допомогаСудова практика за "журналістськими" статтями
©Rafael Seixas
Юридична допомогаЯк журналісту подати заяву про злочин