Всепроникающие угрозы, воздействие которых может иметь катастрофические последствия для всей критически важной инфраструктуры, заставили аналитиков обратиться для защиты киберпространства к стандартам, основанным на рисках. Достоверность оценки рисков зависит от количественного анализа угроз, уязвимостей и их последствий, предусматривающего сбор и изучение огромных объемов информации. На врезке показано, что разработка соответствующих стандартов представляет собой очень сложную задачу и у регуляторов возникают трудности в трех основных областях.

  • Определение границ и оценка сценариев с множеством угроз различных масштабов. Возможно ли составление полного описания в условиях динамики развития угроз — пока компании удастся распознать киберугрозу и принять меры к ее нейтрализации, возникнут уже новые угрозы.
  • Количественная оценка уязвимостей при организации противодействия. В киберпространстве изобретательный и приспосабливающийся к изменению условий противник изучает ваши действия, предвидит их и адаптирует свои шаги, что требует проведения гораздо более сложного анализа по сравнению, например, с изучением происшествий в инженерных системах.
  • Понимание последствий угрозы. При использовании традиционных подходов к анализу проводить количественную оценку рисков с расчетом вероятности возникновения угроз и последствий ошибок в киберпространстве становится слишком сложно.

 

Стандарт, основанный на рисках

Анализ рисков, включающий в себя их оценку, управление и обсуждение, не является чем-то новым, но далеко не все согласны с термином «основанный на рисках». В крупномасштабных системах в определении риска присутствуют три составляющие: описание того, что именно может пойти не так, вероятность возникновения такого события и его последствия. Эта тройка обычно описывается как угроза-уязвимость-последствия или опасность-проявление-результат.

Анализ риска требует его количественной оценки для каждого из компонентов системы, а также связанной с ним неопределенности. Цель количественной оценки заключается в определении вклада каждого компонента в общий риск, что позволяет выявлять компоненты, подвергаемые существенно более высокому риску по сравнению с остальными. Такие компоненты формируют основу для разработки количественных эталонных тестов, которые де-факто становятся стандартами, основанными на рисках.

Количественная оценка рисков закладывает фундамент для регламентной оценки рисков. Однако в киберпространстве угрозы меняются слишком быстро, а противники стараются как можно быстрее принимать ответные меры, поэтому существующие методы количественной оценки рисков и определения их параметров не отвечают масштабам, сложности и динамизму кибербезопасности. В конечном итоге стандарты, основанные на рисках, должны помогать принимать обоснованные решения с учетом существующих угроз и их последствий. Включение в состав этого термина слова «основанные» говорит о необходимости выхода за рамки традиционного анализа рисков с возможностью подготовки руководств по действенному снижению рисков, базирующихся не только на физическом состоянии мира, но и на предпочтениях и ценностях заинтересованных пользователей системы.

 

 

Понимая, что от состояния киберпространства зависит функционирование систем здравоохранения и обеспечения национальной безопасности, президент Обама в 2013 году подписал указ [1] о разработке структуры кибербезопасности, позволяющей уменьшить влияние рисков на критически важную инфраструктуру и управлять ими. Указ ставит перед Национальным институтом стандартов и технологий США (NIST) задачу по разработке и внедрению стандартов, основанных на рисках. Эти стандарты должны помочь в выявлении инфраструктуры, подвергающейся повышенному риску, а также способствовать проведению оценки и выбору стратегии смягчения рисков.

22 октября 2013 года NIST представил руководящий документ, в котором описывался предварительный вариант проектируемой структуры [2]. Несмотря на то что в нем содержались четкие указания на необходимость определения границ при оценке рисков, о переходе от традиционной оценки рисков к действенным стратегиям их смягчения речи практически еще не шло. В руководстве, отвечающем требованиям упомянутого выше указа, должен быть описан процесс отказа от традиционного анализа рисков в пользу технических и поведенческих дисциплин и инструментов, которые в дальнейшем позволили бы принимать воспроизводимые и обоснованные решения, учитывающие информацию о рисках. Любой стандарт, основанный на рисках, обязан предоставлять средства, с помощью которых люди, принимающие решения, могли бы связать технические данные с инструментами, которые обеспечивали бы определение политик и адаптивное управление оценками рисков за счет мониторинга и обратной связи.

Успешное внедрение стандартов, основанных на рисках, предполагает рассмотрение кибербезопасности на системном уровне, признание наличия в киберпространстве виртуальных и физических систем и активов, от которых зависит состояние общества и экономики.

Коллективный опыт авторов по разработке стандартов безопасности оборудования и обнаружения поддельных электронных компонентов помогает понять, как должна выглядеть структура кибербезопасности, основанная на рисках. Комитет стандартизации G-19 Общества инженеров автомобильной промышленности, отвечающий за разработку тестовых стандартов для аэрокосмической отрасли, предложил две модели, эффективно связывающие технические данные с анализом при принятии решений в адаптивной структуре. Модели отражают возможную эволюцию структуры кибербезопасности, которую организации могут использовать не только для определения угроз и внедрения управляющих элементов в соответствии с количественной оценкой рисков, но и для интеграции результатов оценки с мероприятиями по уменьшению рисков, которые проводятся людьми, принимающими решения.

Существующие стандарты

В своей нынешней философии анализ рисков связан только с описанием физических отказов, их последствий и событий, которые могут произойти в будущем. Возникают трудности с его восприятием людьми и определением ценностей, оказывающих влияние на практические решения.

Первым шагом здесь должна стать корректировка представления о работе, проводимой в процессе анализа при принятии решений и использующей алгоритмы объединения показателей производительности с перспективами и ценностями, которые заслуживали бы внимания с точки зрения заинтересованных лиц. При анализе решений нельзя забывать о человеческом факторе, который возникает при определении границ задачи, оценке каждого действия или стратегии смягчения по отношению к общим целям и предоставлении людям, принимающим решения, информации о том, как выполняются различные стратегии. Общие цели базируются на наборе критериев, отражающих ценности и предпочтения заинтересованных лиц.

Хотя квазиколичественная оценка рисков и была отнесена Международным обществом по анализу риска к одному из ведущих достижений в этой области [3], конкретных методов и приложений пока представлено мало. Среди последних стандартизированных инициатив можно отметить NIST Special Publication 800-39 [4] и Common Vulnerability Scoring System (CVSS). В обоих случаях авторы документов признают необходимость учета человеческого фактора, но конкретных руководств по применению здесь пока фактически нет.

Special Publication 800-39

Федеральный стандарт управления киберрисками NIST Special Publication 800-39 используется госструктурами США (к числу которых относятся министерство энергетики и комиссия по ядерному регулированию) в качестве основы. Документ детализирует процедуру управления оценкой рисков и приближается к национальным стандартам, построенным на основе квазиколичественной оценки рисков в условиях высокой неопределенности. В документе говорится об идентификации факторов риска, их объединении и определении относительной значимости факторов, которые, в свою очередь, подразделяются на угрозы, уязвимости, воздействия, вероятности и заранее созданные условия. Однако конкретных методов, алгоритмов и правил объединения и определения значимости факторов пока очень мало. В NIST подчеркивают, что вопросы определения значимости и объединения необходимо решать с учетом «толерантности к организационным рискам». Оценка рисков считается неполной без указания границ их применимости в контексте важных организационных решений.

Общая система оценки уязвимостей

Общая система оценки уязвимостей (Common Vulnerability Scoring System, CVSS) объединяет критерии оценки уязвимостей киберсистем перед лицом конкретных угроз и их потенциальных последствий. CVSS формирует общий язык для организации телекоммуникаций и сравнения уязвимостей, однако инструкций по эффективному устранению выявленных уязвимостей эта система не предоставляет. Более того, критерии касаются только уязвимостей системы и воздействия угроз — о самих угрозах ничего не сказано, поэтому окончательные оценки и вектор атаки могут быть выбраны неверно, если исходить из того, что риски определяются триадой критериев. Таким образом, можно сделать вывод о том, что CVSS не основана на рисках, а оценивает уязвимости и их последствия, причем не угрозы, к которым относится, например, вероятность атак.

Международные проекты

Cтандарт ISO/IEC 31010 описывает многокритериальный анализ оценки рисков, однако сама процедура оценки затрагивается лишь вскользь — организации не получают четкого руководства по определению важности различных факторов риска, их объединению с целью получения воспроизводимой оценки рисков, интеграции организационных предпочтений и ценностей для заинтересованных лиц, а также интерпретации результатов при подготовке к управлению и производственной деятельности.

Устранение недостатков

Предварительная структура стандарта NIST фактически сохраняет статус-кво в области кибербезопасности — оценка рисков рассматривается достаточно глубоко, но нет конкретных руководств по их смягчению. Ядро этой структуры составляют пять основных функций кибербезопасности: идентификация, защита, обнаружение, реакция и восстановление. В каждой из функций имеется несколько вложенных категорий и подкатегорий, отражающих конкретные результаты и средства выполнения функции. Функция ответа, например, включает в себя пять категорий: планирование ответа, взаимодействие, анализ, смягчение и улучшение. В категории смягчения функции ответа выделяются две подкатегории с включением и устранением инцидентов. В общей сложности в ядре структуры содержатся 20 категорий и почти 100 подкатегорий, что делает его исчерпывающим, но чересчур раздутым.

Аналитики используют ядро структуры в качестве оценочной ведомости достигнутого прогресса при разработке текущего профиля организации. Затем они сравнивают текущий профиль, в котором содержатся оценки, присвоенные каждой категории и подкатегории исходя из эффективности организации, с целевым профилем, где отражено желаемое состояние в каждой из категорий и подкатегорий. Расхождения между профилями рассматриваются как недостатки организации в области управления рисками.

Как и в других стандартах, увязать просчеты в оценке организации с конкретными решениями довольно сложно — например, не все подкатегории одинаково важны для обеспечения кибербезопасности организации в целом. Возникает вопрос: каким образом определить наиболее критичные разночтения и расставить приоритеты корректирующих действий таким образом, чтобы получить наибольший выигрыш в стоимости?

Связь между оценкой рисков и анализом решений

Комитет G-19 предлагает две модели стандартов, помогающие организациям выявлять поддельные электронные компоненты и оценивать толерантность организации к рискам.

Электронные системы все чаще подвергаются фальсификациям, исходящим от мошенников, которые изменяют маркировку и упаковку или обновляют внешний вид электронных компонентов, пытаясь выдать их за подлинный товар. На рис. 1 представлены образцы настоящего и поддельного индуктора.

Рис. 1. Сравнение подлинного и фальсифицированного элементов: a — индуктор, вид сверху; б — индуктор, вид снизу; в — катушка индуктивности, вид сбоку. На фотографиях a и б у фальсифицированного элемента (слева) мы видим другое покрытие, а качество его исполнения оставляет желать лучшего. На фотографии в у поддельного элемента (сверху) катушка намотана неравномерно и имеет другой диаметр проводника
Рис. 1. Сравнение подлинного и фальсифицированного элементов: a — индуктор, вид сверху; б — индуктор, вид снизу; в — катушка индуктивности, вид сбоку. На фотографиях a и б у фальсифицированного элемента (слева) мы видим другое покрытие, а качество его исполнения оставляет желать лучшего. На фотографии в у поддельного элемента (сверху) катушка намотана неравномерно и имеет другой диаметр проводника

 

Неумение выявлять поддельные компоненты имеет тяжелые последствия как с экономической точки зрения, так и с точки зрения национальной безопасности. К экономическим последствиям относятся потерянная прибыль, увеличение расходов на дополнительное тестирование и замену компонентов, а также возможные затраты на судебные разбирательства. Последствия с точки зрения безопасности заключаются в нарушении функционирования устройств не только в коммерческих, но и в военных приложениях. В отчете министерства торговли США за 2010 год сообщается о 8 тыс. инцидентов, связанных с фальсификацией электронных компонентов, применяемых в военных изделиях. Потенциально эти фальшивки могли привести к снижению эффективности выполнения поставленных задач и угрозе национальной безопасности.

Помимо поставок дефектных компонентов, противник способен запускать аппаратные трояны и деструктивным образом менять схемы чипов. Все это может привести к серьезным проблемам в области безопасности, начиная с компрометации секретной информации и заканчивая выводом системы из строя.

Вопросы оценки

Исследовательские инициативы, направленные на обнаружение поддельных электронных компонентов, ориентированы на поиск соответствующих технологических решений или улучшение каналов поставок. К технологическим решениям относятся маркировка компонентов ДНК растительного происхождения или обеспечение аутентификации путем использования физически невоспроизводимых функций. Предложения по улучшению управления каналами поставок включают руководства для выбранных поставщиков, утилизацию отходов электронного производства и управление процессами морального старения оборудования и вывода его из строя. Такие усилия способны уменьшить риски, связанные с подделкой электронных компонентов, однако сама процедура оценки в каждом конкретном случае разрабатывается индивидуально. Эта уникальная процедура таит в себе опасность, потому что в долгосрочной перспективе управление рисками не может быть успешным без эффективной и тщательно спланированной оценки рисков.

Выполняемые тесты должны обеспечивать аутентификацию поступающих электронных компонентов даже когда поддельные элементы маркированы с использованием самых передовых технологий. В этом состоит одна из причин необходимости сбалансирования тестовых проверок. Недостаточное тестирование повышает вероятность проникновения поддельных компонентов в каналы поставок, а избыточное — увеличивает продолжительность производственного цикла и повышает его стоимость. Стандарты тестирования должны обеспечить организации оптимальное соотношение между двумя этими параметрами.

На пути к интегрированному подходу

Стандарты, которые планирует опубликовать Комитет G-19 SAE, должны обеспечить согласованную оценку рисков и необходимый баланс между стоимостью оценки и вероятностью обнаружения риска. Оценка рисков связана с инструментами анализа решений при помощи двух моделей (рис. 2). В документах будут описаны методы оценки рисков и передовой опыт, позволяющий гарантировать отсутствие проникновения поддельных электронных компонентов в каналы поставок.

Рис. 2. Предложенная Комитетом G-19 SAE методология оценки рисков, связанных с фальсификацией электронных компонентов. Оценка рисков и модели принятия решений являются основой для формирования произвольных стандартов, связывающих два набора задач в методологии, цель которой заключается в обеспечении баланса между техническими данными о рисках и степенью толерантности организации к рискам
Рис. 2. Предложенная Комитетом G-19 SAE методология оценки рисков, связанных с фальсификацией электронных компонентов. Оценка рисков и модели принятия решений являются основой для формирования произвольных стандартов, связывающих два набора задач в методологии, цель которой заключается в обеспечении баланса между техническими данными о рисках и степенью толерантности организации к рискам

 

Модель оценки рисков. Содержит руководство по квазиколичественной оценке известных факторов риска в условиях вероятных угроз с учетом источников поставок, имеющихся уязвимостей и последствий для продукта и решаемых с его помощью задач. Последствия при оценке ранжируются в зависимости от конкретного компонента и конфигурации продукта, а также от важности приложений. Незначительные последствия связаны с нарушениями функционирования или устойчивости работы продукта. Никаких повреждений системе не наносится, но могут потребоваться внеплановое техническое обслуживание или ремонт. Существенные последствия связаны с серьезными отказами компонентов, которые переводят продукт в неработоспособное состояние, что влечет за собой системные отказы или сбои при выполнении критически важных приложений.

Модель учитывает также факторы избыточности, заложенной в конструкции продукта, устаревания компонентов, отраслевых оповещений и предупреждений, связанных с отдельными компонентами и поставщиками. Каждый из факторов риска получает количественную оценку, после чего из их совокупности складывается интегрированная оценка, которая может находиться на одном из пяти уровней, отражающих характер тестирования компонента, определяемый второй моделью. Уровни, начиная от очень низкого и заканчивая критически важным, располагаются на скользящей шкале рисков.

Система оценок позволяет сформировать суждения, учитывающие количественное выражение, и стандартизировать специальную процедуру анализа. Таким образом, модель упрощает лицам, принимающим решения, получение вероятностных оценок в динамической и неопределенной среде.

Модель принятия решений. Использует результаты, полученные моделью оценки рисков, для определения уровня тестирования, гарантирующего качество компонентов. Все риски устранить фактически невозможно, а стоимость лабораторной проверки компонентов на все известные дефекты, связанные с использованием поддельных составляющих, может превысить ущерб от возможных рисков. Модель принятия решений позволяет найти разумный баланс между оставшимися рисками при компромиссной стоимости тестирования и уверенностью в том, что проверки позволят обнаружить все поддельные элементы.

Модель принятия решений учитывает толерантность организационных рисков, о которой упоминается в документе NIST Special Publication 800-39. Для приложений, которым риски сулят критические последствия, основная цель будет заключаться в проведении максимально полного тестирования независимо от его стоимости и затраченного времени, поскольку от этих приложений зависят человеческие жизни, безопасность и решение важнейших задач. С другой стороны, для приложений с низким уровнем риска продолжительность и стоимость тестирования играют более важную роль. Приложениям со средним и высоким уровнем риска модель предлагает оптимальный баланс между полнотой тестирования и его стоимостью. Дополнительные тесты повышают степень уверенности, но стоимость их не столь высока, как у критически важных приложений.

При принятии решения об увеличении числа проводимых тестов модель анализирует все известные дефекты, которые оказываются не охвачены рекомендуемым набором тестов или не позволяют добиться желаемой степени уверенности. В этом случае выдается рекомендация на проведение дополнительных тестов, позволяющих выявить указанные дефекты.

При появлении новых методов определения подделок или усложнении технологий обнаружения пользователи имеют возможность динамически обновлять параметры тестирования. Адаптивность такого рода имеет очень большое значение для любого стандарта кибербезопасности, основанного на рисках.

Объединение эмпирического и субъективного

Модели оценки рисков и принятия решений работают в тандеме, чтобы уменьшить разрыв между техническими эмпирическими данными и количественными выводами. На основе объе динения инженерных данных с экспертными оценками (например, с толерантностью к рискам) формируется прогнозная структура, однако ни одна из моделей сама по себе не является достаточной. Стандарт, основанный исключительно на оценке рисков, аналогичен традиционным подходам, при которых пользователи имеют возможность провести анализ и сравнительное ранжирование рисков, но у людей, принимающих решения, по-прежнему нет средств, позволяющих выбирать стратегии тестирования.

Стандарт, ориентированный только на принятие решений, предлагает инструменты, поддерживающие тестовые стратегии, но при этом у пользователей отсутствует стандартизированная и воспроизводимая методология оценки рисков. Без нее оценки вскоре становятся несогласованными, а расчеты рисков для одного и того же набора компонентов у разных независимых аналитиков начинают отличаться друг от друга. Эти несоответствия мешают эффективному распределению дефицитных ресурсов, к которым относятся рабочая сила и оборудование.

В обоих случаях объема имеющейся информации и возможностей инструментов оказывается недостаточно для принятия обоснованного решения с учетом всех рисков. Комитет G-19 SAE предложил структуру оценки рисков, связанных с безопасностью оборудования, в которой нашли отражение лучшие черты эмпирического и субъективного миров. Пользователи получили возможность выявлять риски на основе имеющихся у них знаний и внедрять средства управления, обеспечивающие необходимый баланс между существующими возможностями и толерантностью.

***

Вопросы кибербезопасности затрагивают сегодня всех, начиная от специалистов по ИТ и заканчивая службой контроля качества. Вместе с тем большое число участников киберпространства стимулирует его изменение — наряду с усложнением защитных средств усложняются и средства атаки. Традиционные статические оценки по мере появления новых технологий и методов быстро устаревают. В отличие от страховой отрасли, которая при оценке потенциального ущерба широко использует исторические данные, в киберпространстве исторические данные совершенно неактуальны. Все это мешает систематизации существующих рисков, оценке вероятности их возникновения и определению масштабов последствий.

Литература

  1. Executive Order 13636: Improving Critical Infrastructure Cybersecurity, 2013. URL: www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf (дата обращения: 12.12.2014).
  2. National Institute of Standards and Technology, Preliminary Cybersecurity Framework, 2013. URL: www.nist.gov/itl/upload/preliminary-cybersecurity-framework.pdf (дата обращения: 12.12.2014).
  3. M. Greenburg et al. Ten Most Important Accomplishments in Risk Analysis, 1980–2010. Risk Analysis, vol. 32, no. 5, 2012, P. 771–781.
  4. National Institute of Standards and Technology, Managing Information Security Risk: Organization, Mission and Information System View, NIST Special Publication 800-39, 2011.

Закари Колльер (zachary.a.collier@usace.army.mil) — аналитик, Игорь Линьков (linkov@usace.army.mil) — исследователь, Инженерный центр исследований и разработок армии США; Дэниэл ди Мазе (daniel.dimase@honeywell.com) — председатель Комитета по разработке стандартов, Стив Уолтерс (steve.w.walters@honeywell.com) — председатель Группы определения параметров рисков Комитета по разработке стандартов, лаборатория G-19; Марк Теранипур (tehrani@engr.uconn.edu) — профессор, Университет Коннектикута; Джеймс Ламберт (lambert@virginia.edu) — профессор, университет Вирджинии.

Zachary Collier, Igor Linkov, Daniel DiMase, Steve Walters, Mark Tehranipoor, James H. Lambert, Cybersecurity Standards: Managing Risk and Creating Resilience. IEEE Computer, September 2014, IEEE Computer Society. All rights reserved. Reprinted with permission.