О риск-ориентированном подходе и статистике инцидентов ИБ в АСУ ТП

После публикации сегодня заметки о статистике реальных инцидентов ИБ в индустриальных системах Ригель меня покритиковал, ссылаясь на то, что в случае с критичными инфраструктурами данный риск-ориентированный подход не применим и в любом случае надо исходить из того, что даже при минимальной вероятности угрозы ущерб от ее реализации может быть настолько значительным, что с такой угрозой надо считаться и защищаться от нее.
Могу сказать, что я с этим утверждением и не спорил и, более того, уже писал про него год назад 🙂 Но так как многие читатели моих заметок рассматривают их как независимые произведения, да еще и часто читаемые не на моем официальном блоге, а на реплицируемых его ресурсах, то они могли и не знать про мои предыдущие заметки по теме. Писать же каждый раз ссылки «по теме» или disclaimer’ы слишком долго и нудно. В итоге могло сложиться не совсем верное мнение, что опубликованная мной статистика может применяться для оценки рисков в индустриальных системах. Не совсем так.
В феврале прошлого года американский центр разведки и безопасности 21-го века опубликовал материал, который был посвящен именно этому вопросу. Если его резюмировать, то идея проста — оценка рисков критическим инфраструктурам бизнесом может закончиться тем, что на безопасность деньги тратиться не будут ввиду малой вероятности наступления риска (даже при большом размере ущерба). Иными словами бизнес будет просто игнорировать безопасность, опираясь на классический риск-ориентированный подход. И если для «офисной» безопасности это работает, то для критических инфраструктур просчет может стоить очень дорого — не в финансовом исчислении, а с точки зрения экологических катастроф или человеческих жертв. Поэтому в случае с критическими инфраструктурами (как и в случае с гостайной) защищать их надо в любом случае — невзирая на низкую вероятность угрозы. 
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    И если для "офисной" безопасности это работает, то для критических инфраструктур просчет может стоить очень дорого — не в финансовом исчислении, а с точки зрения экологических катастроф или человеческих жертв.

    Иными словами, формула матожидания ущерба по прежнему работает, но возможна неверная оценка ущерба или вероятности, правильно?

    Ответить
  2. Unknown

    Этот комментарий был удален автором.

    Ответить
  3. Unknown

    Михаил Ракутько
    Не, смысл в том, что ущерб ВСЕГДА большой и распределяется на всех вокруг.

    Компания то может и отряхнется, а экосистема, национальные, геополитические интересы, курс валюты и т.д. пострадают сильней, в свою очередь "эхом" вернут Компании неучтенный ущерб.
    Риск-ориентированный подход не учитывает взаимосвязи смежных областей и защищает только "себя". А ущерб то суммарный для всех надо считать, все взаимосвязано.
    Критические инфраструктуры и гос тайна не должна думать только о себе, а должна прикрывать и всех вокруг и не запустить "цепную реакцию".
    Я так понимаю…

    Ответить
  4. doom

    В данном случае сложнее всего оценить ущерб от реализации угрозы ИБ. От несанкционированного доступа к АРМ оператора АСУ ТП до реальной катастрофы — пропасть. И надо понимать, какими путями злоумышленник может придти к реальной катастрофе.

    Ответить
  5. Unknown

    Критическая инфраструктура… Тут коллеги забывают упомянуть о важном факте, который простому смертному в уши не дует… Очень удобно считать все что за забором — КИ и пыхтеть что ай ай ай… Однако, посмотрев ясным взором оказывается, что критичными окажутся 2-3 системы из 20-30 используемых… И тут поляна поиграться ого какая…

    Ответить
  6. Unknown

    Евгений Родыгин
    Согласен, и также не стоит забывать и о взаимосвязанности этих 2-3 систем как между собой, так и с оставшимся 20-30. Пробьют слабых, войдут в контур защиты и из внешних наушителей превратились во внутренних…

    Ответить