27.5.2015

על הערכת (ניתוח) סיכונים

פורסם על ידי


"סיכון" ע"פ המילון העברי - הינו "חשיפה של אדם, בעל חיים או עצם לפגיעה אפשרית". אני אוהב להגדיר את המילה ביתר פשטות כ-"הסבירות לפגיעה\נזק" . ניהול הסיכונים הוא הטכניקה או המקצוע לדעת להעריך, למזער ולמגר נזקים מקריים בעזרת שימוש באמצעי אבטחה, הגנה, ביטוח וכו' . מכון התקנים האמריקאי – NIST, הגדיר את אותה "טכניקה" כתהליך מתמשך – מעין מסגרת עבודה. ע"פ NIST, תהליך הערכת הסיכונים מתחלק ל-4 שלבים;

השלב הראשון בתהליך הינו ההכנה להערכת הסיכונים. כלומר, הגדרת האובייקטים אשר ינחו את תהליך ניהול הסיכונים בכלל והערכת הסיכונים בפרט. מטרת ההכנה היא לזהות ולהגדיר קווים מנחים לתהליך ההערכה ותכיל משימות כגון:
  • זיהוי והגדרת המטרה לשמה מבצעים את ההערכה.
  • זיהוי והגדרת ההיקף של ההערכה.
  • זיהוי והגדרת אילוצים והנחות מנחות להערכת הסיכונים.
  • זיהוי והגדרת מקורות המידע אשר יבססו את ההערכה.
  • זיהוי והגדרת מודל הסיכון וגישות הניתוח אשר ישמשו את התהליך.


השלב השני בתהליך הערכת הסיכונים הינו ביצוע ההערכה. המטרה בשלב זה הינה הפקת רשימה מאורגנת של סיכוני אבטחת מידע ע"פ רמת הסיכון. רשימה זו תשמש את מקבלי ההחלטות בדבר הסיכונים האפשריים ו-"מה לעשות לגביהם". הפקת הרשימה הינה תהליך התלוי בניתוח האיומים (Threats), חולשות (Vulnerabilities), השפעות (Impact) והסתברויות (Likelihood). שלב זה יכיל את הפעולות הבאות:
  • זיהוי מקורות איום רלוונטיים לאותו עסק או ארגון.
  • זיהוי אירועים המהווים איום – בהתאם למקורות האיום שזוהו דלעיל.
  • זיהוי החולשות והתנאים אשר יכולות לשמש את אותו מקור איום.
  • קביעת ההסתברות אם וכאשר מקור האיום (שזוהה כבר) או אירוע (ממקור האיום) ינצלו את אותן חולשות ויהוו נזק.
  • קביעת השפעות הנזק לפעילות העסק ולנכסיו, עובדיו ולמדינה אשר הוא ממוקם בה.
  • קביעת סיכוני אבטחת המידע כתלות בניתוח; הווה אומר, פונקציה של הסתברות ניצול החולשה מאותו מקור איום – כתלות בהשפעת ניצול חולשה זו.


השלב השלישי בתהליך הוא הקישור של תוצאות ההערכה למקבלי ההחלטות. כלומר, המטרה פה הינה להבטיח כי מקבלי ההחלטה (קרי הדרג הניהולי) יקבלו את המידע הדרוש שינחה אותם לקבל את אותן החלטות הקשורות לסיכונים כלפי העסק\הארגון שלהם. שיתוף המידע שהתקבל בעת ההערכה - מורכב מהפעולות הבאות:
  • העברת תוצאות הערכת הסיכונים לדרג הניהולי.
  • שיתוף מידע שהופק כחלק מהערכת הסיכונים – וזאת ע"מ לשמש את כלל פעילויות ניהול הסיכונים בעסק או בארגון.


השלב הרביעי בתהליך הערכת הסיכונים הינו לתחזק את תוצאות ופעילויות הערכת הסיכונים. באופן דיי ברור, המטרה העיקרית בשלב זה הינה לשמר את רמת המוכנות והידע של הארגון כלפי הסיכונים. כאמור, תוצאות הערכת הסיכונים ינחו את ההחלטות הניהוליות ואיתן המענה לאותם סיכונים – ולכן, גם החלטות עתידיות שיש עמן סיכון כזה או אחר (כגון רכישות, הענקת גישות למערכות מידע וכו' ) צריכות לבוא בחשבון. תחזוקה של הערכות סיכונים נעשית בד"כ ע"י ניטור סיכונים; פעולה אשר מעניקה לעסק את היכולת לקבוע יעילות של מענה כלפי סיכון וכן לזהות שינויים אשר ישפיעו על מערכות המידע וסביבתן. בשלב זה יש לקחת בחשבון את הפעולות הבאות:
  • ניטור השפעות סיכון אשר זוהה כחלק מתהליך הערכת הסיכונים, השלכות עתידיות ושינויים נוספים.
  • עדכון מסמכי\רכיבי הערכת הסיכונים אשר ניטורם תלוי בהם.

תרשים זרימת תהליך ההכנה להערכת סיכונים ע"פ NIST

ביצוע הערכת הסיכונים – שתי הגישות


לעסקים, חברות וארגונים קיימת האפשרות לבצע את הערכת הסיכון ע"פ שתי גישות: הגישה הכמותית (Quantitative) או הגישה האיכותית (Qualitative); לעתים קרובות נעשה שימוש גם בגישה היברידית - שילוב של שתי הגישות.

הערכת סיכונים מבוססת איכות


הערכות (או ניתוח) סיכונים איכותיות – מפיקות תוצאות המבוססות על תיאורים כנגד מידה.

ביצוע הערכה בגישה זו רווחת כאשר:
  • מסגרת הזמן לביצוע ההערכה – הינה מוגבלת וקצרה.
  • לעסק או לארגון אין מספיק מידע מנחה שישמש לביצוע ההערכה ולכן, התוצאות, התיאורים וההערכות עצמן – יבוטאו באופן מילולי (למשל, סיכון גבוה, בינוני ונמוך).
  • יישום תוצאות ההערכה הינו קל יותר.
חשוב לציין כי בעת ביצוע הערכה בגישה זו – יש לקחת בחשבון את הדברים הבאים:
  • יש להשיג ולקבל אישור הדרג הניהולי לפני ביצוע ההערכה. תהליך ההערכה נעשה בשת"פ מלא עם הדרג הניהולי.
  • כאשר אישור הדרג הניהולי מתקבל – יש להרכיב צוות המכיל עובדים ממחלקות שונות (בד"כ מ"א, יועצים משפטיים, IT, ובעלי הנכסים).
ע"מ לבצע את ההערכה באופן היעיל ביותר – בעת ליקוט המידע הנחוץ, יש לבקש מסמכים מתאימים (תלוי בהיקף ההערכה, כמובן):
  • נהלים, מדיניות, הנחיות ופרוצדורות לגבי אבטחת המידע בעסק.
  • סקרים והערכות שבוצעו בדבר אבטחת המידע.
  • (אם קיימת) תכנית אסטרטגית לאבטחת המידע.
  • תיעוד טכני: טופולוגיות\דיאגרמות רשת, תצורות (קונפיגורציה) התקנים, פרוצדורות הקשחה, תוצאות מבדקי חדירה וכו' .
  • תכנית המשכיות עסקית, תכנית התאוששות מאסון ומסמכים נלווים.
  • סכמות של מהו מידע מסווג, נהלים והנחיות לגבי השמדת מידע.
  • כל תיעוד אחר הנחוץ לביצוע הערכת הסיכונים.
בנוסף, צוות ההערכה יבצע תשאולים ו\או יכין שאלונים ע"מ לזהות איומים, חולשות ואמצעי הגנה הנוגעים להיקף הסקר. מספיק כי נציג אחד מכל מחלקה בארגון או בעסק – יענה לאותן שאלות. חשוב להיות ענייניים ולהתחשב בהיקף הסקר וכאמור, אין צורך לתשאל כל עובד ועובד – מספיק נציג שיענה על אותן שאלות.

לאחר ליקוט המידע הדרוש, נותר לנתח אותו. יש להתאים איום לחולשות, איום לנכס ולנסות ולקבוע את הסבירות למימוש האיומים.

כעת ולבסוף, אפשר לקבוע מהי רמת הסיכון. בניתוח מבוסס איכות – מכפלת הסבירות וההשפעה תניב את רמת הסיכון. רמות הסיכון יעניקו לעסק מדד לביצוע פעולות מונעות.



הערכת סיכונים מבוססת כמות


כאשר ארגון או עסק מודע היטב לכל רבדי המידע אודותיו והמידע שהוא אוסף – ביצוע הערכת הסיכונים "עולה הילוך" וסביר כי אותו עסק יבצע את ההערכה באופן כמותי. גולת הכותרת בהערכה שכזו היא הנבת תוצאות הניתוח – באופן מספרי. הסתברות, תדירות, השפעות, יעילות אמצעי ההגנה ואספקטים נוספים – ניתנים למדידה באופן מספרי-מתמטי. אמנם, לא צריך להיות מתמטיקאי כדי לבצע הערכה מסוג זה, אך הבחנה המכסה את כל האספקטים לסיכון כזה או אחר – דרושה. ביצוע הערכת סיכונים כמותית טהורה – כמעט ואינה אפשרית (אך אפשרית!). זאת משום שקביעת ערך כספי למידע מסוים תלוי לעתים בגורמים חוץ-עסקיים ומכיל כ"כ הרבה פקטורים שקשה מאוד לחשבם. לכן, הערכת סיכונים כמותית נעשית בד"כ בשילוב עם הערכה איכותית.

הערכת סיכונים מבוססת כמות תעניק לסוקר את היכולת לקבוע האם מחיר הנזק הצפוי גבוה או נמוך ממחיר הגנתו. שלושה שלבים נלקחים בחשבון בעת ביצוע הערכת סיכונים מבוססות כמות:
  • קבלת אישור הדרג הניהולי עוד לפני ביצוע ההערכה.
  • ציוות – בניית הצוות שיבצע את ההערכה.
  • תחזוקה – סקירה ועדכון המידע המבסס את הערכה.
אבל מהו מחיר הנזק? איך מעריכים הפסד כזה או אחר? ובכן, קיימת "נוסחה"; יש תחילה לחשב את ה-"צפי להפסד בודד" (SLE). ה-SLE (Single Loss Expectancy) ע"פ הגדרה, מוגדר כהפרש בין הערך המקורי לערך הנוצר לאחר מימוש האיום או החולשה. ביתר קלות, אפשר לחשב את ה-SLE ע"פ הקשר הבא:


כאשר ה-Exposure factor הינו נמדד באחוזים ומהווה את פוטנציאל ההפסד לנכס מסוים.

ה-Asset value, כשמו הוא – מעיד על ערך הנכס (בד"כ בדולרים).

"הפסד" יכול להיות היעדר זמינות של שירות מסוים, גניבה, השחתה ועוד...

לאחר חישוב ה-SLE, העסק או הארגון ירצו לחשב את ה-"הסתברות השנתית למאורע", או ARO. ה-ARO (Annualized Rate of Occurrence) הינה הערכה של תדירות מימוש מוצלח של איום או חולשה.

לבסוף, העסק ירצה לחשב את ה-"צפי להפסד בשנה", או ALE. ה-ALE (Annualized Loss Expectancy) מחושב כמכפלת ה-ARO ב-SLE.


בהינתן ה-SLE, העסק או הארגון יוכל לקבוע את תקציב אמצעי ההגנה לנכסיו. חשוב לציין – אותו תקציב לא יהיה יקר יותר מהערך עליו מגנים (קרי הנכס).



מתודולוגיות הערכת סיכונים


NIST SP 800-3x series


באופן אישי, מתודולוגיות הערכת הסיכונים של NIST הינן החביבות עליי. מתודולוגיות אלו הן מסוג הערכות סיכון איכותיות (Qualitative). הן פותחו ע"י מכון התקנים האמריקאי לשימוש הממשל האמריקאי בפרט ולציבור העולם בכלל. כיום, נעשה בהן שימוש נרחב בסקטורים מפוקחים (רגולטורים) כגון הסקטור הבריאותי והפיננסי. מתודולוגיה נפוצה הינה 800-30 המכוונת לניהול סיכונים במערכות מידע. 800-39 מכוונת לניהול סיכונים ארגוני.



FRAP


ה-FRAP או The Facilitated Risk Analysis Process, הינה מתודולוגיה העושה שימוש בהנחה ש-"הערכת סיכונים באופן המצומצם ביותר – הינה היעילה ביותר". היא מכוונת למערכות, תוכנות, תהליכים וסקטורים עסקיים. ע"פ מתודולוגיה זו, הערכת הסיכון שמה לה למטרה מספר בודד של סובייקטים (מערכות, תהליכים וכו') ומתמקדת בסובייקטים "שבאמת" צריכים את אותו ניתוח סיכונים. התהליך עצמו דורש תקציב דל ויכול להיעשות ע"י כל יועץ או בעל כישורים ניהוליים.

מטריצת סיכונים ע"פ גישת FRAP. התמונה באדיבות pivotpointconsulting.com



SOMAP


ה-SOMAP או The Security Officers Management and Analysis Project הינו ארגון שוויצרי ללא מטרות רווח ומבורך אשר שם לו למטרה ניהול ותחזוקה של אבטחת מידע בעזרת כלים ותיעודיות חינמיים מבוססי רישיון GNU. הארגון יצר מעין חוברת הנחיות וכלים העוזרים להבין את מהות והפרקטיקה של ניהול הסיכונים. בחוברת שלהם, מוצגות שתי השיטות לביצוע הערכת סיכון (כמותית ואיכותית) ומסבירה את חשיבות בחירת המתודולוגיה בהתאם למטרות הארגון. הכלים, החוברת והמדריכים הינם זמינים באתר שלהם: http://www.somap.org .

תהליך הערכת סיכונים ע"פ SOMAP


CRAMM


"הסוכנות הבריטית למחשבים ולטלקומוניקציה" פיתחה שיטה לסקירת היבטי אבטחת מידע במשרדי ממשלתה. ה-CRAMM או CCTA Risk Analysis and Management Method הינה מתודולוגיה תלת-שלבית ששימשה לקביעת תאימות (הסמכה) לתקן BS7799 (התקן הבריטי לניהול מערכות אבטחת מידע – שלימים היווה בסיס לתקן הבינלאומי ISO 27001). כאמור, המתודולוגיה מורכבת מ-3 שלבים ונעזרת בשאלונים והנחיות ע"מ לכסות היבטי אבטחה בפן הטכני (מערכות IT, תוכנות וכו') ובפן הלא-טכני (עובדים, גישות פיזיות וכו'). שלוש השלבים הינם:
  • זיהוי וקביעת ערך לנכסים.
  • זיהוי איומים וחולשות, חישוב הסיכונים.
  • זיהוי והגדרת אמצעי הגנה – וסדר עדיפותם.

חישוב רמת\דרגת הסיכון


סיכון נקבע ומחושב כמכפלת ההסתברות ורמת ההשפעה. כלומר, אם הסתברות מימוש האיום הינה 1 (גבוהה) והשפעת הנזק הינה 100 (גבוהה) – אזי רמת הסיכון תהיה 100. לכן, הערך 100 יהיה הדירוג הגבוה ביותר לרמת הסיכון.


ובאופן טיפה יותר פורמלי – בהינתן מערך של i∈ℕ | i > 0 סיכונים, I השפעה (המבוטאת כנזק או הפסד כספי) וההסתברות כפונקציה של אותה ההשפעה – חישוב הסיכון יהיה:

לאחר חישוב הסיכונים, יש לבצע מעין "התפלגות" לרמת הסיכונים; הדרך היעילה (והקלה) ביותר היא בעזרת מטריצת סיכונים. אמחיש בצורה פשוטה את אופן חישוב סיכונים כספיים, לדוגמה:


הסתברות (או היתכנות) (L) השפעה (רמת הנזק\ההפסד הכספי) (I)
(1) גבוהה ביותר (100) הרת אסון – נזק המונע פעילות עסקית לטווח ארוך
(0.5) בינונית - לעתים (50) גבוהה – נזק הגורר הפסד כספי מעל X ₪
(0.1) נמוכה – היתכנות "נדירה" (10) נמוכה – נזק הגורר הפסד כספי שלא עולה על Y ₪


כיוון שעסקינן ב-3 רמות של היתכנות והשפעה, המטריצה תהיה ריבועית ובגודל 3×3 .