Оценка рисков

В постоянных попытках защитить все свои данные от всех людей в мире, вы рискуете потратить силы и время впустую. Однако не стоит бояться! Обеспечение безопасности данных – это процесс, во время которого вы тщательно планируете план действий, и благодаря ему обязательно сможете найти подходящее для себя решение. Безопасность зависит не столько от количества используемых инструментов или скачанных программ, сколько от понимания, с какими именно угрозами вы сталкиваетесь и что конкретно может помочь в борьбе с этими угрозами.

В частности, угроза компьютерной безопасности – это потенциально возможное событие, которое может подвергнуть опасности сохранность или конфиденциальность ваших данных. Вы сможете успешно противостоять подобным угрозам, как только осознаете, что конкретно вам нужно защитить и от кого. Данный процесс называется «моделирование угроз».

С помощью настоящего руководства вы научитесь моделировать угрозы – оценивать риски, которым может быть подвержена ваша цифровая информация. Также вы узнаете, как определить подходящие именно вам способы противодействия угрозам.

Так как же производится моделирование угроз ? Допустим, вы хотите организовать защиту своего дома и имущества. Ниже приведены некоторые вопросы, которые помогут вам в этом (здесь и далее в статье делается упор на ключевые понятия «активы» и «злоумышленники»).

Что в моём доме нуждается в защите?

• К активам можно отнести драгоценности, электронику, финансовые документы, паспорта или фотографии.

От кого я хочу всё это защитить?

• Злоумышленниками могут быть не только воры, но и соседи по комнате или гости.

Какова вероятность того, что мне придётся защищать свои активы?

• Случались ли в моём районе кражи со взломом? Могу ли я доверять соседям по комнате и гостям? Каковы возможности у потенциальных злоумышленников? Какие риски я должен принять во внимание?

Насколько серьёзны будут последствия, если мне не удастся обеспечить защиту?

• Найдутся ли у меня время и деньги на замену утраченного имущества? Какое имущество я не смогу заменить вовсе? Имеется ли страховка от кражи, и покроет ли она убытки? Есть ли в моей жизни люди, чья безопасность будет поставлена под угрозу в такой ситуации?

На что я готов пойти для того, чтобы избежать негативных последствий?

• Готов ли я купить сейф для важных документов? Могу ли я позволить себе покупку высококачественного замка? Найду ли я время арендовать ячейку в банке для хранения ценностей?

Кто на моей стороне?

• Кто из тех, с кем я живу, может помочь защитить то, что мне дорого? Кто из соседей точно знает, где мы живём и чем владеем?

Как только вы ответите на эти вопросы, вы сможете оценить меры, которые следует принять. Если ваше имущество ценно, но риск кражи невелик, то вы, скорее всего, не захотите тратить много денег на покупку замка. Однако, если этот риск велик, то вы не только купите лучший замок, но и задумаетесь об установке охранной сигнализации.

Возможно, вы уже начинаете понимать, что на все эти вопросы нет однозначного ответа. Вы должны принимать решения, основываясь на ценности активов и вероятности риска. В этом суть упражнения – принятие обоснованных решений, построенных на оценке последствий угроз, вероятности их возникновения и приоритезации активов, подлежащих защите.

Как провести оценку рисков? С чего нужно начать? anchor link

При построении модели угроз ответьте на следующие вопросы:

1. Что я хочу защитить?
2. От кого я хочу защитить свои активы?
3. Каковы негативные последствия, если я не смогу их защитить?
4. Какова вероятность того, что мне придётся что-то защищать?
5. На что я готов пойти, чтобы предотвратить потенциальные последствия?
6. Кто на моей стороне?

Давайте подробно разберём каждый из этих вопросов.

Что я хочу защитить? anchor link

«Актив» — это нечто, что вам дорого и что вы хотели бы защитить. В контексте цифровой безопасности активом является некая информация. Например, содержимое электронной почты, список ваших контактов, сообщения в мессенджерах, ваше местоположение, файлы и прочие документы. Ваше устройство также может быть активом.

Составьте список активов: хранимых данных и мест, в которых они хранятся; людей, имеющих к ним доступ; способов предотвращения несанкционированного доступа к этим данным.

От кого я хочу защитить свои активы? anchor link

Для ответа на этот вопрос важно определить тех, кто может желать получить доступ к вашим активам. Личности или организации, представляющие угрозу сохранности и конфиденциальности ваших активов, являются злоумышленниками. Например, потенциальными злоумышленниками могут быть конкуренты в бизнесе, бывшие партнёры, правительственные учреждения, хакер в общедоступной сети или ваш начальник. Ими могут быть даже люди, которым вы доверяете, — они могут подвергнуть риску ваши активы случайно, например, проявив небрежность в отношении собственной модели угроз.

Составьте список злоумышленников, то есть тех, кто хотел бы заполучить ваши активы. В списке могут оказаться как частные лица, так и правительственные организации или корпорации. В зависимости от того, кого вы сочтёте злоумышленником, после завершения моделирования угроз стоит уничтожить список. Это поможет избежать угроз, связанных с ведением такого списка.

Каковы негативные последствия, если я не смогу защитить свои активы? anchor link

Злоумышленник может создать угрозу сохранности или конфиденциальности ваших данных разными способами. Например, он может заставить вас перейти по вредоносной ссылке, отправленной на электронную почту, и таким образом получить доступ к вашим аккаунтам или компьютеру. Злоумышленником может быть и тот, кто просто делает скриншоты вашей переписки и использует содержащуюся в ней информацию против вас.

Мотивы злоумышленников могут быть очень разными, как и способы атак. Некоторые атаки могут быть технически изощренными, в других же злоумышленник просто старается завоевать ваше доверие ради нужных ему данных.

Моделирование угроз включает в себя и понимание последствий, если злоумышленник всё-таки получит доступ к вашим данным или активам. Для определения последствий необходимо принять во внимание потенциал злоумышленников. Оператор сотовой связи, например, имеет доступ ко всем вашим телефонным разговорам. В то же время, правительственные службы имеют гораздо большие возможности.

Запишите, что может сделать злоумышленник, получив доступ к вашим конфиденциальным данным.

Какова вероятность того, что мне придётся что-то защищать? anchor link

Риск – это вероятность того, что конкретная угроза конкретному имуществу осуществится на самом деле. Возможность и риск нужно рассматривать в связке. Несмотря на то, что у оператора сотовой связи есть возможность получить доступ к вашим данным, риск того, что он выложит в сеть конфиденциальную информацию с целью порчи вашей репутации, достаточно низок.

Важно делать различие между угрозой и риском. Угроза – это негативное событие, которое может случиться. Риск – это вероятность наступления подобного события. Например, если существует угроза обрушения здания, риск этого события будет гораздо выше, если здание находится в Токио (там землетрясения – это обычное дело), а не в Москве (где они крайне редки).

Анализ рисков – это личный, субъективный процесс. Каждый человек смотрит на угрозы и расставляет приоритеты по-своему. Многие люди не считаются с определёнными угрозами несмотря на существующий риск, поскольку считают, что простое наличие угрозы при любом уровне риска не стоит потенциальных затрат на защиту. Иногда люди игнорируют повышенный риск, поскольку не считают существующую угрозу проблемой.

Запишите, какие угрозы вы воспринимаете всерьёз, а о каких можно не думать, потому что вероятность их возникновения достаточно низка или им будет слишком сложно противостоять.

На что я готов пойти, чтобы предотвратить потенциальные последствия? anchor link

Идеального варианта по обеспечению безопасности не существует. У всех разные приоритеты, опасения и доступ к ресурсам. Самостоятельная оценка рисков позволит спланировать правильную индивидуальную стратегию, в которой будет сбалансировано удобство, затраты и конфиденциальность.

Например, адвокат, защищающий клиента по делу о национальной безопасности, примет гораздо больше усилий для защиты своей корреспонденции. Для этого он станет использовать шифрование сообщений электронной почты. Но этим не станет заниматься обычная женщина, регулярно отправляющая дочери видео со смешными котами.

Запишите, что вы можете использовать для противодействия угрозам. Обратите внимание, какие ограничения финансового, технического или социального характера у вас имеются.

Кто на моей стороне? anchor link

Мы уже упоминали в этом руководстве, что конфиденциальность и безопасность в цифровых технологиях является командной работой, и ею лучше всего заниматься вместе с другими. Это важно не потому, что сила в количестве, а потому, что ваша конфиденциальность и безопасность пересекаются с другими людьми в вашей жизни. Если угроза затрагивает вас, она может затронуть и их, и наоборот.

Задумайтесь, кому в окружении вы доверяете. Например, подумайте, может ли кто-то являться «внутренней угрозой» – человеком в круге доверенных лиц, который может тем или иным образом нарушить устоявшуюся безопасность. Но не позволяйте страху перед внутренней угрозой отбивать у вас желание общаться с людьми. Лучше используйте его как стимул к тщательному планированию. И позаботьтесь, чтобы другие люди в вашем окружении так же серьезно относились к своей безопасности.

Поговорите с теми, кто, вероятно, разделяет ваши опасения. Договоритесь о том, как вы можете позаботиться друг о друге и какую информацию можете друг другу доверять.

Моделирование угроз на регулярной основе anchor link

Имейте в виду, что ваша модель угроз будет меняться вместе с изменением ситуации. Поэтому лучше всего регулярно проводить моделирование угроз и оценку рисков.

Продумайте модель угроз, основываясь на тех условиях, в которых вы сейчас находитесь. Создайте напоминание в календаре для пересмотра модели угроз. Когда этот день настанет, убедитесь, что ваша оценка рисков всё ещё актуальна.