Оксфордский словарь содержит четкое понятие к слову «риск», там говорится, что риск представляет ситуацию, в которой существует угроза быть подверженным ущербу или опасности. Для достижения результатов, необходимо идти на риск, но также необходимо управлять рисками для достижения положительных результатов и во избежание негативных последствий.
Избежать риск невозможно. Необходимо рисковать и это является неизбежной неотъемлемой частью нашей жизни, как личной, так и профессиональной. Действительно, если какая-либо организация или компания в какой-либо отрасли сообщит, что не имеет рисков в своей деятельности, тогда, помимо невыполнения своих уставных и юридических обязательств, они очень быстро исчезнут из вида.
Риск также может приносить пользу. Успешное управление рисками может иметь положительные результаты, поэтому компаниям необходимо рисковать для достижения положительных результатов. Безусловно, организации нуждаются в некоторой степени определенности перед принятием важных стратегических решений. Важно понимать, что риск связан с вероятным влиянием неопределенности на существующие решения. Риск заключается в принятии решений в условиях изменчивости и неоднозначности.
Цифровые угрозы
Утверждение особенно справедливо для кибер-рисков. В киберпространстве присутствует высокий уровень неопределенности при решении вопросов национальной и корпоративной безопасности. Вероятность возникновения угрозы зависит не только от контекста и условий рынка, но также от «злоумышленников», которые пытаются совершать серьезные преступления. Данные участники могут быть неочевидны, но их неосязаемость лишь усиливает чувство угрозы. Субъекты имеют как способность, так и намерение причинять вред, приспосабливаться и адаптироваться к изменяющимся условиям.
Более того, с каждым днем, если не с каждым часом технологии становятся все более изощрёнными. В прошлом, промышленный преступник могу украсть портфель с документами, в случае, если вы его забудете на столе. Теперь с помощью электронных носителей или эксплойтов тот же преступник может украсть гигабайты информации, которая может в бумажном эквиваленте представлять стопку бумаги высотой до луны. Но дело не только в том, что хранение данных усложняется, а в том, что природа и назначение данных изменились. Например, если преступник намерен похитить защищенные товары медицинского назначения, ему больше не нужно взламывать склад, а можно копировать данные в цифровом формате и копировать продукт с помощью 3D-принтера.
Безусловно, организациям любого масштаба нужна киберзащита той или иной формы. Кроме того, организациям нужна система достаточно надежная, чтобы предупредить компании о возможных атаках реальных или предполагаемых, как можно быстрее. Угрозы в киберпространстве делятся на две большие категории: внутренние и внешние. Чтобы спроектировать и успешно реализовать систему защиты от внешних угроз, необходимо сделать акцент на намерениях и возможностях злоумышленников, какие цели они преследуют, на какие технологии рассчитывают.
Но организациям также необходимо готовиться к угрозам со стороны злонамеренных недоброжелателей и инсайдеров, которые ошибочно делают систему уязвимой для возможного вреда. Неосмотрительное использование персональных данных может подвергать человека шантажу и вербовке со стороны организаций, имеющих криминальные цели. Компании могут иметь лучшие системы защиты, но которые не смогут противостоять при столкновении с инсайдерами, имеющими высокий уровень доступа, которые могут распространить информацию, не будучи обнаруженными.
Что действительно имеет значение
Так как правительства, бизнес и частные лица защищают себя от этих угроз? Технический комитет ISO/TC 262, Риск менеджмент, разработал стандарт ISO 31000 по риск-менеджменту, в котором сформулированы основы принципов и процессов управления рисками в целом. Джейсон Браун (Jason Brown), председатель ISO/TC 262 отвечает за управление оценкой и обеспечением кибербезопасности в министерстве обороны Австралии. Он отмечает, что, как и в случае с управлением рисками, если организация серьезно относится к защите от киберрисков, то ей необходимо сосредоточиться на целях предприятия и сконцентрироваться на том, что имеет значение, иными словами выявить «цифровых лидеров».
Бизнес и правительства должны тщательно выбирать ценность и характер того, что им дорого. Например, если организации являются хранителями технической интеллектуальной собственности высокого уровня в формате данных, очевидно, что утечка или кража таких данных будут иметь колоссальные последствия для них. Однако последствия могут быть еще более разрушительными, если данная информация будет храниться от имени других лиц, которые зависят от этой организации как части цепочки поставок, поскольку нарушение в системе может означать уничтожение всей цепи. Поэтому, в первую очередь важен системный стратегический обзор, а не оценка самой технологии.
Данный подход совпадает с подходом Дональда Дойча (Dr Donald R. Deutsch), вице-президента и руководителя Отдела стандартизации в Oracle, базирующегося в Калифорнии, и председателя технического комитета ИСО/МЭК СТК 1, Информационные технологии, подкомитет ПК 38, Облачные вычисления и распределительные платформы, группа экспертов, работающая под руководством ИСО и МЭК. Облачные технологии и потенциальные риски, имеют, пожалуй, самое непосредственное значение для повседневных потребителей. Если сегодня мы используем компьютер, существует вероятность, что мы также будем использовать облако. Но, по мнению д-ра Дойча, «облачные вычисления» относятся к стратегии развертывания и бизнеса, чем к технологической стратегии. Несомненно, существуют недавние технологические усовершенствования, связанные с сопутствующими рисками, такими как автоматическое распределение вычислительных ресурсов, которые совместно используются несколькими пользователями, однако риски практически такие же, как и в любой вычислительной среде, но усугубляются и усиливаются в рамках увеличения масштабов».
Цена устойчивости
Международные стандарты лежат в основе формирования стратегического подхода к кибер-рискам. Как отмечает Джейсон Браун (Jason Brown) при рассмотрении кибер-рисков серию стандартов ISO 31000 следует также оценивать в сочетании с серией стандартов ISO/IEC 27000 по системам управления информационной безопасностью или кратко ISMS. При таком подходе особенное внимание уделяется человеческому фактору. ISO/IEC 27000 помогает организациям оценивать технологические потребности, тогда как ISO 31000 помогает понимать информационные ценности, которые она размещает в киберпространстве, и, следовательно, степень технологической защиты, которая потребуется для защиты от атак. Или другими словами, тщательная оценка рисков посредством внедрения ISO 31000, что поможет сэкономить любой организации значительные финансовые затраты, когда речь идет о налаживании технологической безопасности. Игнорирование рисков может привести к тому, что система защиты будет стоить либо слишком дорого, либо слишком мало.
Но не только представленные стандарты могут помочь в уменьшении кибер-рисков. Кибербезопасность также должна рассматриваться с точки зрения непрерывности бизнеса, и серия стандартов ISO 22301 по управлению непрерывностью бизнеса включает именно данные вопросы. Серия стандартов позволяет создавать документированную систему менеджмента защиты от […] разрушительных инцидентов, в случае их возникновения, и позволяет оценивать организации, как информационно-телекоммуникационные системы поддержания своих целей и последствий в случае их краха. Инвестиции организаций в кибербезопасность могут варьироваться от степени зависимости, существующей в системе, так небольшая организация может продолжать получать (или даже возвращаться к) бумажные квитанции, в то время, как такой гигант, как Amazon буквально будет зависеть от возможности количества подключений.
Аналогичным образом, работа ISO/IEC JTC 1/SC 38 помогает производителям и, следовательно, потребителям говорить на одном языке потребителям облачных технологий. Важно отметить, что спрос на стандарты определяется не самими производителями, как это обычно бывает, а потребителями и покупателями. Правительства и корпорации отметили, что каждый производитель применял собственную технологию, что делало невозможным сравнение продуктов и выбор информации о том, какой из них выбрать. Существующее недопонимание привело к необходимости разработки ISO/IEC 17789, Информационные технологии. Облачные вычисления. Эталонная архитектура, содержащего критерии эталонной архитектуры и общего словаря. Подкомитет ПК 38 также осуществлял надзор за созданием ISO/IEC 19086, четырехкомпонентного соглашения об уровне обслуживания между поставщиками облачных услуг и их клиентами, две части которого все еще находятся в разработке.
Квантовый скачок
Не может быть никаких сомнений в том, что разработанные стандарты оказали положительное влияние на кибербезопасность в целом и кибер-риски в частности. ISO 31000 был одобрен приблизительно в 40 странах в качестве национальной системы управления рисками. Если этого аргумента недостаточно, то Google выдает более 6,5 миллионов ссылок за 0,54 секунды, когда «ISO 31000» вбивают в строку поиска.
Но поскольку технологии развиваются все более быстрыми темпами, международные стандарты должны разрабатываться в ногу со временем. Инструменты, которые существуют сегодня, могут не работать в будущем. Например, с учетом того, что машинное обучение способствует развитию искусственного интеллекта, в системе, вероятно, существуют как адаптивные способности к обучению, так и «философские» возможности, которых просто не существует в современном мире. Возможности для анализа данных развиваются с такой скоростью, что существует возможность для анализа больших объемов данных и выявлять возникающие проблемы, которые было бы невозможно обнаружить другим способом. Отдельно, появление квантовых вычислений также приведет к экспоненциальному увеличению скорости вычислений. Сочетание этих изменений в кибер-пространстве вероятно приведет к разрушительным последствиям, что происходили с момента открытия электричества или атома»- говорит Джейсон Браун. Даже не принимая во внимание развитие нанотехнологий или растущей взаимосвязанности всех вещей.
Если данные факторы объединить в конечном счете, для получения преимуществ бизнесом, странами и, что не менее важно, основными противниками, конкурентная среда улучшится. Настолько, что человеческий вклад все еще вероятно будет способствовать появлению соответствующих рисков. Но фактическая способность человека работать в киберпространстве может быть весьма незначительной. В настоящее время ISO/TC 262 будет исследовать область деятельности, которую он называет «Управление возникающими рисками», уделяя особо внимание тем рискам, которые могут иметь наиболее разрушительные последствия. Как ясно дает понять г-н Браун, и потребители, и производители должны относиться к будущему по-разному, и все мы должны быть более открытыми для крайне неустойчивого мира».