Финансовая сфера

Банковское обозрение


  • Как сберечь миллион: модель оценки киберрисков
04.10.2017 Best-practice

Как сберечь миллион: модель оценки киберрисков

5 апреля 1242 года впервые в истории пешее войско смогло победить тяжеловооруженную конницу. Победа, определившая дальнейшее развитие России, была одержана благодаря смекалке Александра Невского и его умению оценивать риски. При подготовке к сражению молодой князь учел все: погодные условия, рельеф местности, фактор внезапности, а также особенности амуниции. По одной из версий, Александр запретил воинам облачаться в железные доспехи, хорошо зная, что тяжелые рыцари более уязвимы в зимних условиях


Оценка рисков — важная составляющая успеха не только военной, но и бизнес-стратегии. Риск-менеджмент кибербезопасности должен занять прочную позицию во всех сферах бизнес-планирования. Участники отрасли, как правило, понимают, что это эффективный инструмент для превентивного реагирования на непредвиденные события и оперативного принятия решений бизнес-подразделениями. Однако мало кто знает, как применить риск-менеджмент на практике так, чтобы бизнес доверял качеству оценки рисков и использовал ее в своей деятельности. В этой статье речь пойдет о том, как разрабатывалась модель оценки рисков кибербезопасности Сбербанка, а также о том, как ее планируется применять на деле.

Решение уделить пристальное внимание риск-менеджменту в кибербезопасности было принято, так как Сбербанк постоянно наращивает и трансформирует бизнес-процессы. Количество активных пользователей интернет-банка и СМС-сервиса Сбербанка на сегодняшний день составило 50 млн человек. В онлайн-сервисах проводится 100 млн транзакций в сутки. Системой дистанционного обслуживания «Сбербанк Бизнес Онлайн» пользуются 1,4 млн корпоративных клиентов, проводящих через нее 99% своих платежей, автоматизированные системы Банка обрабатывают 1015 петабайт данных.

 

Рис. 1. Показатели развития Сбербанка в 2016 году

 

Из-за роста объема и доли операций, проводимых в удаленных каналах обслуживания, кибербезопасность становится важнейшим элементом обеспечения стабильности функционирования Сбербанка и защиты клиентов. В 2016 году Сбербанк ежедневно отражал более 1,5 тыс. кибератак в день. Управление рисками в условиях технологической трансформации Банка должно обеспечить скорость, удобство, а главное — безопасность бизнес-процессов. Поэтому Служба кибербезопасности Сбербанка стремится встроить управление киберрисками во все этапы жизненного цикла процессов Банка.

Трудности при выборе модели

Существует множество моделей оценки рисков; так, стандарт ISO 31010 описывает более трех десятков из них. Почему же мы пошли путем разработки своей собственной методики, а не выбрали одну из существующих?

Дело в том, что при выборе метода, подходящего для Сбербанка, мы столкнулись с тем, что все они плохо адаптируются к огромному количеству банковских процессов и огромному объему обрабатываемой информации.

Первыми отсеялись подходы, которые требуют оценки стоимости активов. В этом случае пришлось бы ответить, к примеру, на такой вопрос, как: «Какова ценность системы “Сбербанк Онлайн” для бизнеса?» К тому же ценность подобных активов изменяется ежедневно, и оценить эту динамику — задача еще более нетривиальная, учитывая тот факт, что деятельность Банка поддерживается сотнями сложных систем.

Не подошли и методы сценарного анализа. В этом случае вероятность реализации инцидента равна произведению вероятностей всех событий, которые в итоге привели к нему. Эти модели доказали свою эффективность при анализе сбоев и нарушения доступности, но для оценки, например, риска утечки информации они не подходят.

В наиболее распространенны балльных методах1 оценки рисков требовали существенной доработки потому, что они не позволяли объединять множество влияющих на риск факторов в единую оценку.

В итоге мы пришли к выводу, что нужно разработать собственную модель оценки риска, внедрение которой обеспечит представление об уровне киберриска большого количества активов при небольших временнЫх затратах.

Задачи

При создании инструмента оценки киберрисков мы поставили перед собой следующие задачи.

1. Построить модель оценки, которая даст объективное представление об уровне киберрисков.

Основная цель при внедрении этой модели — не тратить ресурсы компании на снижение несущественных рисков, а направить усилия на обработку рисков недопустимого уровня.

2. Выстроить простой и удобный процесс оценки.

Это особенно актуально для экспертов по кибербезопасности, работающих в рамках программы Sbergile (методология гибкой разработки Сбербанка), где процессы разработки и внедрения значительно ускорены, требования к конечному продукту могут меняться каждую неделю, а на сам процесс оценки рисков нет возможности выделить более пяти минут.

3. Учитывать мнения нескольких экспертов из разных областей.

Для получения объективного результата мы предусмотрели возможность привлечения к оценке рисков специалистов разного профиля, в том числе из безопасности, бизнеса и IT.

4. Создать универсальную модель, подходящую для разных направлений деятельности.

Мы стремились к единообразию в оценке всех идентифицированных киберрисков. При практическом применении модели такой подход позволит агрегировать результаты всех оценок в единый рейтинг киберриска, а также сравнивать их между собой, для того чтобы выяснить, какие риски находятся для нас в приоритете.

5. Предусмотреть возможность отслеживать динамику уровня риска при изменении внутренних или внешних факторов.

Уровни рисков меняются вместе с трансформацией угроз и состояния защиты, а также ростом бизнеса. Для понимания динамики изменения уровней рисков на практике мы планируем оценивать влияние принятых решений на риск-ландшафт и вместе с тем изучать закономерности связи между изменениями величины рисков и зафиксированным реальным ущербом.

Пути решения

При разработке модели в ее основу была положена классическая формула риска — это вероятность инцидента, умноженная на ущерб от его реализации. Был определен перечень риск-факторов, которые оказывают влияние на эти два ключевых показателя. На показатель вероятности влияют перечень актуальных угроз, уязвимости, через которые эти угрозы могут реализоваться; потенциал нарушителя и эффективность защиты. На показатель ущерба — критичность (недопустимость простоев) информационного актива, обрабатываемые данные, нарушение нормального функционирования процессов, недовольство клиентов и партнеров, возможные репутационные потери и санкции регуляторов.

 

Рис. 2. Система риск-факторов

 

Оценка риска происходит за три шага.

Шаг 1. Формирование системы риск-факторов для оцениваемого вида риска.

Для каждого вида киберриска эксперты определяют перечень актуальных угроз, уязвимостей и мер защиты.

 

Рис. 3. Критерии оценки риск-факторов показателя вероятности

 

Шаг 2. Экспертная оценка риск-факторов.

Независимо друг от друга эксперты оценивают каждый риск-фактор по четырехуровневой шкале (рис. 3 и 4). Критерии критичности разработаны с учетом масштабов бизнеса Сбербанка.

 

Рис. 4. Критерии оценки риск-факторов показателя ущерба

 

На этом же этапе определяется вес каждого риск-фактора, чтобы снизить влияние на итоговый показатель риска некритичных для него факторов.

Пример: для риска утечки информации оценку ущерба от нарушения процессов можно не учитывать, а параметр «категория информации» выступает как решающий, и его вес должен быть повышен.

Веса факторов оцениваются по шкале от 1 до 9.

Шаг 3. Вычисление рейтинга киберриска

На этом шаге видно ключевое отличие нашей модели от уже существующих качественных методов. Ее преимущество перед классическим методом заключается в том, что можно объединить большое количество полученных мнений и весов в одном значении рейтинга риска, тогда как классический табличный метод, где уровень риска находится на пересечении соответствующей строки вероятности и столбца ущерба, не позволяет оперировать таким количеством мнений экспертов.

Для вычисления итогового рейтинга риска модель Сбербанка использует матричный метод вычислений, агрегирующий все качественно оцененные факторы в одно количественное значение. Это позволяет учесть общее количество участвующих в процессе экспертов и разброс их мнений, а также разницу в весах, что повышает объективность оценки.

Результат оценки — рейтинг риска R, выраженный числом от 0 до 1, и соответствующий ему уровень риска, определяемый по таблице:

 

 

Рис. 5. Отличия дискретной и непрерывной шкал уровня риска

 

Пример результата оценки: рейтинги риска потери доступности сервиса и риска утечки информации — 0,51 и 0,63 соответственно. Уровень обоих видов риска высокий, но риск утечки информации более критичен.

Итог

Нам удалось создать инструмент, который способен решить поставленные ранее задачи:

• итоговый результат оценки представлен спектром значений рейтинга риска, что дает широкие возможности для расстановки приоритетов;

• есть возможность отслеживать динамику рейтинга даже при небольших изменениях в состоянии риск-факторов;

• модель применима на любом скоупе оценки;

• критерии оценки просты и понятны как сотрудникам отделов безопасности, так и бизнесменам;

• сам процесс работы с экспертами прост, удобен для всех участников и не занимает много времени.

Как и любой другой метод оценки, модель имеет свои недостатки. Отметим два основных, устранение которых является для нас приоритетом:

• субъективность экспертного мнения. Сейчас этот недостаток частично устранен путем привлечения большого числа экспертов из разных областей. Проблема будет полностью решена, когда экспертные оценки заменит аналитика;

• необходимость формирования списка риск-факторов для каждой оценки. Сейчас на эту процедуру уходит бóльшая часть времени и трудозатрат сотрудников службы кибербезопасности. В планах — формирование базового перечня риск-факторов для наиболее критичных систем.

На данном этапе развития модели в приоритетные задачи команды кибербезопасности входят: использование аналитики вместо экспертных мнений в оценке риск-факторов; сформирование базового перечня риск-факторов для наиболее критичных систем, что позволит оптимизировать процесс оценки.

Дальнейшее развитие

Теперь, когда есть инструмент качественной оценки в виде рейтинга риска, появляется возможность изучить зависимость динамики этого рейтинга и изменений показателей ущерба. Мы наметили для себя основные направления, ведущие к количественной оценке киберрисков.

1. Прогноз величины ущерба. После того, как накопится достаточный объем статистики о динамике показателей, а также причинах, по которым происходили скачки ущерба, мы сможем прогнозировать величину ущерба от инцидентов в следующем периоде. Тестирование на имеющихся исторических данных показало хороший результат.

Пример. В мае уровень риска повысился до высокого (изменение рейтинга с 0,44 до 0,53) по сравнению с апрелем. Есть статистика, на основании которой можно полагать, что при такой динамике в июне ожидается скачок ущерба в 100 млн. рублей.

 

Рис. 6. Пример обработки статистики для прогноза величины ущерба

 

2. Модель Value-at-Risk. Следующий шаг — применение более прогрессивной модели Value-at-Risk, ранее не использовавшейся для оценки рисков кибербезопасности. На основании статистики строится график распределения размеров ущерба и доходов. Показатель VAR характеризует максимальный ущерб компании в течение периода времени. То есть вскоре мы сможем ответить на вопрос «Какая сумма ущерба от реализации киберрисков гарантированно не будет превышена в течение следующего периода?», и точность такого прогноза будет достигать 95–99%.

 

Рис. 7. Модель Value-at-Risk

 

Переход от качественной оценки киберрисков к количественной открывает новые возможности для достижения киберустойчивости не только в отдельном банке, но и в целом в банковской сфере: развитие и стабильное функционирование рынка передачи киберрисков, их страхования и финансовой оценки показателей киберустойчивости.

После внедрении данной модели процесс управления киберриском и принятия решений значительно упростится. Бизнесу будет проще установить максимально допустимое значение риска в рублях, и, как только результат оценки превысит его, риск должен быть обработан.

Заключение

С помощью разработанной модели оценки рисков Сбербанк планирует обнаружить зоны концентрации высоких уровней риска в процессах и сформировать риск-ландшафт кибербезопасности. Актуальная информация о киберрисках будет регулярно предоставляться руководству компании для принятия стратегически важных решений.

Развитие процессов риск-менеджмента в кибербезопасности позволит Сбербанку быть высокотехнологичной компанией с быстрыми, удобными и безопасными сервисами, несмотря на растущий интерес со стороны киберпреступников. Мы нацелены на создание единой системы менеджмента киберрисков и универсальных метрик их оценки, чтобы в дальнейшем поделиться опытом с другими компаниями и объединить усилия в борьбе с киберпреступностью.


1. Уровень риска определяется произведением оценок ущерба и вероятности, установленных экспертом.






Новости Новости Релизы