Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Upravljanje rizikom kritične infrastrukture
Nikola Markovinović
Trilix d.o.o.
Konferencija kibernetičke sigurnosti SecureTech 2019
Zagreb, 12.12.2019.
3
• Alternativa upravljanju rizicima je krizni menadžment.Krizni menadžment je višestruko skuplji, dugotrajniji, neugodniji i neizvjestan.
• Bez sustavnog i kvalitetnog upravljanja rizicima, smanjuje se mogućnost učinkovitog upravljanja resursima. Upravljanje rizicima više je od pripreme za najgore, ono daje uvid u mogućnost poboljšanja usluga ili smanjenje troškova.
4
„Kritična infrastruktura“ predstavlja imovinu, sustave ili njihove dijelove koji se nalazi u državama članicama EU, a koji je ključan za održavanje vitalnih društvenih funkcija, zdravlja, zaštite, sigurnosti, ekonomske ili socijalne dobrobiti ljudi i čije narušavanje ili uništavanje ima značajan utjecaj u državi članici zbog neodržavanja tih funkcija.
„Nacionalne kritične infrastrukture” su sustavi, mreže i objekti od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba ili usluga može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost i neprekidno funkcioniranje vlasti.
SUSTAV SUSTAVA
5
Sektori nacionalne kritične infrastrukture
• Energetika – električna energija, plin, nafta, toplinska energija – proizvodnja, prijenos, skladištenje, distribucija,…
• Komunikacijska i informacijska tehnologija – elektronička komunikacijska infrastruktura, prijenos podataka, informacijski sustavi, pružanje audio i audiovizualnih medijskih usluga
• Promet – cestovni, željeznički, zračni, pomorski i prometna infrastruktura• Zdravstvo – sustav zdravstvene zaštite u cijelosti, proizvodnja, promet i nadzor lijekova• Vodno gospodarstvo – komunalne, regulacijske i zaštitne vodne građevine• Hrana – proizvodnja i opskrba hranom, sustav sigurnosti hrane, robne zalihe• Financije – bankarstvo, burze, investicije, osiguranja i plaćanja• Proizvodnja, skladištenje i prijevoz opasnih tvari – kemijske, biološke, radiološke,
nuklearne• Javne službe – tijela državne uprave, osiguranje javnog reda i mira, zaštita i spašavanje,
HMP• Nacionalni spomenici i vrijednosti – materijalna kulturna i prirodna baština• Znanost i obrazovanje – instituti, sveučilišta
6
Zakonski i regulatorni okvir
• Direktiva Vijeća EU 2008/114/EZ o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite
• Uredba (EU) 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (GDPR)
• Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (NIS)
• Zakon o kritičnim infrastrukturama (NN 56/13)• Odluka o određivanju sektora iz kojih središnja tijela državne uprave identificiraju
nacionalne kritične infrastrukture te liste redoslijeda sektora kritičnih infrastruktura (NN 108/2013)
• Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura (NN 47/2016)
7
Zakonski i regulatorni okvir
• Zakon o sustavu domovinske sigurnosti (NN 108/2017)• Strategija nacionalne sigurnosti Republike Hrvatske (NN 73/2017)• Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih
usluga (NN 64/18)• Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih
usluga (NN 68/18)• Pravilnik o nositeljima, sadržaju i postupcima izrade planskih dokumenata u
civilnoj zaštiti te načinu informiranja javnosti u postupku njihovog donošenja (NN 49/2017)
• Zakon o tajnosti podataka (NN 79/07)• Zakon o informacijskoj sigurnosti (NN 79/07)• Uredba o mjerama informacijske sigurnosti (NN 46/08)
8
Zakonski i regulatorni okvir
• Odluka o kriterijima za određivanje stupnjeva tajnosti podataka Vlade Republike Hrvatske (NN 4/2017)
• Nacionalna strategija za prevenciju i suzbijanje terorizma (NN 108/2015)• Nacionalne strategije kibernetičke sigurnosti i Akcijski plan za provedbu
Nacionalne strategije kibernetičke sigurnosti (NN 108/2015)• Zakon o privatnoj zaštiti (NN 68/03, 31/10, 139/10)• Uredbe o unutarnjim ustrojima središnjih tijela državne uprave• Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18)• Zakon o elektroničkim komunikacijama (NN 73/08, 90/11, 133/12, 80/13,
71/14, 72/17)• Obveze iz područja zaštite kritičnih infrastruktura iz područja prometa,
energetike, zdravstva,…
9
Međunarodni standardi
• ISO 31000:2018 Risk management — Guidelines• IEC 31010:2019 Risk management — Risk assessment techniques• ISO GUIDE 73:2009 Risk management — Vocabulary• ISO/IEC 27001:2013 Information technology — Security techniques —
Information security management systems — Requirements• ISO/IEC 27002:2013 Information technology — Security techniques — Code of
practice for information security controls• ISO/IEC 27005:2018 Information technology — Security techniques —
Information security risk management• ISO 22301:2019 Security and resilience — Business continuity management
systems — Requirements
10
Prijetnje (threats)ili
Opasnosti (hazard)
Ranjivosti (vulnerability)
Utjecaj (impacts)ili
Posljedica (consequence)
Neki od rizika
11
• Upravljački rizik – zbog veličine organizacije ograničen kapacitet za uspostavljanje sofisticiranih upravljačkih mehanizama, sustava i kontrola
• Strateški rizik - donošenja pogrešnih poslovnih odluka, neprilagodljivosti promjenama u ekonomskom okružju i slično
• Operativni rizik - gubitka koji proizlazi iz neadekvatnih ili neuspjelih unutarnjih procesa, ljudi i sustava ili iz vanjskih događaja, uključujući pravni rizik;
• Rizik usklađenosti - neusklađenosti s propisima, standardima i kodeksima te internim aktima
• Rizik eksternalizacije – nastaje kada organizacija ugovorno povjerava drugoj strani obavljanje aktivnosti koje bi inače sama obavljala
• Pravni rizik - neispunjene ugovorne obveze, pokrenuti sudski postupci kao i donesene poslovne odluke za koje se ustanovi da su neprovedive
• I drugi rizici ...
12
PROCESIIMOVINARESURSI
Što pokušavamo zaštititi?
PRIJETNJA
Što ne želimo da se dogodi?
RANJIVOST
Kako se prijetnja može realizirati?
KONTROLE
Što trenutno smanjuje rizik?
UČINAKKoji su nam ciljevi i što utječe na ostvarenje cilja?
VJEROJATNOSTKoja je vjerojatnost da će prijetnja iskoristiti ranjivost obzirom na uspostavljene kontrole?
Izvješće o riziku - Plan obrade rizikaInformirano donošenje odluka
Rizik
Elementi rizika
13
Objedinjavanje relevantnih podataka o prijetnjama i ranjivosti rezultira identifikacijom rizika po elementima rizika, sustavima/pod-sustavima i procesima/pod-procesima.
• Ljudi – osoblje i druge osobe u kontekstu održavanja funkcionalnosti infrastrukture i/ili pojedinih dijelova infrastrukture
• Zemljište – vanjski prostor koji uključuje područja od važnosti za rad i operativnost infrastrukture, putove, skladišta, parkirne površine, zelene površine i slično
• Građevine ispod i iznad zemlje - proizvodne hale, skladišta, administrativne građevine, garaže i slično
• Postrojenja i opremu – uključivo izvore napajanja strujom, plinom, vodom, grijanje, informacijsku i komunikacijsku tehnologiju, transport
• Specijalizirana postrojenja i opremu
• Podaci i datoteke - uključuju sve podatke potrebne za održavanje procesa i sustava koji se čuvaju u pisanom i/ili elektroničkom obliku.
ISO 31000 - Okvir upravljanja rizikom
14
a) Stvaranje vrijednosti
b) Sastavni dio procesa organizacije
c) Dio procesa donošenja odluka
d) Izričito usmjereno na nesigurnost odluka
e) Sistematičnost, strukturiranost i pravodobnost
f) Temelji se na najboljim raspoloživim informacijama
g) Prilagodljivost
h)Uvažavanje ljudskih i kulturoloških čimbenika
i) Transparentnost i uključivost
j) Dinamičnost, iterativnost i osjetljivost na promjene
k) Omogućavanje stalno unaprijeđenje organizacije
Načela Okvir upravljanja rizikom Proces upravljanja rizicima
Ovlasti i predanost
Oblikovanje okvira
za upravljanje rizicima
Implementacija upravljanja
rizicima
Kontinuirano unaprjeđenje
okvira
Praćenje i preispitivanje
okvira
Uspostava konteksta
Ko
mu
nik
acij
a i s
avje
tova
nje
Pra
ćen
je i
pre
isp
itiv
anje
Procjena rizika
Identifikacija
rizika
Analiza rizika
Vrednovanje/ ocjena rizika
Obrada rizika
15
Stav prema riziku, Kapacitet, Apetit
Rizik prenizak Rizik previsok
Ciljana vrijednost rizika Limit rizika Tolerancija rizika
Apetit rizika
Kapacitet rizika Stav prema riziku / Risk attitude:
Relativno trajan pristup organizacije prema rizicima koji se očituje kao tendencija da se o rizicima misli, osjeća i ponaša na određeni način. Stav prema riziku organizacija zauzima u početnoj fazi procesa upravljanja rizicima.
Kapacitet rizika / Risk capacity :
Kapacitet rizika određuje se za svaku pojedinu kategoriju rizika. Količina pojedinog rizika koji organizacija može podržavati u ostvarenju svojih ciljeva.
Apetit rizika / Risk appetite :
Apetit rizika je količina pojedinog rizika koji je organizacija spremna prihvatiti ili zadržati u ostvarenju svojih ciljeva.
16
Ciljana vrijednost, Granice, Tolerancija na rizik
Rizik prenizak Rizik previsok
Ciljana vrijednost rizika Limit rizika Tolerancija rizika
Apetit rizika
Kapacitet rizika
Tolerancija na rizik / Risk tolerance:
Maksimalna količina rizika koju je organizacija spremna preuzeti za svaku pojedinačnu kategoriju rizika u ostvarenju ciljeva.
Ciljana vrijednost rizika / Risk target:
Ciljana razina rizika koju organizacija želi/može preuzeti u ostvarenju specifičnih ciljeva.
Granica razine rizika / Risk limit:
Točka za praćenje u kojoj izloženost riziku prelazi gornju granicu apetita rizika.
17
Ciljana vrijednost, granice, tolerancija na rizik
Ciljana vrijednost rizika / Risk target:
• Ciljana razina rizika koji organizacija želi preuzeti u ostvarenju specifičnih ciljeva.
Limit rizika / Risk limit:
• Točka za praćenje u kojoj izloženost riziku prelazi gornju/donju granicu apetita rizika.
Tolerancija na rizik / Risk tolerance:
• Maksimalna količina rizika koji je organizacija spremna preuzeti za svaku pojedinačnu kategoriju rizika u ostvarenja svojih ciljeva.
Izvan vaše kontrole
18
Rizik
RIZIK PRIJETNJA RANJIVOST POSLJEDICAX X=
VJEROJATNOST UČINAK OZBILJNOSTXMotivPrilika
Vještina Sposobnost
Lako za istražitiLako za iskoristiti
SvijestOtkrivanje
TehničkePovjerljivost
IntegritetDostupnostNadležnost
PoslovneFinancije
ReputacijaNeusklađenost
Privatnost
19
Menadžment iorganizacija
Uzrok
Uzrok
Uzrok
Ljudi
Uzrok
Uzrok
Uzrok
Tehnologija i metode
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Okolišni utjecaji Tržište Infrastruktura
Posljedica
Oprema
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Regulatorni okvir
Održavanje
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
Uzrok
XXXXXX
Prijetnje
20
Prijetnja je bilo koji događaj ili okolnost, bilo vanjski ili unutarnji, koji ima potencijal da doprinese/poveća nesigurnost u postizanju ciljeva i uzrokuje štetu.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Vjerojatnost realizacijePRIJETNJE
Realizacijaprijetnje
ŠTETNI DOGAĐAJPOSLJEDICA
VRLO RIJETKO RIJETKO MOGUĆE VJEROJATNO GOTOVOSIGURNO
P R I J E T N J A
INCIDENT
Prijetnje
21
Tipovi prijetnji koje mogu izazvati štetu na kritičnoj infrastrukturi su:
• antropogene - izazvana djelovanjem ili ne djelovanjem ljudi
• djelovanje prirodnih sila – poplave, potresi, oborine
• tehničko-tehnološke - izazvana neadekvatnim djelovanjem tehničkih i/ili tehnoloških sustava
• biološko-kemijska izazvana djelovanjem bioloških i/ili kemijskih sredstava
22
Prijetnje odlučivanja: ne donošenje odluka, manjak kompetencija, neadekvatno
utvrđene nadležnosti i odgovornosti, operativnog-
godišnjeg planiranja ...
Prijetnje tržišta: nove tehnologije, nove usluge, supstituti, ideje, potrebe i ukusi klijenata, pouzdanost i kvaliteta
dobavljača, konkurencija ...
Tehničke prijetnje: nestanak električne energije,
vode, plina ..., prekid prometa, kvar uređaja, krive postavke, nepravilan rad ili
preopterećenje opreme, loša kvaliteta opreme ...
Organizacijske i tehnološke prijetnje:
neodgovarajuće procedure, organizacija rada, nekompatibilnost ili neadekvatnost opreme, neadekvatno
održavanje, nemotiviranost, loši odnosi/klima ...
Ljudske prijetnje: nepažnja, nemar, nezanimanje,
neznanje, namjera ...
Prijetnje vezane uzinformacijske sustave :
prijetnje informacijskoj tehnologiji, prijetnje
narušavanja integriteta, cjelovitosti ili dostupnosti
informacija u svim oblicima ...
Prijetnje vezane uz zakonsku regulativu:
prijetnje zahtjeva za dodatnim ulaganjem
(investiranjem) , dodatnim administriranjem,
ograničavanjem tržišta, uvođenja zaštitnih mjera,
umanjenja postojećih zaštitnih mehanizama ...
Strateške prijetnje: vezane uz strateško odlučivanje,
neadekvatno definiranje strateških ciljeva, strateškog planiranja ...
KRITIČNA INFRASTRUKTURA
Prijetnje
23
KRITIČNA INFRASTRUKTURA
PrijetnjeKriminal (klasični,
tehnološki financijski): fizička sabotaža, elektronička
sabotaža, prepad, krađa, otkrivanje informacija,špijunaža, prijevara ...
Prijetnje vezane uz zaštitu na radu:
strujni udar, požar, trovanje, ozljede, smrt ...
Prijetnje akcidenata (tehničko -tehnoloških, prometnih ...):
eksplozije, izlijevanje otrovnih tvari, zagađenje zraka, nuklearno zračenje ...
Prijetnje društveno,političkog okruženja:
političke odluke, makroekonomske mjere i odluke, rat, građanski nemiri,
protestni skupovi, sindikalne akcije, migracije stanovništva, geopolitički
događaji ...
Prijetnje prirodnih sila:
poplava, potres, vjetar, klima, epidemija ...
Prijetnje tržišnog rizika: prijetnja promjene cijena, prijetnja konverzije valuta, prijetnja transfera dobiti ...
Prijetnje likvidnosti: tekući novčani primici nisu dostatni za pokriće tekućih
novčanih izdataka ...
Prijetnje kreditnog rizika: prijetnja promjene kamatnih stopa,
prijetnja promjene tečaja stranih valuta prema domaćoj valutu
(devalvacija, revalvacija), prijetnja promjene cijene novca ...
Ranjivost
24
• ovisnost infrastrukture o elementima rizika – potencijalni manjak i/ili zamjena tih elemenata čini proces ili sustav ranjivim
• ovisnost elemenata rizika o drugim infrastrukturama• otpornost – fizička otpornost elemenata rizika (građevina, opreme, postrojenja)
je važan čimbenik za utvrđivanje hoće li u slučaju nesreće elementi biti oštećeni i imaju učinke na relevantne sustave i procese, mreže i objekte
• stvarna razina zaštite – elementi su ranjivi ako nisu u dovoljnoj mjeri zaštićeni od prijetnji - kontrole
• zalihe i zamjene – ako štetan događaj pogodi elemente rizika, nastali problem je lakše riješiti ako postoje rezervni/zamjenski elementi koji će izvršavati iste zadaće/funkcije
Ranjivost
25
• obnova – sposobnost i mogućnost obnove u kontekstu ranjivosti odnosi se na potrebna financijska sredstva i kadrove te uloženo vrijeme obnove
• prilagodljivost – sustavi i procesi su ranjivi ako se ne mogu jednostavno prilagoditi
• sposobnost amortiziranja – sposobnost sustava i procesa da podnesu učinke štetnog događaja do određenog stupnja i da ne budu određeno vrijeme pogođeni negativnim djelovanjem
• transparentnost – ažurna, točna, potpuna i dostupna dokumentiranost• ovisnost o posebnim uvjetima okoliša – infrastruktura radi pod okolnim
uvjetima koji prevladavaju na lokaciji i ako ovisi o tim specifičnim okolnim uvjetima ranjiva je u odnosu na potencijalne promjene tih uvjeta
Analiza i vrednovanje
26
• Analiza kritičnosti
• Procjena otpornosti sustava na prijetnje i ranjivosti
• Utvrđivanje učinka i posljedica
• Evaluacija i vrednovanje rizika
• Prepoznavanje povezanih rizika
Izvještavanje, Obrada rizika,
27
• Izvješće o rezultatima procjene i analize rizika• Prijedlog i plan obrade rizika
• Prihvaćanje rizika• Smanjenje rizika• Dijeljenje rizika• Izbjegavanje rizika• Povećanje rizika
• Odluke o planu obrade rizika• Praćenje provedbe plana obrade rizika i izvješća o provedbi plana obrade
rizika• Testiranje učinkovitosti implementiranih kontrola
28
UPRAVLJANJE RIZICIMA
Korporativno upravljanje
Upravljanje ljudskim
resursima
Upravljanje imovinom
Korporativna sigurnost
Informacijska sigurnost
Upravljanje dobavljačima
Upravljanje incidentima
Upravljanje kontinuitetom
poslovanja