A cikk a ComputerTrends magazin 2024. február 14-ei lapszámában jelent meg.
A válasz a kérdésre az lehet, hogy akkor, ha hatásosan tud támogatni döntéshozatalt. A kockázatkezelés fontos döntései azok, melyek azzal foglalkoznak, hogy egy adott kockázat kezelésére fordított erőforrások hogyan viszonyulnak a kockázatcsökkentés mértékéhez. Tehát ha van egy feltárt kiberkockázatunk, akkor maximálisan mennyi pénzt érdemes költenünk annak csökkentésére (mitigációjára), vagy éppen transzferálásra (pl. biztosítással történő lefedésére) annak érdekében, hogy a maradvány (reziduális) kockázatunk az általunk már elfogadható szintre csökkenjen. Ez egy teljesen jogos kérdés mondjuk a CIO-tól, de a megválaszolása a hagyományos piros-sárga-zöld (kvalitatív) kockázatkezelési megközelítésekkel komoly problémába ütközik.
Tehát innen visszatekintve a fenti kijelentésünkre, miszerint akkor nevezhetünk jónak (komoly hozzáadott értékkel bírónak) egy kockázatkezelési programot, ha az hatásosan támogat döntéshozatalt, könnyen belátható, hogy a megtérülés számszerűsítése (Cyber ROI) nélkül nem beszélhetünk megalapozott döntéshozatalról.
Vegyünk egy példát: az, hogy a Red Team vagy éppen a Pentester csapat egy magas kockázatú (piros) észrevételt tett, amely kezelésére mondjuk MFA kiterjesztése szükséges a külsős fejlesztői körre, továbbá a hálózati szegmentációt is újra kell gondolni, nagyjából 400.000 USD értékben és lévén, hogy a kockázat kritikus, ezt a pénzt el kell költeni, az nem nevezhető egy hatásosan megtámogatott döntéshozatalnak.
Compliance (pl. PCI-DSS, DORA, NIS2 stb.) szempontból persze megfelel egy csupán csak e pontig eljutó kvalitatív kockázatkezelési program, viszont legalább a nagyobb pénzügyi hatású döntések esetén elvárható lenne a kockázatkezeléstől, hogy meg tudja mondani azt is, hogy a 400.000 USD befektetésével a kockázati kitettségünk 200.000 vagy éppen 2.000.000 USD-vel csökken, mert ez nagyon nem mindegy.
Pontosan ezt a célt szolgálja a CRQ, mely a kockázati kitettség kvantitatív (pénzértékben történő) kifejezését segít megvalósítani.
A fenti szcenárió CRQ alkalmazásával a következőképp nézne ki: egy eloszlás függvényt rajzolnánk fel, ahol az x tengelyen a teljes kockázati kitettség van feltüntetve pénzértékben kifejezve, az y tengelyen pedig a veszteség bekövetkezési valószínűsége:
A teljes kockázati kitettség alatt egyrészt a bekövetkezett káresemény közvetlen hatásaként jelentkező, úgy nevezett elsődleges veszteséget értjük (pl. bevételkiesés, helyreállítás költsége stb.), másrészt pedig azon másodlagos veszteségeket is, amelyek külső érdekeltek (stakeholder-ek) negatív reakcióiból származnak (pl. hatósági bírság).
Az ábrát elemezve látszik, hogy 80%-os bekövetkezési valószínűsége van annak, hogy minimum 1,7 millió USD veszteséget leszünk kénytelenek elkönyvelni az adott kockázati szcenárió kapcsán. Egy újabb kvantifikáció lefuttatásával azt is meg tudjuk mondani, hogy a 400.000 USD értékű befektetéssel a kockázati szintet várhatóan 700.000 USD-re tudnánk csökkenteni:
A két és félszeres megtérülést látva tehát valóban megalapozottan állíthatjuk, hogy a feltárt magas kockázatot érdemes mitigálni 400.000 USD befektetésével.
Még hasznosabb azonban, ha ezt a kvantifikációs eljárást lefuttatjuk a többi jelentősebb kockázati szcenárióinkra is:
Itt mutatkozik meg a modell döntéstámogató ereje igazán: nem kérdés, hogy az elsődleges prioritás az A kockázat kezelése lesz, a D esetén pedig a kockázat elfogadása javasolandó.
Viszont, ha csupán az utolsó, kvalitatív kockázati besorolást tartalmazó oszlop adataira támaszkodnánk, akkor valószínűleg rosszul priorizálnánk és a B kockázat kezelését vennénk előre…
Végszóként annyit jegyeznénk meg, hogy a kvantifikációs modell nem varázsgömb, ez is csak egy modell: a rendkívül komplex valóság egy szükségszerűen leegyszerűsített képe, így a jövőből visszamérve a fenti számok egészen biztosan "rosszak" lesznek. Viszont ahhoz elég jók, hogy a helyes döntések szülessenek meg általuk. Ennél többet pedig nem is várhatunk a kockázatkezeléstől.
