Siber risklerden kaynaklanan olası kayıplar hesaplanırken istatistiksel veriler de en az yorumlanması kadar önemlidir. Kaspersky uzmanları, Black Hat 2020 konferansından bir gönderi hakkında yorum yapıyor.
Bir olay durumunda gerçek zarar binleri geçmeyecekse, hiç kimse bir şirketi korumak için milyonlar harcamak istemez. Bir veri sızıntısından kaynaklanan potansiyel hasar yüzbinlerce olabileceği zaman, köşeleri kestirerek maliyeti düşürmek de aynı derecede anlamsızdır. Ancak bir şirketin bir siber olaydan alacağı yaklaşık zararı hesaplamak için hangi bilgiler kullanılmalıdır? Ve böyle bir olayın gerçek olasılığını nasıl değerlendiriyorsunuz? Black Hat 2020 konferansında, iki araştırmacı, Virginia Tech'ten Profesör Wade Baker ve Cyentia Enstitüsü'nde kıdemli bir analist olan David Seversky, risk değerlendirmesi konusundaki bakış açılarını sundular. Argümanlarınız incelenmeye değer.
Herhangi bir kaliteli siber güvenlik kursu, risk değerlendirmesinin iki ana faktöre bağlı olduğunu öğretir: bir olay olasılığı ve olası kayıplar. Ancak bu veriler nereden geliyor ve daha da önemlisi nasıl yorumlanmalı? Ne de olsa, olası kayıpların yanlış bir şekilde değerlendirilmesi hatalı sonuçlara yol açar ve bu da optimize edilmemiş koruma stratejileriyle sonuçlanır.
Aritmetik ortalama yararlı bir gösterge midir?
Birçok şirket, veri ihlalleri nedeniyle olası mali kayıplara yönelik çalışmalar yürütür. "Ana sonuçları" genellikle karşılaştırılabilir büyüklükteki şirketlerin kayıplarının ortalamalarıdır. Sonuç matematiksel olarak geçerlidir ve sayı akılda kalıcı manşetlerde harika görünebilir, ancak riski hesaplamak için buna gerçekten güvenilebilir mi?
Aynı verileri bir grafikte çizmek (yatay eksen boyunca toplam kayıplar; dikey eksen boyunca olay sayısı), aritmetik ortalamanın doğru gösterge olmadığını gösterir. Vakaların %90'ında ortalama kayıplar aritmetik ortalamanın altındadır.
Çeşitli göstergelere göre kayıp değerlendirmesi
Ortalama bir şirketin maruz kalabileceği kayıplardan bahsederken, diğer göstergelere, özellikle de medyana (örneklemeyi iki eşit parçaya bölen sayı, rapor edilen sayıların yarısı daha yüksek ve yarısı daha yüksek olacak şekilde) bakmak daha mantıklıdır. daha düşüktür) ve geometrik ortalama (orantılı ortalama). Çoğu şirket bu tür kayıplara maruz kalır. Aritmetik ortalama, alışılmadık derecede yüksek kayıplara sahip az sayıda olay nedeniyle çok kafa karıştırıcı bir sayı olabilir.
Veri ihlali kayıplarının dağılımı. Kaynak: cyentia.com çalışması "Bilgi Riski Öngörüleri Çalışması - IRIS 2020"
Bir veri ihlalinin ortalama maliyeti
Şüpheli bir "ortalama" için başka bir örnek, etkilenen kayıt sayısını bir kaydın kaybından kaynaklanan ortalama hasar miktarıyla çarpan veri ihlali kaybı hesaplama yönteminden gelir. Uygulama, bu yöntemin küçük olayların kayıplarını hafife aldığını ve büyük olayların kayıplarını büyük ölçüde abarttığını göstermiştir.
Bir örnek: Bir süre önce, birçok analitik sitesinde yanlış yapılandırılmış bulut hizmetlerinin işletmelere yaklaşık 5 trilyon dolara mal olduğunu iddia eden bir hikaye dolaştı. Bu astronomik miktarın nereden geldiği araştırıldığında, 5 trilyon dolarlık rakamın, "sızan" kayıtların sayısı ile rekor kaybının neden olduğu ortalama zararın (150 $) çarpılmasıyla elde edildiği ortaya çıkıyor. İkinci sayı, bir veri ihlalinin maliyetine ilişkin 2019 Ponemon Enstitüsü çalışmasından alınmıştır.
Aritmetik araçlar her zaman kayıplar hakkında net bilgi sağlamaz.
Bununla birlikte, hikaye bazı çekincelerle izlenmelidir. Her şeyden önce, çalışma tüm olayları dikkate almadı. İkincisi, aritmetik ortalama, yalnızca kullanılan örneğe bakıldığında bile kayıpların net bir göstergesini vermez. Yalnızca kaybı 10.000 ABD Dolarından az ve 1 sentten fazla zarara yol açabilecek vakalar dikkate alınmıştır. Ek olarak, çalışma metodolojisi, ortalamanın 100.000'den fazla kaydı içeren olaylar için geçerli olmadığını açıkça ortaya koymaktadır. Bu nedenle, yanlış yapılandırılmış bulut hizmetleri nedeniyle sızdırılan toplam kayıt sayısını 150 ile çarpmak temelde yanlıştı.
Bu yöntemin gerçek bir risk değerlendirmesiyle sonuçlanması gerekiyorsa, olayın büyüklüğüne bağlı olarak kayıp olasılığının başka bir göstergesini içermesi gerekir.
domino etkisi
Bir olaydan kaynaklanan zarar hesaplanırken genellikle gözden kaçan bir başka faktör de, tek bir kuruluştan daha fazlasını etkileyen bu tür modern veri ihlallerinin zincirleme reaksiyonudur. Çoğu durumda, üçüncü taraf şirketlerin (ortakların, yüklenicilerin ve tedarikçilerin) neden olduğu toplam zarar, verilerin sızdırıldığı şirkete verilen zarardan fazladır.
“Dijitalleşmeye” yönelik genel eğilim, farklı şirketlerdeki iş süreçlerinin birbirine bağımlılık derecesini artırdığından, bu tür olayların sayısı her yıl artmaktadır. RiskRecon ve Cyentia tarafından yürütülen çalışmanın sonuçlarına göre, bu türden 813 olay, 5.437 kuruluş ve şirket için kayıpla sonuçlandı. Bu, bir veri ihlaline maruz kalan her şirket için, olaydan ortalama olarak dörtten fazla şirketin etkilendiği anlamına gelir.
Praxistip'ler
Özetle, siber riskleri değerlendiren mantıklı uzmanlar aşağıdaki tavsiyelere kulak vermelidir:
- Gösterişli başlıklara güvenmeyin. Birçok web sitesi belirli bilgiler içerse de, mutlaka doğru değildir. Her zaman iddiayı destekleyen kaynağa bakın ve araştırmacıların metodolojisini kendileri analiz edin.
- Yalnızca içerik açısından anlayabileceğiniz ve risk değerlendirmenizle tutarlı olan araştırma sonuçlarını kullanın.
- Şirketinizdeki bir olayın diğer şirketler için veri ihlallerine yol açabileceğini unutmayın. Şirketinizin sorumlu olduğu bir sızıntı meydana gelirse, diğer tarafların size karşı yasal işlem başlatması muhtemeldir ve bu olaydan zararınızı artırır.
- Tersi durumu da unutma. Kontrolünüzün olmadığı ortaklar, tedarikçiler ve yüklenicilerdeki veri ihlalleri de verilerinizi sızdırabilir.
Kaspersky.com'daki blogda daha fazlasını okuyun
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi