Analiza ryzyka
Dla stopni ochrony s.i. określonych jako wysoki i bardzo wysoki, dla poprawnego określenia wymaganych przedsięwzięć ochrony potrzebna jest analiza ryzyka (ang. Risk analysis). W dalszej części analizowane będzie tzw. „bezpieczeństwo do wewnątrz”.
„Słownik języka polskiego” (PWN 1983) określa ryzyko jako:
możliwość, prawdopodobieństwo, że coś się nie uda, przedsięwzięcie którego wynik jest nieznany, niepewny problematyczny.
Czterotomowa „Encyklopedia Powszechna PWN” (PWN 1987) określa ryzyko jako pojęcie z dziedziny prawa:
W prawie cywilnym niebezpieczeństwo powstania szkody obciążające osobę bezpośrednio poszkodowaną, chyba że umowa lub przepis prawny zobowiązuje inną osobę do wyrównania szkody...: szczególnie na zasadzie ryzyka opiera się odpowiedzialność za szkody wyrządzone w związku a użyciem sił przyrody... W prawie karnym działanie w granicach dopuszczalnego ryzyka może stanowić ustawową lub poza ustawową okoliczność wyłączającą odpowiedzialność karną sprawcy.
Według normy IEC61508 wiążącej pojęcie ryzyka z pojęciem hazardu (ang. hazard; definiowany jest jako sytuacja mogącą spowodować śmierć lub obrażenia ludzi):
Ryzyko jest marą stopnia zagrożenia, wyrażającą zarówno stopień szkodliwości hazardu, jak i prawdopodobieństwo jego wystąpienia.
Według PN – Technika informatyczna ryzyko to:
Prawdopodobieństwo, że określone zagrożenie wykorzysta określoną podatność systemu przetwarzania danych.
Słowo ryzyko posiada zatem wiele znaczeń. Dla potrzeb bezpieczeństwa informacji w s.i. można zaadaptować definicję podaną w normie IEC61508:
Pod pojęciem ryzyka należy rozumieć miarę stopnia zagrożenia dla tajności, integralności i dostępności informacji wyrażoną jako iloczyn prawdopodobieństwa wystąpienia sytuacji stwarzającej takie zagrożenie i stopnia szkodliwości jej skutków.
Analiza ryzyka jest natomiast procesem składającym się z następujących etapów:
· szacowania ryzyka:
Þ identyfikacji zagrożeń;
Þ określenie elementów systemu informatycznego podatnych na zagrożenia;
Þ określeniu prawdopodobieństwa wystąpienia skutków zagrożeń (np. kradzieży pieniędzy z konta bankowego) w przypadku zajścia takich zagrożeń (np. złamania hasła);
· oceny akceptowalności ryzyka:
Þ określeniu stopnia szkodliwości skutków zagrożenia (polega zwykle na oszacowaniu kosztów poniesionych w przypadku realizacji zagrożenia w rozpatrywanym systemie komputerowym w odniesieniu do ustalonego okresu czasu, np. roku);
Þ oszacowaniu kosztów zabezpieczeń (jw.);
Þ wykonaniu analizy strat (liczonych w określonej walucie) i zysków.
Występujące jako część analizy ryzyka oszacowanie podatności na zagrożenia PN definiuje jako aspekt oceny skuteczności obiektu ocenianego w zakresie zabezpieczeń w praktyce, zgodnie z celami zabezpieczenia (tzn. jest to przegląd podatności na utratę zasobów lub nieuprawnione ich wykorzystanie, błędy w raportach i informacji, działania nielegalne lub nieetyczne i/lub niesprzyjające lub nieprzychylne opinii publicznej).
Natomiast pod pojęcie akceptacji ryzyka norma PN umieszcza decyzje kierownictwa, dopuszczające pewien stopień ryzyka, podejmowane zazwyczaj z przyczyn technicznych lub ekonomicznych.
Z analizą ryzyka związany jest blisko termin zarządzanie ryzykiem. Jest to element teorii zarządzania dotyczący identyfikacji, pomiaru, nadzoru i minimalizacji możliwości wystąpienia zdarzeń niepewnych, który zawiera skuteczny program zarządzania obejmujący ocenę ryzyka, określoną na podstawie oceny zagrożeń i podatności, decyzje zarządzające, wdrożenie środków kontroli i przegląd skuteczności.
Zajmując się ryzykiem należy pamiętać że:
· Ryzyko można oszacować lub zredukować, ale nie da się go wyeliminować!
· Ryzyko należy weryfikować – procedura analizy ryzyka musi być powtarzana co pewien czas ze względu na możliwości zaistnienia z biegiem czasu nowych przyczyn mających wpływ na wartość ryzyka.
Generalnie:
szacowanie ryzyka polega na ocenie wszystkich negatywnych skutków badanego przedsięwzięcia i odpowiadających im prawdopodobieństw (częstości występowania);
ocena akceptowalności ryzyka jest często procesem o charakterze „politycznym”, który może być wspomagany metodami formalnymi.
Ocena ryzyka dotyczy zwykle zdarzeń, dla których częstości występowania nie są określone ani bezpośrednio wyznaczalne na odpowiednim poziomie ufności (tzw. „zdarzenia rzadkie”). Z tego powodu przy ocenie ryzyka używa się metod modelowania przystosowanych do szacowania małych prawdopodobieństw – drzew zdarzeń i drzew błędów. W każdej z tych metod szacowanie ryzyka, zadanie złożone dekomponuje się na mniejsze (prostsze) części które po starannej analizie łączy się ponownie, uzyskując lepsze zrozumienie całego zadania oraz możliwość określenia występujących w nim prawdopodobieństw zdarzeń składowych (poprzez wyznaczanie prawdopodobieństw cząstkowych – niezbędne jest w tym celu dysponowanie prawdopodobieństwami zdarzeń elementarnych, które nie są już dalej dekomponowane).
Drzewo zdarzeń jest graficznym modelem zależności przyczynowo – skutkowych występujących w rozpatrywanym problemie. Przy budowie drzewa zdarzeń zakłada się, że określony skutek jest wynikiem ciągu zdarzeń. Drzewo zdarzeń rozpoczyna się zatem pewnym zdarzeniem inicjującym i przedstawia wszystkie możliwe ciągi zdarzeń będące następstwami zdarzenia inicjującego. W różnych miejscach drzewa zdarzeń znajdują się punkty rozgałęzień ilustrujące fakt, że po pewnych zdarzeniach istnieje możliwość wystąpienia różnych innych zdarzeń. Prawdopodobieństwo określonego skutku otrzymuje się mnożąc przez siebie prawdopodobieństwa wszystkich zdarzeń składających się na ścieżkę w drzewie, po której dochodzimy do rozważanego skutku.
Drzewo błędów (jest to również graficzny model zależności przyczynowo – skutkowych) jest budowane w przeciwnym kierunku niż drzewo zdarzeń. Rozpoczyna się określonym skutkiem i rozwija w kierunku zdarzeń poprzedzających, pokazując wszystkie możliwe kombinacje zdarzeń niepożądanych, które mogły doprowadzić do wyspecyfikowanego skutku.
Drzewa zdarzeń i drzewa błędów wykorzystuje się zarówno do analizy jakościowej jak i ilościowej. Jakościowo (tj. bez oszacowania prawdopodobieństw) pomagają one zorientować się w całym zakresie ryzyka i zrozumieć sytuację, której ryzyko dotyczy. Ilościowo drzewa zdarzeń i drzewa błędów pomagają w wyznaczeniu prawdopodobieństw pewnych ciągów zdarzeń lub zdarzeń pojedynczych.
W analizie ilościowej drzewa błędów czyni się zwykle dwa założenia:
1. Zdarzenia funktora LUB wzajemnie się wyłączają;
2. Wszystkie zdarzenia występujące w drzewie błędów są niezależne w sensie probabilistycznym.
Założenie 1 oznacza, że zdarzenie A na wyjściu funktora występuje wtedy, gdy występuje co najmniej jedno ze zdarzeń B1, B2, ..., Bn na wejściu tego funktora. W takim przypadku prawdopodobieństwo p(A) zdarzenia A wynosi:
P(A) = p(B1) + p(B2) + ... + p(Bn)
P(A) ≤ p(B1) + p(B2) + ... + p(Bn)
prowadząca w efekcie do zawyżenia prawdopodobieństwa zdarzenia A.
Drugie założenie, mówiące o niezależności zdarzeń w drzewie błędów w sensie probabilistycznym oznacza, że jeżeli C jest wyjściem funktora I, a zdarzenia D1, D2, ..., Dn pojawiają się na jego wejściu, to
p(C) = p(D1) p(D2) ... p(Dn)
podczas gdy bez tego założenia (tj. zdarzenia są niezależne) zachodzi:
p(C) = p(D1) p(D1/D2) ... p(Dn/D1 ... Dn-1)
gdzie ... p(Di/D1 ... Dj) oznacza prawdopodobieństwo warunkowe zdarzenia Di pod warunkiem występowania koniunkcji zdarzeń D1 ... Dn-1.
W zagadnieniach analizy ryzyka mówi się w takim przypadku o awariach mających wspólną przyczynę, tj. kilka awarii (różnych zdarzeń) występuje w sposób zależny w sensie probabilistycznym dlatego, że posiadają tę samą przyczynę. Analiza ilościowa drzew błędów w takich przypadkach jest trudna, ponieważ:
· wspólną przyczynę trzeba wykryć;
· w wielu miejscach w drzewie błędów trzeba umieścić prawdopodobieństwa warunkowe wynikające z zależności probabilistycznej zdarzeń, które są trudne do oszacowania;
· w przypadku zależności zdarzeń oddalonych (w drzewie błędów) wyznaczenie prawdopodobieństwa zdarzenia na szczycie drzewa jest skomplikowane.
Podstawowym założeniem (i jednocześnie słabym punktem całej metodyki) jest przekonanie, że jeżeli skutkowi nie można przypisać prawdopodobieństwa w sposób natychmiastowy i bezpośredni, to skutek ten da się rozłożyć na ciągi zdarzeń prowadzących do niego i znajdzie się zdarzenia takie, dla których prawdopodobieństwa są znane na podstawie doświadczenia lub które można uzyskać od ekspertów z danej dziedziny. W szczególności, możliwe są następujące sposoby uzyskania prawdopodobieństw elementarnych:
· z prawdopodobieństwa zajścia konkretnych zdarzeń otrzymanego na podstawie danych statystycznych o pracy określonego systemu. Warunkiem jest tutaj oczywiście znalezienie takiego systemu dla którego jest prowadzony dziennik eksploatacji obejmujący m.in. takie fakty jak: sprzętowe awarie systemu, nieudane próby logowania się do systemu, awarie systemu na skutek wniknięcia wirusów, włamania do systemu itd.
· z prawdopodobieństwa otrzymanego na podstawie danych ogólnych (gromadzonych przez niektóre organizacje dla celów statystycznych) dotyczących konkretnych zjawisk, np. Komenda Główna Straży Pożarnej może dysponować danymi dotyczącymi ilości pożarów w Ośrodkach Komputerowych i strat poniesionych w ich wyniku w ciągu roku, korporacja przemysłowa może posiadać dane dotyczące przewidywanego czasu eksploatacji swoich urządzeń, CERT może udostępnić dane o różnych typach włamań do systemów komputerowych itp.
· z oszacowania dokonanego przez eksperta liczby interesujących nas zdarzeń, które mogą zajść w ciągu pewnego okresu czasu;
· z zapisania przez eksperta współczynnika możliwości zajścia danego zdarzenia (w skali np. 1-10) w ciągu pewnego okresu czasu np. roku;
· na podstawie metody delfickiej.
W większości przypadków w analizie ryzyka mamy do czynienia z oceną prawdopodobieństwa zdarzeń rzadkich (jak często zdarza się pożar lub trzęsienie ziemi zagrażające ośrodkowi komputerowemu?). W przypadku braku danych empirycznych, korzystamy (jak wynika z przytoczonej wcześniej listy) z ocen ekspertów. Praktyka wskazuje, że oceny ekspertów, czyli subiektywne szacowanie prawdopodobieństw zdarzeń rzadkich może być obciążone dużymi błędami. Przyczyn takiego stanu rzeczy można doszukiwać się m.in. w dramatyzowaniu niektórych zdarzeń w środkach masowego przekazu, jak np. ujawnienie okolicznościowego wirusa lub włamanie do systemu komputerowego. Z tego powodu te zagrożenia (wirusy i hackerzy) są uważani za najgroźniejsze dla systemu komputerowego i przetwarzanej w nim informacji, chociaż w praktyce okazuje się że częstsze i groźniejsze w skutkach mogą być np. ubytki wykwalifikowanego personelu.
W pewnych opracowaniach przytacza się kilkuetapową procedurę określania subiektywnych ocen prawdopodobieństw rzadkich:
· przedstawia się ekspertowi listę takich zdarzeń i prosi o wskazanie najbardziej prawdopodobnego i najmniej prawdopodobnego zdarzenia na liście, oraz uszeregowanie wszystkich zdarzeń według rosnącego prawdopodobieństwa;
· prosi się eksperta o podanie jego własnej oceny względnego prawdopodobieństwa różnych zdarzeń (np. czy prawdopodobieństwo zdarzenia A jest trzy razy czy dziesięć razy większe od prawdopodobieństwa zdarzenia B);
· pyta się eksperta, czy poszczególne zdarzenia przedstawione na liście są mniej czy bardziej prawdopodobne niż pewne zdarzenia odniesienia (zdarzenia rzadkie o znanych prawdopodobieństwach);
· każdemu zdarzeniu przypisuje się wartość liczbową.
Inną, wymienioną wcześniej metodą określania prawdopodobieństw zdarzeń rzadkich, jest metoda delficka. W metodzie tej zbiera się szacunkowe prawdopodobieństwa wystąpienia interesujących nas zdarzeń od ekspertów, powiela zebrane dane i taki zbiór rozprowadza się wśród tych samych ekspertów z zapytaniem, czy po zapoznaniu się z innymi ocenami nie są skłonni zmodyfikować swojej.
Po takiej „rundzie modyfikacyjnej” dane są zbierane ponownie. Jeżeli otrzymuje się spójne wartości, obliczane są na ich podstawie wartości ostatecznych prawdopodobieństw. Jeżeli wartości są niespójne, eksperci zbierają się w celu przedyskutowania przyczyn niespójności i wypracowania wartości końcowych prawdopodobieństw ocenianych zdarzeń rzadkich.
W analizie ryzyka przy ocenie akceptowalności ryzyka, można stosować następujące formalne metody:
· preferencje ujawnione – miarą akceptowalności nowego ryzyka związanego z danym przedsięwzięciem jest ryzyko już istniejące w społeczeństwie, tzn. posiadać informacje z nim związane (np. częstość utraty pieniędzy z konta bankowego wynosi 1 na milion i jest akceptowane przez klientów banku) i porównać z badanym ryzykiem;
· preferencje wyrażone – różne osoby są pytane wprost o akceptowalność konkretnego ryzyka (muszą być świadome zarówno ryzyka jak i korzyści przedsięwzięcia)
· analiza ryzyka i korzyści – jest to typowo ekonomiczne (korzyści i straty określa się w ustalonej walucie) postępowanie przedstawione we wstępie do tego opracowania.
Akceptowalność ryzyka (w szczególności w trzecie z metod0 napotyka na poważne trudności gdy w grę wchodzi życie ludzkie (a więc w systemach komputerowych wspomagających intensywną terapię, nawigację w samolotach, pracę reaktora jądrowego itp.), ponieważ nie ma akceptowanych powszechnie metod oceniania wartości życia ludzkiego. W literaturze można spotkać następujące podejście do wyceny wartości życia ludzkiego:
· życie ludzkie jako kapitał – wersja netto: wartość osoby jako wartość straty dla reszty społeczeństwa – od dyskontowanych zarobków odejmuje się dyskontowaną sumę przyszłej konsumpcji tej osoby; wersja brutto: ocena wartości życia obejmuje również przyszłą konsumpcję jednostki, której nie odejmuje się od dyskontowanej sumy przyszłych zarobków;
...
inzynieria.biomedyczna