A biztonság sokba kerül. A legnagyobb kihívás egy vállalat IT-szervezetének, hogy olyan kiadásokat vigyenek át a cég menedzsmentjén, melyeknek nincs közvetlenül is kimutatható pozitív üzleti haszna. A biztonsági költések jellemzően ilyenek. Ha bekövetkezik egy incidens, az az bizonyítja, hogy az IT rosszul végezte a munkáját, ha meg nem következik be incidens, akkor jön a kérdés: minek költöttünk rá?

Hasonló témák október 14-én a CIO Budapest konferencián is terítékre kerülnek.

Szóval vesztő helyzet ez így mindenképpen.

Biztosítás = biztonság?

Hogyan becsülhető meg egy kibertámadás negatív hatásának nagyságrendje? Raiffeisennél májusban történt súlyos leállás kapcsán a Bitport által megkérdezett szakemberek arra hívták fel a figyelmet, hogy ebben mindenképpen meg kell különböztetni a nemzetbiztonsági szempontból kritikus infrastruktúrákkal és egy-egy vállalat IT-infrastruktúrájával szembeni elvárásokat. Míg az előbbinél nincs olyan, hogy túlbiztosítás, addig az utóbbinál az üzletfolytonossággal kapcsolatos elvárás határozza meg a védelem szintjét. Utóbbi esetben business case alapján kell dönteni arról, hogy a biztonsági költések milyen arányban álljanak a várható veszteségekkel, beleértve a reputációs veszteségeket is.

A kritikus infrastruktúrák esetében azonban ez sokkal bonyolultabb, mivel a hatás is kiterjedtebb. Ezt vizsgálta a nagy múltú biztosítótársaság, a Lloyd a Cambridge-i Egyetemmel közösen Business Blackout című tanulmányában. Egy az Egyesült Államok kritikus infrastruktúrája ellen indított elképzelt kibertámadáson keresztül mutatták be a potenciális károk nagyságát és a kárenyhítés nehézségeit – elsősorban persze a biztosítók szempontjából, azaz forintosítani próbálták a támadás nyomán bekövetkező károkat.

Lényegében különböző forgatókönyvekkel próbálták modellezni a hatásokat. Mint azt a Biztonságportál írja a tanulmányról készített összefoglalójában, ilyen támadásszimulációkat világszerte és Magyarországon is végeznek.

Ha nincs áram, nincs semmi

A kutatók egy olyan esetre állítottak fel különböző forgatókönyveket, amikor az Egyesült Államok ötven különböző áramellátó és áramelosztó központja ellen indítanak kibertámadást. Egy ilyen incidens az USA 15 államának 93 millió lakosát érintené. A kár minimuma pedig 243 milliárd dollár lenne.

És itt jön a probléma. Ez ugyanis csak a közvetlen hatásokból jön össze, amihez hozzá kell adni minden, a támadásban sújtott lakos és vállalat kárigényét, amivel akár a 243 milliárd többszöröse is összejöhet.

Egy kibertámadás után mindenekelőtt ott van az áramszolgáltatók kárigénye: az áramkimaradás náluk az üzletmenet-folytonosság sérülését jelenti, lesznek helyreállítási költségeik, és számolniuk kell az ügyfeleik kártérítési igényeivel is. Emellett ott vannak az addicionális hatások: leáll egy hűtőház, félbeszakadnak műtétek stb., amelyek újabb kártérítési igényeket generálnak.

A komplex hatás komplex terméket kíván

A biztosítók szempontjából pedig pont ez a lényeg. A Lloyd egyik igazgatója, Tom Bolt szerint éppen ezért az ilyen incidensek működését komplexen, az egymással kölcsönhatásban lévő kockázatokkal számolva kell vizsgálni. Csak így alakítható ki ugyanis olyan biztosítási termékek, amelyek egyszerre adnak biztonságot a kibertérben dolgozó vállalkozásokat, illetve a kormányzatokat, és teszik fenntarthatóvá a kibertámadásokkal kapcsolatos biztosítási üzletet.

Másfelől a Lloyd egyelpre azt is komoly problémának látja, hogy a vállalatok sem gondolnak az ilyen problémák komplexitására. Abban a tévhitben élnek, hogy az IT-rendszereikre kötött biztosítás kiterjed a kibertámadások következtében bekövetkező károkra is, miközben ez nem így van. Ebben persze a biztosítók is ludasak: nincs megfelelő tájékoztatás, és sok társaságnak nincs is terméke a kibertámadásokra.

Pedig az ilyen biztosítási termékeknek nem csak azért lenne pozitív hatása a kiberbiztonságra, mert a negatív pénzügyi hatásokat csökkenti. A White Hat Security alapítója, Jeremiah Grossman szerint ha a vállalatok találkoznak ilyen termékekkel, az a probléma megértésében, és a kockázat nagyságának becslésében is segíti őket. Ugyanis maga a biztosítási termék is szembesíti őket azzal, hogy milyen komplex kockázattal állnak szemben.