Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje?

W poprzednim artykule zostało opisane ryzyko w NIS 2 – wymagania w zakresie szacowania i oceny ryzyka w kontekście świadczenia usług kluczowych. Dziś kilka słów o drugiej z analiz, która powinna się pojawić, a o której być może prawodawca zapomniał.

Zacznijmy od podstaw: Szacowanie i ocena ryzyka stanowią fundament dla systemów zarzadzania bezpieczeństwem informacji. Analiza wpływu jest z kolei fundamentem systemów zarządzania ciągłością działania. Związek między ryzykiem, a wpływem zaznaczyłem już w poprzednim artykule. W dzisiejszym skupimy się na stronie technicznej, a więc sposobie wykonania analizy.

Istota analizy

Analiza wpływu bywa trudna do odróżnienia od szacowania i oceny ryzyka, ponieważ w wielu przypadkach pojawiają się podobne sformułowania. Identyfikując i analizując ryzyko zastanawiamy się nad wpływem skutku na naszą organizację czy na obszar, który badamy.

Różnica polega przede wszystkim na czasie. Dziś aspekt ten będzie nam potrzebny do zrozumienia, jak w NIS 2 ujmowana jest istota czasu.

Fundamenty ciągłości działania

Założenie ciągłości działania błędnie bywa rozumiane jako działanie stałe, w ogóle nieprzerywalne. Oznacza to, że wiele osób potocznie rozumie ciągłość jako coś, co zatrzyma zakład, usługę, produkcję i w ogóle nie można do tego dopuścić. Skutek rozumiany w ten sposób ma swoje odzwierciedlenie w klasycznym podejściu do ryzyka. I jako taki jest niepoprawnie przenoszony do ciągłości działania.

Wszak nasze działanie może zostać zatrzymane w wyniku informacji o podłożonym ładunku, braku prądu czy kontroli lub też w wyniku wypadku czy awarii. A to oznacza, że zakład formalnie, aby nie przerwać produkcji czy świadczenia usług nawet na chwilę, musiałby być niemalże zdublowany. Nie tylko co do zasobów, ale też i lokalizacji. Oczywiście systemy zarządzania bezpieczeństwem nakierowane są na to, aby nie wydarzył się taki przypadek, jednak nie jest to do końca możliwe i dlatego wciąż nazywane ryzykiem.

Analiza wpływu idzie o kilka kroków dalej. Zakłada wręcz, że produkcja czy świadczenie usługi (tu kluczowej) mogą zostać przerwane. Jednak jej istotą jest zrozumienie, po jak długim przestoju w świadczeniu usługi nastąpią nieodwracalne zmiany. Takie, które wywołają sytuację kryzysową (o tym w kolejnych częściach naszego mini-cyklu).

W zależności od tego, który z obszarów będzie objęty NIS 2, tak te czasy będą wyglądać. Spójrzmy na załącznik I do NIS 2. Wymienione są tam grupy podmiotów, weźmy trzy podstawowe:

• Pod pozycją 1 – energia elektryczna,
• Pod pozycją 6 – woda pitna,
• Pod pozycją 11 – przestrzeń kosmiczna.

Już tych kilka grup wskazuje, że podejście od samego ryzyka będzie nieskuteczne. Bez energii, jak widać po niektórych zjawiskach pogodowych, społeczeństwo da sobie radę nawet przez tydzień (tyle czasem trwają prace związane z usuwaniem skutków). Brak wody pitnej – to skutki, które mogą być liczone nawet w godzinach. Natomiast przestrzeń kosmiczna… ten obszar wymieniłem specjalnie, bo aktualnie pewnie czasy są dość długie, ale gdy będziemy dysponować w przyszłości transportem kosmicznym, to z pewnością czas będzie czasem liczony w sekundach.

Znamy więc już czas, po upływie którego sytuacja stanie się groźna. Na tyle, że może nawet zostać uruchomione zarządzanie kryzysowe. Nie jest to przedmiotem dzisiejszego artykułu, ale warto nieco wprowadzić w tematykę. O ile samo podstawienie beczkowozów z wodą pitną jest nadal obsługą incydentu w obszarze usług kluczowych, o tyle konieczność reglamentacji wody, podjęcia decyzji o kierunku jazdy beczkowozów – to już kwestia wyboru, która jest istotą kryzysu. Nie mamy na tyle sił i środków, aby obsłużyć wszystkie żądania.

Jeszcze jedna dygresja. Może się pojawić pytanie, jaki to ma związek z NIS 2 i cyberbezpieczeństwem? Podam przykład typowo z incydentów fizycznych.

System zarządzania, czy to wodociągów, czy związany ze strażą pożarną, a nawet zwykła łączność na TETRA lub komórkowa, to elementy związane z cyberbezpieczeństwem. Poprawność przekazania żądania i skierowanie pojazdów tam, gdzie mają być, dane z systemów pomiarowych wodociągów, w tym ciśnień – to wszystko jest oparte o systemy IT, a wiele (jeśli nie większość) ICT. I to one, a dokładniej cyberatak na nie może być przyczyną braku dostaw wody. Systemy automatyki przemysłowej (OT) sterują zaworami, mamy też Internet rzeczy (IoT), a więc sporo elementów związanych z systemem zarządzania w wodociągach. A do tego dochodzi zakłócenie w obsłudze incydentu (np. atak na system TETRA).

Wróćmy do istoty analizy wpływu. Gdy już wiemy, po jakim czasie następują skutki nieodwracalne, a przynajmniej trudne do odwrócenia, mamy parametr czasu, stanowiący fundament budowania planów ciągłości działania. Wiemy, kolokwialnie mówiąc, ile mamy czasu na przywrócenie usługi ICT.

I tutaj zaczyna się wyścig z czasem. W toku działań związanych z obsługą incydentu (jeszcze nie kryzysu) podejmowane są czynności zawarte w procedurach i planach odpowiedzi na incydent. Równocześnie mogą być już podejmowane działania, które stanowią odbudowę, jeśli ze wstępnej analizy incydentu wynika, że nie ma już czego ratować lub istnieje poważne zagrożenie pracy na zaatakowanych systemach i sieciach.

Te działania muszą zmieścić się w czasie, który został wyliczony na podstawie analizy wpływu. Powtórzyłem to kolejny raz, gdyż jest to głównym celem niniejszego artykułu. Zrozumienie, że nie bezwzględne podejście do ryzyka, a parametr czasu jest kluczowy w tych działaniach.

Podsumowanie

Dzisiejszy artykuł rozwija i omawia różnice między szacowaniem i oceną ryzyka. Wyniki szacowania stanowią dane wejściowe dla analizy wpływu w obszarach, w których przewidziana jest możliwość przerwania świadczenia usług w czasie powyżej akceptowalnego i dopuszczalnego. Różnice zacierają się również dlatego, że coraz częściej ryzyko jest szacowane w oparciu o proces, co dawniej było cechą charakterystyczną dla ciągłości działania. W drugą stronę – zarządzanie ciągłością działania poza podejściem od procesu (per work proces) posiada standardowe schematy postępowania w trzech wariantach – utraty lokalizacji (loss of site), utraty personelu (loss of people) oraz utraty usług IT (loss of IT). W tym ostatnim scenariuszu mieści się również telekomunikacja, więc można mówić już o LoICT – loss of ICT.