Data publikacji: 2 listopada 2021

RYZYKO A PODATNOŚCI

Zarządzanie ryzykiem, za sprawą coraz częściej wymaganego myślenia opartego o ryzyko, staje się tematem numer 1. Coraz więcej standardów, ale również i przepisów wskazuje na konieczność wdrażania rozwiązań zależnych od stopnia ryzyka. W publikacjach i przepisach tych widoczne jest podejście dwustopniowe:

Wymagania minimalne, wynikające z przepisu prawa;

Wymagania adekwatne do danego systemu, wynikające z analizy zagrożeń i/lub szacowania i oceny ryzyka.

RODO jest tego idealnym przykładem. Nakazuje ochronę przed utratą tzw. atrybutów bezpieczeństwa informacji, czyli poufności, integralności, dostępności w sposób bezwzględny. Nie wymaga oceny stopnia ważności naruszenia i tego, czy naruszenie będzie skutkować istotnymi ryzykami dla osób, których dane są przetwarzane. Incydenty te nazywane są naruszeniem ochrony i jako takie wymagają dalszego działania opisanego w artykułach 33 i 34 RODO.

Drugim przykładem jest obszar bezpieczeństwa pracowników. Wymagania tzw. Dyrektywy Maszynowej wskazują odpowiedzialność producenta za spełnienie wymagań bezpieczeństwa. Stanowi to jedno z wymagań do wystawienia deklaracji zgodności i nadania znaku CE. Mimo tego, że producent określa, że maszyna czy urządzenie są bezpieczne dla użytkownika, pracodawca jest zobowiązany do każdorazowej oceny zgodności w momencie instalowania maszyny czy wprowadzeniu jej do użytkowania. W przypadku zidentyfikowania zagrożeń i ryzyk dla operatora maszyny, pracodawca ma obowiązek uzupełnienia zabezpieczeń o środki ochrony zbiorowej lub indywidualnej.

Przykładów takiego podejścia jest naprawdę wiele. Niemniej w każdym z działań związanych z szacowaniem i oceną ryzyka lub w węższym, branżowym podejściu – analizą zagrożeń, punktem wyjścia jest podatność.

DEFINICJA PODATNOŚCI

W Europejskiej Akademii Bezpieczeństwa i Ochrony używamy poniższej definicji podatności:

Podatność to słabość zasobu, procesu, organizacji, którą może wykorzystać zagrożenie.

Poszerzając rozumienie definicji- jeśli zagrożenie występuje w otoczeniu, środowisku (np. IT), a zasób, proces czy organizacja nie są wrażliwe i nie tracą swoich parametrów (np. atrybutów), to nie wystąpi ryzyko. Nawet jeśli zagrożenie się zmaterializuje, np. dojdzie do zdarzeń atmosferycznych, ale zasób jest na nie niewrażliwy, ocena uszkodzenia i skutków wynikających z tego zdarzenia nie będzie możliwa i staje się bezzasadna.

Taka sytuacja jednak zwykle nie występuje w naturze, dlatego warto dobrze zrozumieć istotę podatności i jej cech.

Podatność posiada swoje dwa parametry podstawowe, które powinny być rozpatrywane:

Wrażliwość, wynikająca z siły zagrożenia;

Wrażliwość, wynikająca z czasu ekspozycji.

Parametrów może być więcej, jednak te dwa wystarczą do zrozumienia istoty podatności.

WRAŻLIWOŚĆ

Wrażliwość zasobu to parametr, który pokazuje, jak oddziałuje zagrożenie na dany zasób. Dość często jest powiązany z siłą oddziaływania zagrożenia. Przykładowo zalanie szklanką wody spowoduje, że komputer nie utraci w pełni swoich parametrów (np. konieczna będzie wymiana klawiatury, bez utraty danych). W przypadku, gdy dojdzie do zalania większą ilością wody (np. 10 litrów), to praktycznie żaden komputer, standardowo używany, nie przetrwa.

CZAS EKSPOZYCJI

Czas ekspozycji jest związany z oddziaływaniem zagrożenia na zasób. Istotę czasu ekspozycji doskonale oddaje polskie powiedzenie:

Kropla drąży skałę.

Czas ekspozycji jest bardzo istotny w przypadku oddziaływania zarówno czynników fizycznych, takich jak temperatura czy wilgotność, ale również i tych związanych z przetwarzaniem informacji w systemach IT. Czas ekspozycji zasobu jest w tym przypadku rozumiany jako czas, w którym możliwe jest wykorzystywanie ataków, np. brute-force do łamania haseł. Na podstawie czasu ekspozycji (próby złamania hasła), w której hasło nie będzie jednak skompromitowane, oznaczane są interwały zmiany hasła.

PODEJŚCIE W STANDARDACH I PRZEPISACH

W większości standardów i przepisów nie ma wyraźnie określonych zasad oceny podatności zasobu na zagrożenie (procesy wykorzystują zasoby, więc kombinacja podatności zasobów determinować będzie wrażliwość całego procesu). Dla przykładu obszar BHP wskazuje wiele poziomów tzw. natężenia, czy to hałasu (NDN – najwyższe dopuszczalne natężenie), czy innych czynników ryzyka (NDS-najwyższe dopuszczalne stężenie). W przypadku ryzyka dobrym przykładem są NDS-y, czyli najwyższe dopuszczalne stężenia:

NDS – najwyższe dopuszczalne stężenie, wartość średnia ważona stężenia, którego oddziaływanie na pracownika w ciągu 8-godzinnego dobowego i przeciętnego tygodniowego wymiaru czasu pracy, określonego w ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy, przez okres jego aktywności zawodowej nie powinno spowodować ujemnych zmian w jego stanie zdrowia oraz w stanie zdrowia jego przyszłych pokoleń. Oznacza to, że pracownik może być poddany ekspozycji na czynnik przez 8 godzin, przy zastosowaniu wyliczenia średniej ważonej.

WAŻNE: NDSch i NDSp należy stosować jako czynniki wyłączające NDS, jeśli zostaną przekroczone.

NDSch – najwyższe dopuszczalne stężenie chwilowe, wartość średnia stężenia, które nie powinno spowodować ujemnych zmian w stanie zdrowia pracownika, jeżeli występuje w środowisku pracy nie dłużej niż 15 minut i nie częściej niż 2 razy w czasie zmiany roboczej, w odstępie czasu nie krótszym niż 1 godzina. Oznacza to, że ekspozycja na czynnik musi przekroczyć 30 minut w ciągu doby, aby doszło do negatywnych skutków.

NDSp – najwyższe dopuszczalne stężenie pułapowe to wartość stężenia czynnika zagrożenia, które nie może być nigdy przekroczone. Jego przekroczenie oznacza wysokie prawdopodobieństwo zgonu osoby. Jest to przykład występowania siły zagrożenia, która powoduje wykorzystanie podatności przy pierwszej styczności z nim, jeśli jest określona „ilość” zagrożenia.

PODSUMOWANIE

Kwestia podatności bywa często niesłusznie pomijana czy też traktowana jako mniej ważna. Wystarczy jednak skutecznie obniżyć podatność zasobu, wprowadzając zabezpieczenie, aby obniżyć możliwość materializacji zagrożenia, a więc także ryzyka. Wymaga to jednak rzetelnej pracy przy identyfikacji zasobów i procesów oraz ich słabości.

Na przykładzie NDS-ów są to przykładowo identyfikacje czynników i ich wpływu oraz stosowanie odzieży ochronnej jako zabezpieczenia. Obniżenie podatności pracownika nie jest związane ze zmniejszeniem występowania czynników czy czasu ekspozycji. Po prostu organizm nie jest wystawiony, pisząc kolokwialnie, na ich działanie.

Rozwinięcie tematu podatności i ryzyka na najbliższym szkoleniu on- line Szacowanie i ocena ryzyka 15 – 16 listopada 2021 r.

Zapisy i szczegółowe informacje: biuro@szkoleniazbezpieczenstwa.pl

AUTOR: Eksperci ESSA

PODOBNE ARTYKUŁY:

O wiodących koncepcjach personalnych w zarządzaniu zasobami ludzkimi, czyli jak zarządzać personelem, by unikać jego błędów?

Błędy pracownika, błędy kierownika, błędy… Błąd pracownika może powodować dla firmy dużą stratę, czasem nawet bardzo dużą. Błąd pracownika z działu bezpieczeństwa czy innej osoby, który wykonuje zadania dotyczące bezpieczeństwa może kosztować firmę zdecydowanie ZA...

Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje?

Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje? W poprzednim artykule zostało opisane ryzyko w NIS 2 - wymagania w zakresie szacowania i oceny ryzyka w kontekście świadczenia usług kluczowych. Dziś kilka słów o drugiej z...

Szacowanie i ocena w NIS 2 – analiza ryzyka, szacowanie, czy ocena?

Ryzyko w NIS 2 Dyrektywa NIS 2 (Network and Information Security) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE wprowadza szereg wymagań w zakresie stosowanych rozwiązań organizacyjnych. Jednym z nich jest polityka analizy...

NAJBLIŻSZE SZKOLENIA

Szkolenie online: Szacowanie i ocena ryzyka
14 maja @ 09:30 - 15 maja @ 15:30
Szkolenie on-line: Zarządzanie kryzysowe
28 maja @ 09:30 - 29 maja @ 15:30
Szkolenie online: Zarządzanie bezpieczeństwem
11 czerwca @ 09:30 - 12 czerwca @ 15:30

O wiodących koncepcjach personalnych w zarządzaniu zasobami ludzkimi, czyli jak zarządzać personelem, by unikać jego błędów?

Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje?

Szacowanie i ocena w NIS 2 – analiza ryzyka, szacowanie, czy ocena?

Szkolenie online: Szacowanie i ocena ryzyka

Szkolenie on-line: Zarządzanie kryzysowe

Szkolenie online: Zarządzanie bezpieczeństwem