Küberriski kvantitatiivne hindamine NIS2 ja DORA jaoks
Juhatuse koosolek, kus „kõrge risk“ ei olnud enam piisav
On teisipäeva hommik, kell 08:15. Kiiresti kasvava finantstehnoloogia ettevõtte infoturbejuht seisab juhatuse koosolekuruumi ukse taga kolme versiooniga samast küberriski loost.
Esimene versioon on tuttav: lunavara on „kõrge“, pilveteenuse katkestus on „kõrge“, tarnija kompromiteerimine on „keskmine“, privilegeeritud juurdepääsu väärkasutus on „kõrge“. See on kaitstav, kooskõlas kehtiva riskiregistriga ja peaaegu kasutu otsuse jaoks, mille juhatus peab tegema.
Teine versioon on tehniline tegevuskava: juurutada muutmatud varukoopiad, tugevdada identiteedi- ja pääsuhalduse kontrolle, rahastada talitluspidevuse testimist, tugevdada tarnijate seiret ja laiendada logimise katvust. See on mõistlik, kuid finantsjuht esitab küsimuse, mis muudab koosoleku suunda: „Milline neist vähendab kõige rohkem äririski ühe euro kohta?“
Kolmas versioon muudab arutelu.
Makseorkestreerimise platvormi 12-tunnise katkestuse kogumõju tegevusele, lepingutele ja tulule hinnatakse 620 000 eurole. Praegune aastane riskipositsioon on hinnanguliselt 186 000 eurot. 74 000 euro suurune talitluspidevuse pakett võib vähendada oodatavat aastast kahju ligikaudu 62 000 euroni. Allesjääv riskipositsioon ületab endiselt riskitaluvust, sest teenus toetab kriitilist või olulist funktsiooni, klientide teavitamisega seotud riskipositsioon on jätkuvalt märkimisväärne ja sõltuvus kolmandatest osapooltest on suur.
Nüüd ei aruta juhatus enam värve. Arutatakse finantsilist riskipositsiooni, riskitaluvust, regulatiivset vastutust ja investeeringute prioriteete.
See on küberriski kvantitatiivne hindamine 2026. aastal. See ei ole matemaatiline teater. See ei tähenda teesklust, et kübersündmusi saab täiusliku täpsusega ette ennustada. See on distsiplineeritud tõlge väitest „see on punane“ kujule „see on usutav finantsiline riskipositsioon, see on kindlustase, see on regulatiivne tagajärg, see on käsitlusotsus ja see on tõendusjälg“.
Infoturbejuhtide, nõuetelevastavuse juhtide, audiitorite ja ettevõtete omanike jaoks muutub see nihe praktikas möödapääsmatuks. ISO/IEC 27001:2022 nõuab dokumenteeritud, järjepidevat ja võrreldavat riskihindamise ja riskikäsitluse protsessi. NIS2 toob küberturberiski juhtorgani heakskiidu, järelevalve, koolituse ja vastutuse alla. DORA seab finantssektori ettevõtetes kesksele kohale IKT-riski juhtimise, tegevuskerksuse testimise, intsidentide klassifitseerimise, kolmandate osapoolte riski ja juhtkonna vastutuse. NIST CSF 2.0 annab juhtkonnale juhtimiskeele riskivalmiduse, prioriseerimise ja järelevalve käsitlemiseks. GDPR lisab vastutuse, kui kaasatud on isikuandmed.
Puudujääk ei seisne selles, et organisatsioonidel puuduvad riskiregistrid. Puudujääk seisneb selles, et paljud riskiregistrid ei suuda selgitada raha, prioriteete, juhatuse vastutust ega audititõendusmaterjali.
Claryseci lähenemine sulgeb selle lünga, ühendades Zenith Blueprint: audiitori 30-sammuline tegevuskava Zenith Blueprint, Claryseci poliitikad ja Zenith Controls: vastavuse ristkaardistuse juhend Zenith Controls üheks praktiliseks tõendusmudeliks: kvantifitseeri oluline, seo see kontrollimeetmetega, näita, kes selle aktsepteeris, ja tõenda, et käsitlus toimis.
Miks kvalitatiivsetest riskiregistritest enam ei piisa
Kvalitatiivne riskihindamine on endiselt oluline. Selge tõenäosuse ja mõju maatriks aitab meeskondadel prioriseerida, kui andmed on puudulikud, eriti laia ISMS-i kohaldamisala puhul. Probleem algab siis, kui organisatsioon piirdub ainult sellega.
Juhatus saab aru, et risk on „kõrge“, kuid ta ei saa lihtsalt võrrelda kolme „kõrget“ riski, mis konkureerivad sama eelarve pärast. Kas kõrgeim prioriteet on lunavarastsenaarium, pilveteenuse katkestus, tarnija kontsentratsioonirisk või privilegeeritud juurdepääsu nõrkus? Vastus sõltub finantsilisest riskipositsioonist, regulatiivsest tõsidusest, mõjust klientidele, lepingulistest kohustustest, teenuse kriitilisusest ja jääkriskist pärast käsitlust.
Seetõttu toimib küberriski kvantitatiivne hindamine kõige paremini hübriidmudelina. Iga väikest probleemi ei ole vaja kvantifitseerida. Kasuta kogu registris kvalitatiivset skoorimist ja lisa finantsanalüüs riskidele, mis nõuavad juhtkonna otsust, investeeringu heakskiitu, lepingulisi samme, riski ülekandmist või juhatuse järelevalvet.
Claryseci ettevõtte riskijuhtimise poliitika Riskijuhtimise poliitika toetab seda selgesõnaliselt. Jaotises „Poliitika rakendamise nõuded“, punktis 6.2.3 on öeldud:
„Sõltuvalt riskikategooriast ja teabe kättesaadavusest võib kasutada nii kvalitatiivseid kui ka kvantitatiivseid meetodeid.“
See punkt on oluline, sest aitab vältida levinud viga: näilist täpsust. Küpsed organisatsioonid ei sunni finantsmodelleerimist igale väikesele riskile. Nad kasutavad seda seal, kus otsus seda vajab.
VKE-de puhul võib alus jääda lihtsaks. Claryseci VKE-de riskijuhtimise poliitika Riskijuhtimise poliitika - VKE, jaotis „Juhtimisnõuded“, punkt 5.1.2, ütleb:
„Iga riskikirje peab sisaldama: kirjeldust, tõenäosust, mõju, skoori, omanikku ja riski käsitlemise plaani.“
Parandus ei seisne selle struktuuri asendamises. Parandus seisneb kõige olulisemate kirjete täiendamises finantshinnangutega, eriti kui kaasatud on seisak, reguleeritud teenused, isikuandmed, pilvesõltuvus, IKT allhange või kriitilised kliendikohustused.
Juhtimise nihe: küberrisk on nüüd juhatuse tõendusobjekt
Küberriski kvantifitseerimine ei ole üksnes finantsharjutus. See on juhtimise tõendusmaterjal.
ISO/IEC 27001:2022 kohaselt peab organisatsioon määratlema konteksti, huvitatud pooled, õiguslikud ja lepingulised nõuded, kohaldamisala, liidesed ja sõltuvused. Organisatsioon peab määratlema infoturbe riskihindamise protsessi, mis annab järjepidevaid, kehtivaid ja võrreldavaid tulemusi. Ta peab tuvastama konfidentsiaalsust, terviklust ja käideldavust ohustavad riskid, määrama riskiomanikud, hindama tagajärgi ja tõenäosust, määrama riskitasemed ning prioriseerima riskid. Seejärel tuleb valida käsitlusvariandid, määrata kontrollimeetmed, võrrelda neid lisaga A, koostada kohaldatavusdeklaratsioon, saada riskiomaniku heakskiit ja säilitada dokumenteeritud teave.
See tähendab, et riskiregister ei ole turvameeskonna privaatne arvutustabel. See on ISMS-i kirje, mis seob juhtkonna, kontrollimeetmete valiku, käsitluse vastutuse ja juhtkonnapoolse läbivaatuse.
NIS2 tõstab ootust veelgi. Oluliste ja tähtsate üksuste juhtorganid peavad heaks kiitma küberturberiski juhtimise meetmed, jälgima nende rakendamist ning saama koolitust, et mõista riske ja hinnata küberturbepraktikaid. NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, võttes arvesse tehnika taset, rakendamiskulu, riskipositsiooni, üksuse suurust, tõenäosust, tõsidust ning ühiskondlikku ja majanduslikku mõju.
See väljend, „ühiskondlik ja majanduslik mõju“, on koht, kus küberriski finantsiline kvantifitseerimine muutub mõjusaks. Teenuseosutaja, kes toetab pilveteenuseid, andmekeskusi, DNS-i, usaldusteenuseid, hallatud teenuseid, hallatud turbeteenuseid, digitaristut, veebipõhiseid kauplemiskohti või muid hõlmatud sektoreid, võib vajada tõendamist mitte ainult selle kohta, et kontrollimeetmed on olemas, vaid ka selle kohta, miks need on riskipositsiooniga proportsionaalsed.
Finantssektori ettevõtetele kohaldub DORA alates 17. jaanuarist 2025 ja sellest saab sektoriülene digitaalse tegevuskerksuse regulatsioon. See hõlmab IKT-riski juhtimist, oluliste IKT-ga seotud intsidentide teatamist, digitaalse tegevuskerksuse testimist, küberohuteabe jagamist, IKT kolmandate osapoolte riski ja kriitiliste IKT kolmandatest osapooltest teenuseosutajate järelevalvet. Finantssektori ettevõtete puhul, kes on tuvastatud ka NIS2 riikliku ülevõtmise alusel, toimib DORA asjaomastes IKT-riski juhtimise ja intsidenditeavituse küsimustes sektoriülese liidu õigusaktina.
Praktikas ei vaja fintech viit eraldiseisvat riskiraamistikku. Ta vajab üht integreeritud riskimudelit, mis näitab, milline režiim kohaldub, millised sõltuvused esinevad, milline finantsiline riskipositsioon on usutav ning kuidas juhtkond käsitluse heaks kiitis ja selle üle järelevalvet tegi.
GDPR lisab veel ühe kihi. Kui kaasatud on isikuandmed, võib kübersündmusest saada isikuandmetega seotud rikkumine, mitte üksnes tegevusintsident. Riskimudel peaks tuvastama töötlemise konteksti, vastutava töötleja või volitatud töötleja rolli, andmekategooriad, vajaduse korral eriliigilised andmed, turvameetmed, rikkumise hindamise loogika ja teavitamise mõjud.
Riskikaardilt eurodeni: praktiline hübriidmudel
Õige küsimus ei ole: „Kas peaksime kvalitatiivse riskihindamise asendama?“ Õige küsimus on: „Millised riskid väärivad finantsilist kvantifitseerimist?“
Zenith Blueprint, riskijuhtimise etapp, samm 12 „Riskihindamise meetodid: kvalitatiivne ja kvantitatiivne“, annab pragmaatilise vastuse:
„Kvantitatiivne riskihindamine püüab hinnata riski arvulistes näitajates (nt oodatav aastane kahju valuutas). See hõlmab sageli:
✓ Ajalooliste intsidendiandmete kogumist (nt kui sageli rikkumine toimub ja milline on keskmine kulu). ✓ Selliste mudelite kasutamist nagu aastane oodatav kahju (ALE = ühekordse kahju mõju × aastane esinemissagedus) või keerukama analüüsi jaoks selliste raamistike kasutamist nagu FAIR (Factor Analysis of Information Risk).“
Sama samm hoiatab, et puhtalt kvantitatiivne analüüs võib olla VKE-de jaoks keeruline, sest ajaloolisi andmeid võib olla vähe ja protsess võib olla ressursimahukas. Praktiline vastus on peamiste riskide puhul „kerge kvantitatiivne“ analüüs.
| Element | Praktiline tähendus | Näide |
|---|---|---|
| Ühekordse kahju mõju | Hinnanguline mõju, kui stsenaarium toimub üks kord | 620 000 eurot 12-tunnise makseplatvormi katkestuse eest |
| Aastane esinemissagedus | Hinnanguline sagedus aastas | 0,3 ehk ligikaudu kord iga 3,3 aasta järel |
| Aastane oodatav kahju | Ühekordse kahju mõju korrutatuna aastase esinemissagedusega | 186 000 eurot oodatavat aastast riskipositsiooni |
| Käsitluskulu | Kontrollimeetmete paketi kulu | 74 000 eurot ümberlülituse, seire ja testimise eest |
| Jääk-aastane oodatav kahju | Hinnanguline aastane riskipositsioon pärast käsitlust | 62 000 eurot |
| Otsus | Käsitleda, üle kanda, vältida või aktsepteerida | Käsitleda ja vaadata jääkrisk juhtkonnapoolsel läbivaatusel üle |
Numbrid ei pea olema täiuslikud. Neid peab olema võimalik selgitada. Mõjueeldused võivad hõlmata tulukaotust, SLA-krediite, klientide hüvitamist, intsidentidele reageerimist, õigusnõustamist, kohtuekspertiisi tuge, ületunde, kliendituge, regulatiivse teavitamise töömahtu, klientide lahkumist ja mainekahju. Sageduse eeldused võivad pärineda sisemistest intsidentidest, tarnija katkestuste aruannetest, ohuteabest, sektori kogemusest, haavatavustega seotud riskipositsioonist, auditileidudest ja kontrollimeetmete küpsusest.
Zenith Blueprint, riskijuhtimise etapp, samm 10 „Riskikriteeriumide ja mõju maatriksi kehtestamine“, selgitab, miks mudel tuleb kalibreerida:
„Mõju määratlemisel on mõistlik siduda tasemed konkreetse ärimastaabiga. Näiteks „suur finantsmõju = kahju > 100 000 dollarit“ (kohanda oma kontekstiga). Arvesta ka regulatiivset mõju: näiteks isikuandmete andmekaitserikkumine võib GDPR-i trahvide ja teavitamisnõuete tõttu olla automaatselt „suur“ või „väga tõsine“, isegi kui otsene rahaline kahju on ebaselge.“
See on sild kvalitatiivse ja kvantitatiivse riski vahel. „Suur“ muutub tähenduslikuks alles siis, kui organisatsioon määratleb, mida suur tähendab finantsilises, tegevuslikus, õiguslikus ja kliendimõju mõttes.
Näide: tarnija pilveteenuse katkestuse riski kvantifitseerimine
Kujutame ette SaaS-teenusepakkujat, kes teenindab finantssektori kliente. Ta sõltub pilvemajutuse teenuseosutajast, hallatud andmebaasiplatvormist, makselüüsist ja klientide teavitusteenusest. Meeskond valib kvantitatiivseks analüüsiks ühe stsenaariumi:
„Hallatud andmebaasiplatvormi pikaajaline katkestus põhjustab kliendile suunatud teenuse häire ja viivitused tehingute töötlemisel.“
Samm 1: määra riskistsenaarium ja omanik
VKE-de riskijuhtimise poliitika nõuab kirjeldust, tõenäosust, mõju, skoori, omanikku ja riski käsitlemise plaani. Ettevõtte riskijuhtimise poliitika, jaotis „Juhtimisnõuded“, punkt 5.2.2, lisab, et register:
„Sisaldab riskiomanikke, mõju- ja tõenäosusskoore, käsitlusplaane, tähtaegu ja kontrollimeetmete viiteid.“
Omanik ei ole „IT“. Vastutav omanik on teenuseomanik, keda toetavad infoturbejuht, CTO, nõuetelevastavuse juht, tarnijahaldur ja finantsfunktsioon.
Samm 2: hinda finantsilist riskipositsiooni
Meeskond hindab:
- 35 000 eurot tunnis kaotatud tehingutulu ja SLA-krediitidena
- 8 000 eurot tunnis toe, eskaleerimise ja intsidentide käsitlemise kuluna
- 60 000 eurot klientide parandusmeetmete ja kommunikatsiooni kuluna
- 120 000 eurot võimaliku klientide lahkumise või ärimõjuna
- 10 tundi usutava tõsise katkestusena, tuginedes tarnija ajaloole ja arhitektuuri ülevaatusele
Ühekordse kahju mõju on:
10 × (35 000 eurot + 8 000 eurot) + 60 000 eurot + 120 000 eurot = 610 000 eurot
Praeguseks tõenäosuseks hinnatakse 0,25 aastas. Aastane oodatav kahju on:
610 000 eurot × 0,25 = 152 500 eurot
Kavandatav käsitluspakett sisaldab mitme piirkonna ümberlülituslahendust, testitud varukoopiast taastamist, tarnija SLA ülevaatamist, sünteetilist seiret, lauaõppust ja väljumisplaani ajakohastamist. Esimese aasta kulu on 82 000 eurot, korduvkulu 34 000 eurot.
Pärast käsitlust hinnatakse jääktõenäosuseks 0,10 aastas ja jääk-ühekordse kahju mõjuks 350 000 eurot tänu kiiremale taastamisele. Jääk-ALE on:
350 000 eurot × 0,10 = 35 000 eurot
Esimese aasta oodatava aastase riskipositsiooni vähenemine on ligikaudu 117 500 eurot, enne regulatiivse tegevuskerksuse, klientide usalduse ja lepinguliste eeliste arvestamist.
Samm 3: vali käsitlus ja dokumenteeri põhjendus
Riskikäsitlus ei ole alati üksnes maandamine. Claryseci VKE-de riskijuhtimise poliitika, jaotis „Poliitika rakendamise nõuded“, punkt 6.1.3, ütleb:
„Ülekandmine: kasuta lepinguid, teenustaseme lepinguid või kindlustust riski väliseks ülekandmiseks.“
Selle stsenaariumi puhul valib organisatsioon kombineeritud käsitluse: vähendada riski tehnilise talitluspidevuse kaudu, kanda osa riskist üle SLA ja lepinguliste õiguskaitsevahendite kaudu ning aktsepteerida jääkrisk juhtkonna heakskiidul.
Samm 4: kaardista käsitlus kohaldatavusdeklaratsiooniga
Ettevõtte riskijuhtimise poliitika, jaotis „Kohaldatavusdeklaratsiooni (SoA) vastavus“, punkt 6.5.1, ütleb:
„Riskikäsitluse protsessist tulenevad kontrollimeetmete otsused peavad kajastuma SoA-s.“
Siin muutub finantsmudel auditivalmis tõendusmaterjaliks. Tarnija katkestuse stsenaarium seostub ISO/IEC 27001:2022 lisa A tarnija-, pilve-, talitluspidevuse, intsidendi- ja häirekontrollidega. See seostub ka NIS2 tarneahela turbe ja talitluspidevusega, DORA IKT kolmandate osapoolte riski ja tegevuskerksuse testimisega, GDPR-i turbe ja rikkumise hindamisega, kui mõjutatud on isikuandmed, ning NIST CSF-i juhtimise, tarneahela, reageerimise ja taastamise tulemustega.
Zenith Blueprint, riskijuhtimise etapp, samm 13 „Riski käsitlemise planeerimine ja kohaldatavusdeklaratsioon“, selgitab jälgitavust:
„SoA on sisuliselt silddokument: see seob sinu riskihindamise ja -käsitluse tegelike kontrollimeetmetega, mis sul olemas on. Selle täitmisel kontrollid ühtlasi üle, kas mõni kontrollimeede jäi märkamata.“
Tugev SoA põhjendus võiks öelda: „Kohaldatav, sest hallatud andmebaasi katkestus mõjutab kriitilist klienditeenust, IKT kolmanda osapoole sõltuvust, lepingulisi kohustusi klientide ees, talitluspidevuse kohustusi ja võimalikku isikuandmete käideldavust. Kontrollimeetmed on valitud kvantifitseeritud 152 500 euro suuruse aastase riskipositsiooni vähendamiseks ning juhtkonna heakskiidetud jääkriski toetamiseks.“
Samm 5: eskaleeri lävendite alusel
Ettevõtte riskijuhtimise poliitika, jaotis „Juhtimisnõuded“, punkt 5.6, nõuab:
„Riskivolituste maatriks peab selgelt määratlema lävendid eskaleerimiseks tippjuhtkonnale või juhatusele.“
152 500 euro suurune aastane riskipositsioon võib ületada kohaliku juhtkonna riskitaluvust. Väiksema väärtusega risk võib siiski nõuda eskaleerimist, kui see mõjutab kriitilist või olulist funktsiooni, käivitab DORA ootused, hõlmab isikuandmeid, ohustab kliendikohustusi või tekitab NIS2 juhtorgani vastutuse.
Ristvastavuse kaardistus: üks kvantifitseeritud risk, mitu kohustust
Kvantifitseeritud küberriski ei tohiks kopeerida viide eraldi vastavuse arvutustabelisse. Sellest peaks saama üks riskobjekt mitme vastavusvaatega.
| Vastavuse vaade | Mida kvantifitseeritud risk peab näitama | Tõendusartefakt |
|---|---|---|
| ISO/IEC 27001:2022 | Riskikriteeriumid, omanik, tõenäosus, tagajärg, käsitlus, jääkriski aktsepteerimine, SoA kaardistus ja toimimise tõendusmaterjal | Riskiregister, käsitlusplaan, SoA, juhtkonnapoolne läbivaatus, auditikirjed |
| NIS2 | Asjakohased ja proportsionaalsed meetmed, juhtorgani heakskiit ja järelevalve, intsidendi- ja talitluspidevuse kaalutlused, tarneahela meetmed | Juhatuse materjalid, koolituskirjed, riskikäsitluse heakskiidud, intsidendi töövoog |
| DORA | IKT-riski juhtimine, kriitilised või olulised funktsioonid, IKT kolmandate osapoolte sõltuvused, testimine, intsidendi klassifitseerimine ja tegevuskerksuse strateegia | IKT-riski raamistik, teaberegister, testitulemused, intsidendi klassifitseerimine, väljumisplaan |
| GDPR | Isikuandmete ulatus, turvameetmed, rikkumise mõjud, vastutava töötleja või volitatud töötleja vastutus, seadusliku töötlemise kontekst | Seos RoPA-ga, vajaduse korral DPIA, rikkumise hindamine, turbe tõendusmaterjal |
| NIST CSF 2.0 | Riskivalmidus, standardiseeritud prioriseerimine, juhtimine, tarnijarisk, tuvastamise, reageerimise ja taastamise tulemused | Praegune profiil, sihtprofiil, tegevuskava, POA&M, tarnijariski kirjed |
| COBIT 2019 | Juhtimiseesmärgid, toimivuse seire, riski optimeerimine, ressursiotsused ja kindluse andmine | Juhtimisaruandlus, kontrollimeetmete toimivuse mõõdikud, kindlustandvad aruanded |
NIS2 Article 21 on eriti oluline, sest see hõlmab riskianalüüsi, turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, varundust, katastroofitaastet, kriisijuhtimist, tarneahela turvet, turvalist arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ja autentimist.
DORA loob finantssektori ettevõtetele sarnase distsipliini, kuid sektoripõhise fookusega. See nõuab IKT-riski jaoks sisemist juhtimis- ja kontrolliraamistikku, mille eest vastutab lõppastmes juhtorgan. Oodatakse IKT-poliitikate, rollide, digitaalse tegevuskerksuse strateegia, IKT-riski taluvuse, talitluspidevuse ja reageerimisplaanide, auditiplaanide, eelarvete, koolituse, IKT kolmandate osapoolte poliitikate ja teavituskanalite heakskiitu ja järelevalvet.
DORA annab kvantitatiivsele riskihindamisele ka otsese operatiivse käiviti: intsidendi klassifitseerimise. Olulised IKT-ga seotud intsidendid tuleb klassifitseerida selliste kriteeriumide alusel nagu mõjutatud kliendid, vastaspooled ja tehingud, kestus, seisak, geograafiline ulatus, andmekaod, mis mõjutavad käideldavust, autentsust, terviklust või konfidentsiaalsust, mõjutatud teenuste kriitilisus ja majanduslik mõju. Kui riskimudel juba hindab seisakut, mõju klientidele, mõju andmetele ja majanduslikku kahju, toetab see tegeliku sündmuse korral intsidendi klassifitseerimist.
Kontrollimeetmete ristkaardistus, mis muudab juhatuse vastutuse auditeeritavaks
Zenith Controls-is seostab Clarysec ISO/IEC 27002:2022 kontrolli 5.4 „Juhtkonna vastutused“ infoturbevastutuse juhtimise ankruna. Juhend käsitleb seda ennetava meetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning on seotud küberturbe mõistega „tuvasta“, kus juhtimine on operatiivne võimekus ning juhtimine koos ökosüsteemiga on turbevaldkonnad.
See on oluline, sest küberriski finantsiline riskipositsioon kuulub juhtkonna otsustesse. Zenith Controls seob ISO/IEC 27002:2022 kontrolli 5.4 mitme toetava kontrollimeetmega:
| ISO/IEC 27002:2022 kontrollimeetme seos | Miks see on kvantifitseeritud riski jaoks oluline |
|---|---|
| 5.2 Infoturbe rollid ja vastutused | Riskiomanikud, kontrollimeetmete omanikud ja eskaleerimisvolitused peavad olema määratletud |
| 5.1 Infoturbepoliitikad | Kvantifitseeritud riskiotsused peavad olema kooskõlas heakskiidetud poliitikakohustustega |
| 5.35 Infoturbe sõltumatu läbivaatamine | Sõltumatu läbivaatamine annab juhtkonnale objektiivse kindluse riskikäsitluse kohta |
| 5.36 Vastavus infoturbe poliitikatele, reeglitele ja standarditele | Vastavuse seire näitab, kas käsitlused toimivad kavandatult |
| 5.8 Infoturve projektijuhtimises | Uued tooted ja muudatused peavad hõlmama küberriski ja finantsilist riskipositsiooni varases etapis |
Zenith Controls seob juhtkonna vastutused ka ISO/IEC 27001:2022 punktidega 5.1, 5.2 ja 9.3, ühendades juhtimise, poliitika ja juhtkonnapoolse läbivaatuse. Lisaks seob see need ISO/IEC 27014:2020 punktidega 6 ja 7, mis keskenduvad infoturbe hindamise, suunamise, seire ja kommunikatsiooni juhtimisraamistikele ja -protsessidele.
Tõendusahel on lihtne:
- Juhtkond määratleb riskivalmiduse, riskitaluvuse ja eskaleerimislävendid.
- Riskiomanikud kvantifitseerivad peamised küberriskid.
- Kontrollimeetmed valitakse ja kajastatakse SoA-s.
- Käsitlustegevused viiakse ellu ja nende üle tehakse seiret.
- Sõltumatu läbivaatamine ja vastavuse seire testivad tõhusust.
- Juhtkonnapoolne läbivaatus hindab toimivust, intsidente, auditi tulemusi, ressursse ja parendustegevusi.
- Juhatus saab finantsilise riskipositsiooni, jääkriski ja vastutuse tõendusmaterjali ärikeeles.
Claryseci VKE-de riskijuhtimise poliitika, jaotis „Rollid ja vastutused“, punkt 4.1.1, tugevdab seda juhtimisrolli:
„Kehtestab organisatsiooni riskivalmiduse ja kiidab heaks riskijuhtimise raamistiku.“
VKE puhul võib see olla tegevjuht või omanik. Reguleeritud finantssektori ettevõtte puhul võib see olla juhtorgan. Vastutuse põhimõte on sama.
Kuidas audiitorid ja regulaatorid sinu numbreid testivad
Küberriski kvantitatiivset hindamist ei auditeerita kui täiuslikku aktuaariteadust. Seda auditeeritakse meetodi, järjepidevuse, jälgitavuse, juhtimise ja tõendusmaterjali alusel.
| Audiitori või hindaja vaade | Mida nad testivad | Millist tõendusmaterjali nad ootavad |
|---|---|---|
| ISO/IEC 27001:2022 | Punkti 6.1.2 riskihindamine, punkti 6.1.3 riskikäsitlus, SoA otsused, riskiomaniku heakskiit ja punkti 9.3 juhtkonnapoolne läbivaatus | Riskikriteeriumid, register, käsitlusplaan, SoA, heakskiidud, juhtkonnapoolse läbivaatuse protokollid |
| NIS2 pädev asutus | Juhtorgani heakskiit ja järelevalve, Article 21 meetmed, proportsionaalsus, intsidendivalmidus ja koolitus | Juhatuse materjalid, koolituskirjed, riski heakskiidud, intsidendiprotseduurid, talitluspidevuse tõendusmaterjal |
| DORA järelevalveasutus või siseaudiitor | IKT-riski raamistik, IKT-riski taluvus, kriitilised või olulised funktsioonid, testimine, intsidendi klassifitseerimine ja IKT kolmandate osapoolte risk | IKT-riskiregister, tegevuskerksuse strateegia, teaberegister, testitulemused, väljumisplaanid |
| NIST CSF 2.0 hindaja | GOVERN tulemused, sh GV.RM-02 riskivalmidus ja riskitaluvus ning GV.RM-06 standardiseeritud prioriseerimine | Praegune profiil, sihtprofiil, tegevuskava, seos ettevõtteriskiga |
| COBIT 2019 hindaja | Ettevõtte IT juhtimine, riski optimeerimine, otsustusõigused, ressursside jaotus ja kindluse andmine | Juhtimisaruandlus, toimivusmõõdikud, kindlustandvad aruanded |
Claryseci auditi ja vastavuse seire poliitika VKE-dele Audit ja vastavuse seire poliitika - VKE, jaotis „Juhtimisnõuded“, punkt 5.4.3, muudab audititsükli selgesõnaliseks:
„Auditileiud ja staatuse uuendused tuleb lisada ISMS-i juhtkonnapoolse läbivaatamise protsessi.“
See on kriitiline. Kui riskimudel hindab riskipositsiooniks 500 000 eurot, kuid siseaudit leiab, et taastamistest ebaõnnestus, peab jääkrisk muutuma. Kui tarnija väljumisplaani ei ole testitud, ei tohiks organisatsioon aktsepteerida jääkriski nii, nagu kontrollimeede oleks küps. Kui DORA testimine tuvastab kriitilise lünga, peab see leid jõudma käsitlusse, eelarvesse ja juhtkonnapoolsesse läbivaatusesse.
Zenith Blueprint, auditi, läbivaatamise ja täiustamise etapp, samm 28 „Juhtkonnapoolne läbivaatus“, toetab seda, soovitades juhtkonnapoolse läbivaatuse sisenditena käsitleda muutusi sisemistes ja välistes küsimustes, regulatiivseid nõudeid, auditi tulemusi, seiret ja mõõtmist, eesmärke, intsidente, mittevastavusi, parendusvõimalusi ja ressursivajadusi. Kvantifitseeritud küberriski programmis peaks juhtkonnapoolse läbivaatuse pakett sisaldama peamisi finantsilisi riskipositsioone, trendi alates eelmisest läbivaatusest, käsitluse edenemist, tähtaja ületanud tegevusi, riskitaluvust ületavat jääkriski ja vajalikke otsuseid.
Juhatuse jaoks valmis küberriski paketi koostamine
Juhatuse jaoks valmis küberriski pakett ei tohiks uputada juhte haavatavuste arvudesse, FAIR-i muutujatesse ega kontrollimeetmete ID-desse. See peab tõlkima küberriski otsusteks.
Iga peamise kvantifitseeritud riski kohta lisa:
- stsenaariumi nimi ja mõjutatud äriteenus
- teenuse või funktsiooni kriitilisus
- isikuandmete, reguleeritud teenuse ja tarnijasõltuvuse märgised
- praeguse ühekordse kahju mõju hinnang
- praeguse aastase esinemissageduse hinnang
- praegune aastane oodatav kahju
- eeldused ja kindlustase
- praegused kontrollimeetmed ja teadaolevad lüngad
- käsitlusvariandid ja kulu
- oodatav jääkriskipositsioon pärast käsitlust
- ISO/IEC 27001:2022, NIS2, DORA ja GDPR asjakohasus
- riskiomanik ja vajalik otsus
- SoA ja poliitikaviited
- tähtaeg ja läbivaatuse kuupäev
Lihtsustatud juhatuse vaade võib olla järgmine:
| Riskistsenaarium | Praegune ALE | Käsitluskulu | Jääk-ALE | Regulatiivne ajend | Otsus |
|---|---|---|---|---|---|
| Hallatud andmebaasi katkestus, mis mõjutab tehingute töötlemist | 152 500 eurot | 82 000 eurot | 35 000 eurot | DORA IKT-risk, ISO riskikäsitlus, tarnija talitluspidevus | Kiita käsitlus heaks |
| Lunavara, mis mõjutab kliendiandmete platvormi | 372 000 eurot | 100 000 eurot | 95 000 eurot | GDPR-i rikkumisrisk, NIS2 intsidentide käsitlemine, ISO intsidendikontrollid | Kiita heaks EDR ja muutmatud varukoopiad |
| Privilegeeritud juurdepääsu kompromiteerimine pilve halduskonsoolis | 260 000 eurot | 58 000 eurot | 72 000 eurot | ISO juurdepääsukontroll, NIS2 autentimine, DORA andmete terviklus | Kiita heaks MFA ja PAM-i tugevdamine |
| Kriitilise SaaS-teenusepakkuja kontsentratsioonirisk | 190 000 eurot | 45 000 eurot | 95 000 eurot | DORA kolmandate osapoolte risk, NIS2 tarneahel, ISO tarnijakontrollid | Kiita heaks väljumisplaani testimine |
Numbrid on hinnangud, kuid juhtimisväärtus on tegelik. Juhatus saab prioriteete võrrelda. Infoturbejuht saab kulutusi põhjendada. Finantsfunktsioon saab eeldusi valideerida. Vastavusfunktsioon saab otsused kohustustega siduda. Audiitorid saavad jälgida tõendusjälge.
Levinud vead küberriski kvantifitseerimisel
Esimene viga on näiline täpsus. Mudel, mis väidab 487 239,17 euro suurust kahju ilma selgete eeldusteta, on vähem usutav kui dokumenteeritud alusega vahemik. Kasuta vajaduse korral vahemikke ja vaata eeldused üle pärast intsidente, auditeid, tarnijamuudatusi ja olulisi arhitektuuriotsuseid.
Teine viga on ainult tehniliste kulude arvestamine. Suur küberintsident võib hõlmata tulukaotust, klientide hüvitamist, tegevushäireid, regulatiivset aruandlust, õigusnõustamist, kohtuekspertiisi tuge, kommunikatsioonikulusid, leppetrahve, klientide lahkumist, juhtkonna aega ja mainekahju.
Kolmas viga on regulatiivse tõsiduse eiramine. Isikuandmetega seotud rikkumine võib olla oluline isegi siis, kui otsene tegevuskahju näib tagasihoidlik. DORA intsident võib olla oluline teenuse kriitilisuse, seisaku, andmekao või mõjutatud klientide tõttu. NIS2 intsident võib olla oluline, kui see põhjustab tõsise tegevushäire, finantskahju või märkimisväärset kahju teistele.
Neljas viga on SoA ajakohastamata jätmine. Kui käsitlusotsustega valitakse tarnijate seire, pilveteenuse väljumisplaan, intsidendi tõendite kogumine, IKT valmisolek talitluspidevuseks või häirekontrollid, peab SoA kajastama kohaldatavaid kontrollimeetmeid ja rakendamise staatust.
Viies viga on finantsfunktsiooni kõrvale jätmine. Küberriski kvantitatiivne hindamine on kõige tugevam siis, kui turbe-, finants-, õigus-, tegevus-, toote- ja vastavusfunktsioon lepivad kokku mõjueeldustes. Infoturbejuht ei tohiks tulukaotuse numbreid üksi välja mõelda.
Kuues viga on kindlustuse käsitlemine täieliku riski ülekandmisena. Kindlustus võib vähendada finantsmõju, kuid see ei kõrvalda regulatiivset vastutust, teenusekatkestust, klientide usalduse kahjustumist ega juhtkonna vastutust.
Kuhu Clarysec sobitub
Clarysec aitab organisatsioonidel luua küberriski programmi, mis on VKE-de jaoks piisavalt praktiline ja reguleeritud keskkondade jaoks piisavalt range.
Zenith Blueprint juhib organisatsiooni kohaldamisalast ja kontekstist riskikriteeriumide, kvalitatiivse ja kvantitatiivse hindamise, käsitluse planeerimise, SoA jälgitavuse, auditi, juhtkonnapoolse läbivaatuse ja täiustamiseni. Zenith Controls aitab kaardistada ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 kontrollimeetmete ootused teiste raamistike, auditite ja juhtimiskohustustega. Claryseci poliitikad annavad keele, mida audiitorid ootavad, sealhulgas riskivalmidus, volituste maatriksid, käsitlusvariandid, vastavusregistrid, SoA seosed ja integreerimine juhtkonnapoolse läbivaatusega.
VKE-de õigusnormidele vastavuse poliitika Õigusnormidele vastavuse poliitika - VKE, jaotis „Juhtimisnõuded“, punkt 5.1.1, algab lihtsa kohustusega:
„Tegevjuht peab pidama lihtsat ja struktureeritud vastavusregistrit, milles on loetletud:“
See lihtne register on oluline. Õiguslikud, regulatiivsed ja lepingulised kohustused peavad olema ISMS-is nähtavad. Kvantitatiivse riski puhul tähendab see, et NIS2, DORA, GDPR, kliendilepingud, SLA-d, allhankekohustused, intsidenditeavituse kohustused ja auditikohustused kujundavad mõju, käsitluse prioriteeti ja eskaleerimist.
Ettevõtte riskijuhtimise poliitika, jaotis „Viitestandardid ja raamistikud“, punkt 11.9.1, peegeldab otseselt ka DORA-tüüpi juhtimist:
„Article 5: nõuab dokumenteeritud IKT-riski juhtimise raamistikku, mida katab täielikult selle poliitika struktuur, sealhulgas SoA kaardistus ja KRI-d.“
See on Claryseci mudel ühe lausega: dokumenteeritud IKT-riski juhtimine, kaardistatuna kontrollimeetmetega, mõõdetuna indikaatoritega, juhtkonna poolt läbi vaadatud ja auditi jaoks tõendatud.
Järgmised sammud: muuda oma 2026. aasta küberriskiregister finantsiliselt kaitstavaks
Kui sinu praegune küberriskiregister ütleb endiselt „kõrge“, selgitamata finantsilist riskipositsiooni, käsitluse majanduslikku mõju või regulatiivset mõju, alusta selles kvartalis viie tegevusega:
- Vali ärimõju alusel 5 kuni 10 peamist küberriski stsenaariumi.
- Määratle finantsmõju lävendid tasemetele väike, mõõdukas, suur ja väga tõsine.
- Hinda iga peamise stsenaariumi puhul ühekordse kahju mõju, aastast esinemissagedust ja aastast oodatavat kahju.
- Kaardista iga käsitlusotsus ISO/IEC 27001:2022 kontrollimeetmete, SoA, vajaduse korral NIS2 või DORA kohustuste, GDPR-i mõjude ja NIST CSF-i juhtimistulemustega.
- Esita jääkrisk, käsitluskulu ja eskaleerimislävendid juhtkonnapoolsel läbivaatusel.
Clarysec aitab muuta selle korratavaks tõendussüsteemiks, kasutades Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, ettevõtte riskijuhtimise poliitikat Riskijuhtimise poliitika, VKE-de riskijuhtimise poliitikat Riskijuhtimise poliitika - VKE ning toetavaid auditi- ja vastavusmalle.
Eesmärk ei ole muuta küberrisk täiuslikult prognoositavaks. Eesmärk on muuta see selgitatavaks, võrreldavaks, finantsiliselt tähenduslikuks ja auditeeritavaks.
Laadi alla Claryseci riski- ja vastavuspoliitika mallid, tutvu Zenith Blueprint-iga või broneeri Claryseci hindamine, et muuta oma 2026. aasta küberriskiregister juhatuse jaoks valmis tõendusmaterjaliks ISO/IEC 27001:2022, NIS2, DORA ja GDPR jaoks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
