Статья, в общем, верная, хотя, конечно, фанатично углубляться в классификации не стоит, так как стремление описать вообще все существующие угрозы, их методы и источники неизбежно приведёт к путанице, а в условиях стремительных изменений в мире — так и к серьёзным упущениям.
Я лично склоняюсь к описанной базовой модели классификации. Но в ней, на мой взгляд, не хватает одной составляющей. Она упоминается, даже с определением термина, но не присутствует, например, в подсчёте реализации. А ведь именно от неё зависит выбор параметров. Речь идёт об ущербе.
В подавляющем большинстве случаев атак, прежде чем их осуществить, злоумышленник соизмеряет предстоящие затраты с прибылью от успешной реализации атаки. Исходя из этого соотношения, он выбирает и цель, и метод, и инструмент. Это одна сторона этой составляющей. Другая – выбор инструментов защиты от атаки. Логично, что за ущерб в 200 руб. (условно) нет смысла возводить форты за 10 млн руб. (условно). Но может быть и косвенный ущерб, который не всегда получается подсчитать.
В любом случае в разговоре с бизнесом в отношении обеспечения ИБ необходимо оперировать категориями ущерба, прежде всего цифрами. А классификация источников, угроз, методов – это лишь теоретическая основа для подсчётов. В таком контексте в расчётных формулах присутствие разных категорий ущерба необходимо.
Поясню почему. Например, атакующий получил доступ к процессингу организации. Вопрос: сколько он успеет вывести средств со счетов? Вот сколько успеет – это прямой ущерб, его можно показать в конкретных цифрах. Но после того как средства будут выведены, об этом может узнать общественность. Что, в свою очередь, приведёт к репутационным рискам. В какую цифру будет оценён ущерб от потери репутации?
Подобный пример применим и в отношении АСУ ТП. Тут методы и угрозы те же, хотя цели могут и отличаться. Но, так или иначе, раньше или позже эффект от успешной атаки будет монетизирован, а ущерб станет очевидным. Любым способом: прямые выплаты, падение или рост акций на бирже и т. д.
Вероятно, при таком подходе к классификации мы уйдём в N-мерные массивы, но от этого никуда не деться. Тем более что средства для обработки такого количества информации уже созданы и все возможные цепочки-комбинации вполне можно просчитать. И выбрать из них наиболее вероятные. А исходя из этого, уже определять комбинацию: источник — метод — ущерб. И соответственно, стратегию защиты.
Материалы по теме номера – «Банк данных угроз» (BIS Journal №2/41 2021):
Главное – ущерб! BIS-комментарий к статье «Блеск и нищета… БДУ»
Тусклый блеск... «науки в жизнь». Живём с тем не знаем чем… Защищаем то не знаем что…
Нищета… знаний о БДУ. Ответ на эссе Вихорева С. В.
.jpeg)
.jpg)
.gif)