#ΟΥΚΡΑΝΙΚΟΣ ΠΟΛΕΜΟΣ#ΕΞΑΓΟΡΕΣ-ΣΥΓΧΩΝΕΥΣΕΙΣ#ΤΙΜΕΣ-ΣΤΟΧΟΙ ΜΕΤΟΧΩΝ#ΑΠΟΤΕΛΕΣΜΑΤΑ ΕΙΣΗΓΜΕΝΩΝ#ΠΟΛΕΜΟΣ ΣΤΟ ΙΣΡΑΗΛ#ΜΕΤΑΚΙΝΗΣΗ ΣΤΕΛΕΧΩΝ
Δείτε εδώ την ειδική έκδοση

Ο κίνδυνος κυβερνοεπίθεσης και πώς υπολογίζεται ο... λογαριασμός

Ποσοτική και ποιοτική προσέγγιση των κινδύνων που δημιουργεί η έκθεση στον κυβερνοχώρο για εταιρείες και οργανισμούς. Ποιες μέθοδοι χρησιμοποιούνται για τη ρεαλιστική αποτίμησή τους.

Ο κίνδυνος κυβερνοεπίθεσης και πώς υπολογίζεται ο... λογαριασμός

Δημοσιεύθηκε: 30 Δεκεμβρίου 2024 - 07:41

  • Γράφουν Ευστράτιος Λιβάνης*, Κωνσταντίνος Ζοπουνίδης**

Ο ακριβής και ρεαλιστικός προσδιορισμός του κόστους ενός περιστατικού παραβίασης είναι καθοριστικός για την αποτελεσματική χρηματοοικονομική ανάλυση και διαχείριση των κινδύνων κυβερνοχώρου.

Αυτός ο υπολογισμός μπορεί να βοηθήσει στην κατανόηση της σημαντικότητας αυτών των απειλών και στην αξιολόγηση της επένδυσης που απαιτείται για την αποτελεσματική αντιμετώπισή τους. Ωστόσο προς το παρόν δεν υπάρχει ικανοποιητικός αριθμός διαθέσιμων ιστορικών στοιχείων του κόστους από περιστατικά παραβίασης, καθώς οι επιχειρήσεις/οργανισμοί έχουν λόγους να μην ανακοινώνουν τα σχετικά περιστατικά εάν αυτό δεν επιβάλλεται αλλά και επειδή οι κίνδυνοι κυβερνοχώρου εξελίσσονται διαρκώς.

Στους λόγους έλλειψης στοιχείων για περιστατικά παραβίασης πρέπει να προστεθεί και η περίπτωση των επιχειρήσεων στις οποίες έχει γίνει κάποιο περιστατικό παραβίασης αλλά δεν το έχουν καταλάβει. Επιπλέον δεν είναι πάντοτε εύκολο να ποσοτικοποιηθούν οι πηγές κόστους (βλ. Livanis, E., Doumpos, M., & Zopounidis, C. (2023). Financial analysis and management of cyber risk, in Handbook of Research on Artificial Intelligence, Innovation and Entrepreneurship, Edward Elgar Publishing) αλλά ούτε και να προσδιοριστεί με ακρίβεια η πιθανότητα εμφάνισης ενός περιστατικού παραβίασης.

Στη διεθνή βιβλιογραφία και πρακτική αναφέρονται τόσο ποσοτικές, όσο και ποιοτικές μεθοδολογίες αξιολόγησης των διαδικτυακών κινδύνων. Στις ποσοτικές μεθοδολογίες η αξιολόγηση των διαδικτυακών κινδύνων γίνεται σε νομισματικές μονάδες ενώ οι μεθοδολογίες ποιοτικής αξιολόγησης αναπτύσσονται κυρίως στη βάση σεναρίων και εξαρτώνται από την εμπειρία και την κρίση αυτών που τις αναπτύσσουν.

Για το λόγο αυτό σε σχέση με τις ποσοτικές μεθοδολογίες, οι ποιοτικές μπορεί να είναι πιο δύσκολο να τυποποιηθούν και να λειτουργήσουν με συνεπή τρόπο σε διάφορες περιπτώσεις.

Ποσοτική προσέγγιση

Ένας από τους πρώτους και πιο διαδεδομένους τρόπους υπολογισμού του κόστους των ηλεκτρονικών και διαδικτυακών κινδύνων είναι η ετήσια αναμενόμενη ζημία (average loss expectancy). Η μετρική αυτή υπολογίζεται από το γινόμενο του ετήσιου ρυθμού εμφάνισης ενός γεγονότος (δηλαδή της πιθανότητας εμφάνισης ενός περιστατικού μέσα σε ένα έτος) με το μέσο κόστος ενός συμβάντος.

Το μέσο κόστος ενός συμβάντος ισούται με την αξία κάθε περιουσιακού στοιχείου (υλικού ή άυλου) επί την ευπάθεια ή το βαθμό ζημίας που θα έχει το συμβάν στο περιουσιακό στοιχείο.

Η μεταβλητή που αφορά την ευπάθεια ή το βαθμό ζημίας που θα έχει το συμβάν στο περιουσιακό στοιχείο εκφράζεται ως ποσοστό και κυμαίνεται από 0% έως 100%. Θα πρέπει να σημειωθεί ότι ο προσδιορισμός του μέσου κόστους ενός συμβάντος ακόμα και για το ίδιο περιουσιακό στοιχείο μπορεί να διαφέρει από εταιρεία σε εταιρεία λόγω των ειδικών χαρακτηριστικών καθεμιάς από αυτές αλλά και των υφιστάμενων μέτρων ασφαλείας.

Όσον αφορά τον ετήσιο ρυθμό εμφάνισης ενός γεγονότος θα πρέπει να σημειωθεί ότι επηρεάζεται από τα χαρακτηριστικά της επιχείρησης και το είδος των δεδομένων που διαχειρίζεται. Μπορεί να μειωθεί (και κατ' επέκταση να μειωθεί και η ετήσια αναμενόμενη ζημία) ανάλογα με τα αντίμετρα που έχει λάβει η επιχείρηση και τη στρατηγική πρόληψης και αντιμετώπισης αυτών των κινδύνων.

Ετ.ΑΖ = Αξ.ΠΣ * Ε_ΒΖ * Ετ.ΡΕ (1) ή

Ετ.ΑΖ = ΜΚΣ * Ετ.ΡΕ (2)

όπου:

  • Ετ.ΑΖ: ετήσια αναμενόμενη ζημία
  • Αξ.ΠΣ: αξία περιουσιακού στοιχείου
  • Ε_ΒΖ: ευπάθεια ή βαθμός ζημίας που θα έχει το συμβάν στο περιουσιακό στοιχείο
  • Ετ.ΡΕ: ετήσιος ρυθμός εμφάνισης ενός γεγονότος
  • ΜΚΣ: μέσο κόστος ενός συμβάντος

Το άθροισμα της ετήσιας αναμενόμενης ζημίας από όλα τα δυνητικά περιστατικά προσδιορίζουν τη συνολική ετήσια αναμενόμενη ζημία.

Επιπλέον, μπορεί να υπολογιστεί και η τροποποιημένη ετήσια αναμενόμενη ζημία. Υπολογίζεται όπως η ετήσια αναμενόμενη ζημία αφού όμως ληφθούν υπόψη τα αντίμετρα που έχει λάβει η επιχείρηση.

Στην περίπτωση αυτή αντί του ετήσιου ρυθμού εμφάνισης ενός γεγονότος υπολογίζεται ο τροποποιημένος ρυθμός εμφάνισης ενός γεγονότος που λαμβάνει υπόψη τα αντίμετρα που έχουν ληφθεί. Η διαφορά της ετήσιας αναμενόμενης ζημίας με την τροποποιημένη ετήσια αναμενόμενη ζημία μας δίνει τη νομισματική εξοικονόμηση κόστους λόγω των αντιμέτρων.

Ωστόσο ο ρεαλιστικός υπολογισμός της ετήσιας αναμενόμενης ζημίας στην πράξη παρουσιάζει προβλήματα, καθώς δεν υπάρχουν ακόμα αρκετά διαθέσιμα και αξιόπιστα στοιχεία για τη συχνότητα εμφάνισης των περιστατικών αλλά και τον βαθμό ζημίας των περιουσιακών στοιχείων.

Συνεπώς, ο προσδιορισμός της πιθανότητας εμφάνισης ενός περιστατικού αποτελεί τη μεταβλητή της οποίας ο υπολογισμός θα δυσκολέψει περισσότερο την ομάδα της επιχείρησης ή του οργανισμού που είναι επιφορτισμένη με τη διαχείριση αυτών των κινδύνων. Για τον τελικό προσδιορισμό του κόστους των κινδύνων κυβερνοχώρου θα πρέπει επίσης να προστεθούν και τα κόστη πρόληψης και αντιμέτρων που μπορεί να λάβει μια επιχείρηση ή ένας οργανισμός.

Ποιοτική προσέγγιση

Από την άλλη, στις περισσότερες από τις ποιοτικές μεθοδολογίες προτείνεται μία ιεράρχηση της διαδικτυακής επικινδυνότητας και της ευαισθησίας των περιουσιακών στοιχείων (άυλων και υλικών) σε αυτή χρησιμοποιώντας κλάσεις (π.χ. χαμηλή, μεσαία, υψηλή) ή κάποια βαθμολογία (π.χ. από το 1 έως το 5). Ωστόσο, η ιεράρχηση αυτή γίνεται συνήθως με υποκειμενικό τρόπο οπότε και εξαρτάται από την αντίληψη των ατόμων που θα πραγματοποιήσουν την αξιολόγηση.

Για την επιτυχή διαχείριση των κινδύνων κυβερνοχώρου, μια επιχείρηση θα πρέπει να αναπτύξει ένα πλαίσιο που να ενσωματώνει τη χρηματοοικονομική τους ανάλυση. Κατά την ανάπτυξη αυτού του πλαισίου, ο διευθύνων σύμβουλος θα πρέπει να συντονίζει όλα τα τμήματα.

Ο διευθύνων σύμβουλος μπορεί να ζητήσει από τον οικονομικό διευθυντή να προσδιορίσει τις πιθανές οικονομικές απώλειες που θα έχει η επιχείρηση σε περίπτωση ενός περιστατικού που συνδέεται με τους κινδύνους κυβερνοχώρου, να προτείνει τρόπους μετριασμού και να αναλύσει το συνολικό κόστος της επένδυσης στην ασφάλεια των πληροφοριακών και τηλεπικοινωνιακών συστημάτων.

Ωστόσο, υπάρχουν δυσκολίες στην παραπάνω διαδικασία κυρίως όσον αφορά την ποσοτικοποίηση της αναμενόμενης ζημίας.

* Επίκουρος Καθηγητής, Πανεπιστήμιο Μακεδονίας

** Καθηγητής, Ακαδημαϊκός, Πολυτεχνείο Κρήτης, Επίτιμος Δρ ΑΠΘ


Oι απόψεις που διατυπώνονται σε ενυπόγραφο άρθρο γνώμης ανήκουν στον συγγραφέα και δεν αντιπροσωπεύουν αναγκαστικά, μερικώς ή στο σύνολο, απόψεις του Euro2day.gr.

ΣΧΕΤΙΚΑ ΘΕΜΑΤΑ

Κινέζοι χάκερς υπέκλεψαν έγγραφα του ΥΠΟΙΚ των ΗΠΑ

Ελληνική πρόταση για Ευρωπαϊκή Ακαδημία Κυβερνοασφάλειας

Παραβλέπουν την ασφάλεια hardware-firmware επτά στις 10 επιχειρήσεις

Kaspersky: Η Ελλάδα πρώτη παγκοσμίως σε κίνδυνο κυβερνοαπειλών

ΣΧΟΛΙΑ ΧΡΗΣΤΩΝ

blog comments powered by Disqus
Αρχή

Διεθνείς αποκλειστικές συνεργασίες:

Οι τιμές των μετοχών και των δεικτών εμφανίζονται με καθυστέρηση 15’. Οι τιμές των μετοχών και των ελληνικών δεικτών προέρχονται από την InBroker

Το σύνολο του περιεχομένου και των υπηρεσιών του euro2day διατίθεται στους επισκέπτες για προσωπική χρήση. Απαγορεύεται η χρήση και η επαναδημοσίευσή του χωρίς τη γραπτή άδεια του εκδότη.

Δήλωση Απορρήτου και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Copyright © 2001 – 2025 MEDIA2DAY All Rights Reserved. Managed Cloud by C2
v