出典: Alamy Stock Photo経由のOlekcii Mach
攻撃の数と深刻さが増加する中、組織はより積極的なセキュリティ対策を実施するために自らのリスクプロファイルを理解する必要がありますが、サイバーリスクを測定することは難しいです。なぜなら、考慮すべき変数が非常に多いからです。
評価は、組織の従業員数、財務記録または個人識別情報(PII)、既に導入されているセキュリティコントロール、そして最も高いリスクをもたらす脅威など、いくつかの進化する変数に依存しています。重要なシステムを暗号化するランサムウェアなのか、迅速に財務口座を枯渇させるビジネスメール詐欺なのか?
サプライチェーンは未知数のため、セキュリティリスクの計算をさらに難しくします。組織は第三者と問い合わせを行い、最新情報を維持することができますが、それらの攻撃から生じる損害を予測し、下流に波及するのは困難です。昨年のUnited HealthのChange Healthcareに対するランサムウェア攻撃がその一例です。この攻撃の影響には、払い戻し、サービス、処方の遅延が含まれ、Change Healthcareの顧客の中には永久に閉鎖するところもありました。
これらの課題を認識し、サイバー保険プロバイダーのResilienceは、組織がこれらの質問に答えるのを助けることを目的とした「サイバーリスク計算機」を立ち上げました。この計算機は、業界、規模、年間収益、保護された健康情報の量など、多くの要因に基づいてリスクを推定します。
関連:攻撃者と防御者がAIに依存するアイデンティティ詐欺の戦い
この無料ツールは、Resilienceの顧客データに基づいており、年間収益が5000万ドル以上の企業を対象としています。組織は、強力なセキュリティコントロールと弱いセキュリティコントロールでどれだけの金額を失うリスクがあるかを計算するために使用できます。また、保険の補償限度額とそれがリスクにどのように関与するかを強調します。組織は、どの領域を優先すべきかを理解するための出発点として使用できます。
計算機が組織の業界を考慮に入れることは重要です。なぜなら、サイバーリスクは業界ごとに異なるからです。例えば、医療や教育分野は多くの攻撃に直面するかもしれませんが、レガシーシステムを使用しており、ダウンタイムを許容できないことが多いです。一方、金融分野も攻撃者にとって人気のターゲットかもしれませんが、通常、より強力なセキュリティ対策を講じており、より多くの規制に準拠しなければなりません。
リスクを理解してセキュリティプログラムを強化する
組織が不正確なサイバーリスク測定を行ったり、評価を完全に省略したりすると、最良または最も情報に基づいたセキュリティ決定を下すことが難しくなります。それは製品購入やコミュニケーションの課題につながる可能性があります。
関連:コンテンツクレデンシャル技術が画像やビデオの真正性を検証
多くの組織は、技術的なリスクをビジネス用語に翻訳するのに苦労しており、それが真の影響を評価したり、環境間でリスクを比較したりするのを難しくしていますと、BitsightのCISOであるChris Campbellは言います。「サイバーリスクは測定が難しいのは、それが常に進化しており、終わりのないレースだからです」とCampbellは付け加えます。
組織は、自らのリスクプロファイルを理解して、最も高いリスクニーズに対処するために必要な製品やセキュリティ対策を知る必要があります。特定の製品やツールが過剰に存在する場合を知ることも同様に重要です。さらに、認証プロトコルをどのように採用するかを知ることも、侵害が発生した場合に攻撃者のアクセスを制限する重要な要素です。例えば、特定のアカウントはより少ないまたは多くのアクセスを必要とするかもしれません。これらすべての要素が、より強力なセキュリティプログラムに寄与します。
リスク評価は、攻撃がどの程度発生しやすいか、または被害者に対してどの程度深刻であるかを示すことができます。準備は重要ですが、すべての脅威を排除することは不可能です—ただし、試みる人もいるかもしれません。
「多くのサイバーセキュリティ専門家が訓練されてきた方法は、すべてのツールが必要であり、防御を強化し、悪いことが起こらないようにするというものです」とResilienceのデータおよび分析責任者であるAnn Irvineは言います。「私たちは企業と話をして、もしかしたらその[製品やツール]は必要ないかもしれない、あるいはそれに気を取られているかもしれないと言います。もしかしたら本当に必要なのはここにあるものかもしれません。」
関連:DrataがSafeBaseを買収し、GRCポートフォリオを強化
コミュニケーションの改善、変化の監視
サイバーリスク評価はまた、CISOやセキュリティチームが技術面を必ずしも理解していない取締役会や利害関係者とコミュニケーションを取るのを助けます。これらは、セキュリティ対策が財務とどのように一致しているかを示すビジュアルを提供します。セキュリティ予算は一部の組織で増加していますが、リスク評価は投資がどこに行われるべきか、またその予算が効果的に使用されているかどうかを明らかにします。
CISOとして、Campbellは最大の課題は可視性であると言います。組織は複雑なエコシステム、シャドーIT、第三者、新たな脅威を抱えています。「それらすべてがリスクを評価し、常に優先順位を再設定するために関与しています」と彼は言います。「それはまた、戦略的ではなく反応的なセキュリティ計画につながります。CISOはしばしば、データを裏付けにしていない決定を擁護することを余儀なくされます。」
Campbellは、今日のサイバーリスクを測定する最良の方法はサイバーインテリジェンスを通じてであると推奨しています。組織全体の主要リスク指標を監視し、組織の成熟度レベルと比較して測定します。これには、外部から観察可能なシグナルの追跡、内部セキュリティコントロール、脅威の露出、時間経過に伴うパフォーマンスが含まれます。「これは車輪を再発明する領域ではありません:標準化された業界フレームワークを活用し、同業者とベンチマークすることで、リスクを文脈に置き、より良い意思決定をサポートします」と彼は言います。
組織は一般的にResilienceに「リスクを測定する必要がある」とは言いませんが、攻撃の増加について懸念を表明します。「[彼らは言います]ニュースを読んでいます。攻撃が起こっていることを知っており、それが私たちに起こる可能性があることを知っています。そして、私たちは巨大なサイバーセキュリティ予算を持っていますが、問題はその予算を効率的に使用しているかどうかです」とIrvineは付け加えます。