Šta je procjena Kibernetičkog Rizika
Kibernetički rizik je sastavni dio operativnog rizika neke organizacije, njegova procjena je postala i značajna i zahtjevna iz niza razloga. Digitalna transformacija je zahvatila skoro sve djelatnosti i tržišta. Ubrzana pandemijom, digitalna infrastruktura je zauzela važno ili čak centralno mjesto, često kroz kompleksan suodnos različitih aktera. Kroz tranzicijski period "gomilaju se" digitalni resursi, izmjenjen je način rada, a pojavljuju se novi akteri kao AI, što je sveukupno dovelo do povećanja izloženosti rizicima kibernetičkog napada.
Stepen i izloženost kibernetičkim rizicima inherentan je svakoj organizaciji pojedinačno. Riziko profil je utjecan faktorima kao što su:
- Djelatnost i veličina
- Opseg i način obrade, smještaja i komunikacije podataka
- Vrsta i organizacija digitalne infrastrukture
- Stepen automatizacije i eksternalizacije radnih procesa
- Implementirane zaštite
- Regulatorni zahtjevi i drugo
Sagledavanje kibernetičkih rizika sa kojim se organizacija suočava potrebno je obavljati redovno, te po svakoj materijalno značajnoj promjeni.
Enigma procjena Cyber rizika
Sa klijentom sagledavamo i procjenjujemo cyber rizike kojima je izložen. Kao ilustraciju slojevitosti i složenosti procjene, uzmimo retail banku čije je poslovanje digitalizirano i analizirajmo par pojednostavljenih procesa u okviru vođenja računa klijenta banke.
Obratimo pažnju na radne procese, angažirane subjekte i tehničke resurse, te razmijenjene podatke.
Krenimo od otvaranja računa. Po obavljenoj KYC provjeri, otvaranje računa je usluga koju tehnički banka pruža koristeći svoju core-banking aplikaciju. Core-banking aplikaciju je razvio, instalirao i održava specijalizirani pružalac IT usluga.
Većina današnjih komitenata računu u banci pristupa putem kartica koje im ova izdaje, izdavanje kartica je zadatak kojeg banka povjerava personalizacijskom birou. Perso biro može djelovati unutar banke, sa centralne lokacije bankarske grupacije ili biti eksternaliziran na nezavisan biro, bilo u zemlji ili izvan nje. Po zahtjevu za izdavanjem kartice, banka daje nalog i razmjenjuje podatke sa procesnim centrom koji tehnički upravlja portfoliom njenih kartica, i sa personalizacijskim biroom. Kada se kartica personalizira, ista se klijentu dostavlja poštom, ili ju se preuzima u poslovnici banke. Kartica je neaktivna do uručenja, pa po preuzimanju klijent aktivira karticu pozivom Pozivnom centru banke.
Kartica izvorno nije digitalni intrument, pa je njen imalac potome želi digitalizirati. Banka digitalizira kartice upotrebom namjenskih resursa - tokena i digitalnih novčanika kojim upravljaju specijalizirani resursi i-li kompanije. Uobičajno je da su digitalni novčanici povezani sa platformom proizvođača mobitela ili prenosnih uređaja, poput GooglePay, ApplePay, SamsungPay i dr sa kojima se razmjenjuju potrebni podaci. Konačno, klijent želi podići novac ili platiti mobitelom, odnosno digitalnom karticom. Digitalnoj kartici iz mobilnog novčanika pristupa kroz aplikaciju mobilnog bankarstva, koja je razvijena i održavana od strane pružaoca core-banking aplikacije ili drugog. Trebamo dodati sloj prihvata kartica na bankomatima i POS terminalima, koji su u vlasništvu banke i postavljeni na prodajnom mjestu.
Mada je primjer donekle složen - on nipošto nije iscrpan, ali nudi predodžbu o izloženosti modernih organizacija cyber rizicima i složenosti njene procjene.
Zašto procjenjivati cyber rizik
Motivacija za procjenu cyber rizika nad (kritičnom) infrastrukturom je raznovrsna. Obično je čini jedan ili više niženavedenih razloga, kao
- operativna pravila i procedure
- usklađenost sa regulatornim zahtjevima,
- interna revizija
- optimizacija odluka o ulaganjima
- unapređenje sigurnosnog profila