1. 数字风险管理模型
随着企业数字化转型,数字风险管理理论也在信息风险管理的基础上越来越多的被企业管理者所认知。为了更好的研究数字化风险,在此引入FAIR模型。引入FAIR模型是因为FAIR模型是信息安全领域广为使用的网络安全风险评估(CRA)框架。
FAIR(Factor Analysis of Information Risk 信息风险因素分析)模型的产生是因为数字化进程推动越来越多的企业依赖于信息科技,信息科技的高速发展带来了网络环境复杂度的几何级数递增,由此,网络安全成为越来越多的企业所面临的棘手问题和关键问题。这些问题包括数据泄露、企业声誉受损以及最终的财务损失。为了减轻和预防这些风险,需要对网络安全风险评估,帮助企业风险管理人员确定数字风险的优先级,分配有限的资源以缓解数字风险并做出进一步的防范决策。
1.1 FAIR模型简介
FAIR模型使用分类法将风险(财务损失)分解为风险因素,FAIR模型考虑了攻击者和防御者之间的能力竞赛,以及信息资产的脆弱性、攻击频率,并采用财务损失进行风险量化,FAIR模型还对风险因素之间的关系进行了描述。(见下图):
FAIR模型对风险类别进行了建模,在风险分类时,需要详尽无遗漏且风险因素间互斥。整体风险(财务损失)由事件发生频率和损失幅度的乘积进行描述。 即:风险(财务损失)=事件发生频率*损失幅度。
事件发生频率是指攻击者在给定时间范围内对信息资产造成伤害的频率,由威胁事件频率和资产脆弱性的乘积表达(事件发生频率=威胁事件频率*资产脆弱性),其中前者表示“攻击者对信息资产采取行动的频率”,而后者则被定义为“信息资产无法抵抗攻击者行动的可能性”。
威胁事件频率是攻击者与资产接触的频率,是攻击者一旦接触目标信息资产(接触频率)就会对资产采取行动的概率(行动概率),表达为:威胁事件频率=接触频率*行动概率。
资产脆弱性是威胁因素能够对资产施加的力量水平(威胁能力)与防御者对资产的控制强度(抵抗强度)之间的差,表达为资产脆弱性=威胁能力-抵抗强度。
损失幅度由直接损失和间接损失共同组成,表达为:损失幅度=直接损失+间接损失。在FAIR模型中间接损失又称为次要损失,典型的例子有企业品牌负面影响、资金成本增加等。
间接损失可分解为间接损失事件频率和间接损失幅度,表达为:间接损失=间接损失事件频率*间接损失幅度。
FAIR模型完整的风险公式表达为:
风险=(接触频率*行动概率)*(威胁能力-抵抗强度)*(直接损失+间接损失事件频率*间接损失幅度)
1.2 数字风险分析模型(C-FADR模型)简介
在数字风险的环境下,FAIR模型具有一定的约束性。
- 信息资产公开性:在数字风险研究领域,主要被攻击对象为公开发布的应用系统,包括:企业网站、移动端应用、企业公众号和高级管理人员公众号,其典型表现为公开性,数字风险保护所提到的数据泄露概念,也是基于数字信息已经泄露的前提。
- 攻击能力易获性:由于开源测试软件的推广,各种测试软件和学习材料极其容易获取,而这些软件具有双面性,既可以用于应用系统的测试和改善,也可以被攻击者用于攻击行为,由于资产的公开性,针对网站、APP、公众号信息等展开的攻击行为可谓入无人之境。
- 威胁事件可测量:针对数字风险的攻击,攻击者需要进行公开发布方能产生攻击效果,因此针对互联网、移动互联网、深网和暗网的监测能够发现威胁事件,并利用统计学原理进行计算可评估威胁事件的频率,因此威胁事件具有可测量性,且测量过程可控、测量结果可信。
基于以上约束条件,针对数字风险的FAIR模型可以简化为下图:
由于上述模型的前提是针对威胁事件的测量和资产脆弱性的约束假设,因此,将该模型定义为约束的数字风险因素分析模型:Constraint-Factor Analysis of Digital Risk,简称C-FADR。表达为:
数字风险=威胁事件频率*(直接损失+间接损失事件频率*间接损失幅度)
经简化后的数字风险公式更加容易应用,企业可以通过监测互联网威胁和内部调查收集信息而快速完成风险评估。
1.3 损失幅度分析简介
1.3.1 防御者视角
在风险模型中,统计损失一向具有难度,尤其是损失由直接损失和间接损失共同组成,而间接损失犹如冰山隐藏在水下的部分,估算难度更大。然而,通过科学的估算模型,间接损失仍然是可以计算出来的,甚至可以利用经验公式进行粗略估算,就如同利用密度比通过冰山浮在水面上的部分去推算冰山整体体积一样。
针对数字风险所研究的范围,其直接损失将处于更小的比例,这里的直接损失是指事件发生后其损失由企业直接遭受的货币化损失,且损失数额可在损失前量化。数字风险的主要损失由间接损失构成,间接损失是指具有一定或然性,在事件发生后可能会发生,其概率大于0且小于1,可能包括:
- ~民事、刑事或合同罚款和判决
- ~通知费用
- ~信用监控
- ~弥补二级利益相关者的金钱损失
- ~公共关系费用
- ~法律辩护费
- ~处置成本,由一线人员、公关、法务、其他相关人员的薪酬构成
- *监管制裁的影响
- *失去的市场份额
- *股价下跌
- *资金成本增加
以上间接成本,带有~符号的科目,企业可通过内部调研获得,且误差控制相对精确,而带有*符号的科目,其影响的长期性、非精准性增加,考虑到影响的比重较大,需要相应的投入获得精准的数字。
1.3.2 攻击者视角
在上节中,我们采用了防御者的视角来分析数字风险,这也是风险模型中普遍采用的分析视角,然而仅采用防御者的视角分析风险并不全面,例如:针对政府网站的仿冒行为,其损失往往无法简单地用直接损失+间接损失的货币化来衡量,这时候需要引进攻击者视角,所谓:“匹夫无罪,怀璧其罪”,采用攻击者价值视角,可以是企业和组织更加关注其社会责任。
由于攻击者针对数字资产的攻击可以直接或间接变现、技术要求低、犯罪成本低、容易藏匿于法外之处,因此分析攻击者能够获得价值,可以作为非企业的首要参考模型,在此场景下,数字风险模型变换为:
其公式表达为:
数字风险=威胁事件频率*攻击者收益
其中,攻击者收益可以通过公开信息进行分析。
小结:
数字风险是随着数字化转型而快速产生的规模化风险,经精简和场景化后的数字风险模型,可以帮助企业和组织应对数字化风险建模的挑战,重定义信息技术风险的优先级矩阵,从而集中、高效地管理数字风险应对资源。
在建立数字风险模型外,企业和组织还需要应对数字风险管理职责的挑战,其表现为牵头部门不确定。在数字风险管理框架下,技术、风控、法务、市场等部门的需要形在数字风险官(DRO)的统一领导下工作,才能真正做到对风险的应对。