Siber güvenlik olayı açıklamalarının Menkul Kıymetler ve Borsa Komisyonu dosyalarında daha sık görünmesiyle birlikte, ajansın görevihalka açık şirketlerin bu maddi olaylardan dolayı karşılaşabilecekleri mali zararlarla ilgili önemli bir soru akıllarda kalıyor.
Risk yönetimi kuruluşu FAIR Institute tarafından bu hafta açıklanan bir önemlilik değerlendirme modeli, bu kayıpları FAIR Önemlilik Değerlendirme Modeli açık kaynak çerçevesinin yardımıyla ölçmeyi amaçlıyor.
“Bu Hack Ne Kadar Önemli?” Salı günü FAIR Enstitüsü’nün yıllık konferansında, yakın zamanda açıklanan beş siber saldırıyla ilgili ayrıntılarla canlı yayınlandı. MGM Tatil Köyleri, Sezar Eğlencesi, Johnson Kontrolleri, Clorox ve Aşamalı Kiralama.
Araç, bu beş olayın “büyük olasılıkla” 663 milyon dolarlık birincil ve ikincil maliyete yol açacağını tahmin ediyor.
FAIR Enstitüsü ve çevrimiçi hesap makinesini çalıştıran kurucu ortağı Safe Security, sürekli olarak daha fazla veri ve kaynağın ekleneceğini söyledi.
Çevrimiçi hesaplayıcı otomatik değildir; bunun yerine, SEC başvurularından elde edilen verilerin ve kamuya açık diğer bilgilerin kuruluşlara ve diğer paydaşlara önceliklendirme değerlendirmelerini ölçmede nasıl yardımcı olabileceği konusunda bir model görevi görür. Çaba, araçla ilgili olmaktan çok, bir standart oluşturmaya yöneliktir. Bir kuruluşun siber riski ve potansiyel önemlilik etkisi.
“’Hack Ne Kadar Önemlidir’ çevrimiçi kaynağının amacı, ihlallerin sağlam bir deposu olmak ve belirli bir eşikle sınırlı olmamaktır. FAIR Enstitüsü standartlar ve araştırma direktörü ve Safe Security COO’su Pankaj Goyal, e-posta yoluyla şunları söyledi: Araç, soruları yanıtlamak ve siber risk ve önemlilik karar verme sürecine rehberlik etmek için tasarlandı.
FAIR-MAM, kuruluşlar için benzersiz bir siber kayıp modeli oluşturabilir ve risk ölçüm analizi ve kıyaslama verileriyle eşleştirildiğinde, işletme açısından en önemli risk senaryoları için finansal riski sürekli olarak tahmin edebilir.
R Street Institute’un siber güvenlik ve yeni ortaya çıkan tehditler direktörü Brandon Pugh’a göre bu çaba, güvenlik olaylarına şeffaflık getiriyor ve iş kararlarına yön verebilecek tahminler sağlamaya yardımcı oluyor.
Pugh, “Öncelik kararının somut olmaması, bunun yerine çeşitli faktörlere ve değerlendirmelere dayanması nedeniyle bu özellikle önemlidir” dedi.
Pugh, “Ancak, tahminlerin kusursuz olmaması nedeniyle yalnızca ona güvenmek yerine, kararlara yardımcı olacak bir araç olarak kullanılmasını tavsiye ediyorum” dedi.
Hesaplayıcı, bilgi gizliliği, iş kesintisi, siber gasp ve ağ güvenliğiyle bağlantılı potansiyel mali zararların önemliliğini tahmin eder. Araç, Progressive Leasing’e yönelik fidye yazılımı saldırısı için bilgi gizliliğinin 91 milyon dolara, ağ güvenliğinin ise 1,3 milyon dolara kadar çıkacağını tahmin ediyor.
Çerçeve aynı zamanda olay öncesi önemliliği tahmin edebilir ve olay meydana geldikten sonra gerçek bilgilere dayanarak finansal riski hesaplayabilir. Goyal, “Şirketlerin risk senaryolarını proaktif olarak planlamalarına ve riski sürekli olarak yönetmelerine yardımcı olabilir” dedi.
Önemlilik eşiklerini tanımlamak için FAIR-MAM modelini kullanan şirketler, iş üzerinde en yüksek etkiye sahip olabilecek risklere yönelik çabalara öncelik vermek için en önemli siber risk senaryolarını ve bunların potansiyel önemliliklerini belirleyebilir.
Araç aynı zamanda potansiyel kayıpları belirlemek ve bu tahminleri önceden belirlenmiş önemlilik eşikleriyle karşılaştırmak isteyen şirketler için bir finansal maliyet modeli olarak da hizmet veriyor. FAIR Enstitüsü’ne göre bu kayıp tahminleri, işletmelerin bir siber güvenlik olayının SEC’e rapor edilmesi gerekip gerekmediğine ve ne zaman rapor edilmesi gerektiğine karar vermesine yardımcı olabilir.