ALARP
Сокращение “ALARP” расшифровывается как “As Low As Reasonably Practicable” («настолько низкий, насколько это разумно на практике» - речь идет о риске, конечно). В нормативную документацию этот принцип впервые введен британским законом об охране здоровья и безопасности труда в 1974 году (Health and Safety at Work etc. Act of 1974).
Идея: компании-операторы опасных производств (шахт, химзаводов, АЭС и т.п.) отвечают за жизнь и здоровье сотрудников. Компания защищает работника, применяя для этого технически необходимые меры. Но меры можно не принимать в случае «значительных диспропорций между стоимостью мер и их эффективностью».
Сокращение “ALARP” расшифровывается как “As Low As Reasonably Practicable” («настолько низкий, насколько это разумно на практике» - речь идет о риске, конечно). В нормативную документацию этот принцип впервые введен британским законом об охране здоровья и безопасности труда в 1974 году (Health and Safety at Work etc. Act of 1974).
Идея: компании-операторы опасных производств (шахт, химзаводов, АЭС и т.п.) отвечают за жизнь и здоровье сотрудников. Компания защищает работника, применяя для этого технически необходимые меры. Но меры можно не принимать в случае «значительных диспропорций между стоимостью мер и их эффективностью».
GAMAB
Принцип GAMAB появился на другой стороне Ла-Манша. Аббревиатура GAMAB означает “Globalement au moins aussi bon” (в переводе с французского «как минимум также хорошо»). Этот принцип легко применяется к автоматизации, когда то, что раньше делали люди, начинают делать роботы (например, автономное вождение). Люди ошибаются, иногда эти ошибки приводят к опасным событиям (например, ДТП). Тем не менее, люди не перестают этим заниматься, а значит, общество считает риск приемлемым. Таким образом, если автомат допускает опасные ошибки с вероятностью не большей, чем это делают люди, то он безопасен. Если ДТП случаются с автономным автомобилем не чаще, с автомобилем под управлением человека — значит, риск использования автономного автомобиля является приемлемым.
Принцип GAMAB появился на другой стороне Ла-Манша. Аббревиатура GAMAB означает “Globalement au moins aussi bon” (в переводе с французского «как минимум также хорошо»). Этот принцип легко применяется к автоматизации, когда то, что раньше делали люди, начинают делать роботы (например, автономное вождение). Люди ошибаются, иногда эти ошибки приводят к опасным событиям (например, ДТП). Тем не менее, люди не перестают этим заниматься, а значит, общество считает риск приемлемым. Таким образом, если автомат допускает опасные ошибки с вероятностью не большей, чем это делают люди, то он безопасен. Если ДТП случаются с автономным автомобилем не чаще, с автомобилем под управлением человека — значит, риск использования автономного автомобиля является приемлемым.
МЕМ
Еще один английский акроним, который расшифровывается как “Minimum endogenous mortality” («минимальная смертность по внутренним причинам»). Все люди смертны, и некоторые более смертны, чем другие. Ученые стали измерять «интенсивность критических отказов» человеческого тела. Оказалось, что наименее смертны европейские молодые мужчины – для них вероятность умереть по причинам, связанным со здоровьем, составляет 0,0002 в год, или 2,3Е-8 в час. Это естественный предел, никакие меры не могут "победить" этот риск. Если вероятность смерти в результате использования какой-либо технической системы сильно ниже, такую систему можно признать безопасной. Она более надежна, чем лучшие, наиболее здоровые, человеческие тела!
Еще один английский акроним, который расшифровывается как “Minimum endogenous mortality” («минимальная смертность по внутренним причинам»). Все люди смертны, и некоторые более смертны, чем другие. Ученые стали измерять «интенсивность критических отказов» человеческого тела. Оказалось, что наименее смертны европейские молодые мужчины – для них вероятность умереть по причинам, связанным со здоровьем, составляет 0,0002 в год, или 2,3Е-8 в час. Это естественный предел, никакие меры не могут "победить" этот риск. Если вероятность смерти в результате использования какой-либо технической системы сильно ниже, такую систему можно признать безопасной. Она более надежна, чем лучшие, наиболее здоровые, человеческие тела!
Какой метод определения допустимого риска наиболее точен?
Anonymous Poll
15%
ALARP
46%
GAMAB
23%
MEM
15%
Свой вариант (в комментарии)
Какой метод определения допутимого риска проще всего применять?
Anonymous Poll
64%
ALARP
9%
GAMAB
9%
MEM
18%
Свой вариант (в комментарии)
Теперь давайте поговорим про недостатки трех описанных выше методов определения допустимого риска.
ALARP
Применять принцип ALARP непросто. Человеческие страдания (травмы, потерю здоровья, утрату близкого человека) сравниваются с финансовыми показателями (стоимостью мер устранения рисков). На практике сравнивать стали деньги с деньгами: размеры компенсации, которые суды присуждали за травмы и смерть работников, сравнивали со стоимостью технических мер безопасности. Но очевидно, что никакая денежная компенсация полностью не устранит страдания, вызванные несчастным случаям. Поэтому принцип ALARP не нашел применения в США, а к началу 2000-х от него отказались и в Европе.
Применять принцип ALARP непросто. Человеческие страдания (травмы, потерю здоровья, утрату близкого человека) сравниваются с финансовыми показателями (стоимостью мер устранения рисков). На практике сравнивать стали деньги с деньгами: размеры компенсации, которые суды присуждали за травмы и смерть работников, сравнивали со стоимостью технических мер безопасности. Но очевидно, что никакая денежная компенсация полностью не устранит страдания, вызванные несчастным случаям. Поэтому принцип ALARP не нашел применения в США, а к началу 2000-х от него отказались и в Европе.
GAMAB
На первый взгляд, это лучше, чем ALARP: риски сравнивают с рисками. Тем не менее, и здесь не все так гладко.
Во-первых, риски "сейчас" сравнивают с рисками "потом". Не учитывается, что люди учатся. Без автоматизации вероятность и тяжесть ДТП падают с 1980-х годов, с каждым годом люди водят лучше. Что будет через 20 лет - смогут ли роботы учиться так же быстро, как люди - никто не знает.
Во-вторых, принцип GAMAB работает, когда автоматизируют процесс от начала до конца: например, убираем водителя из машины или автоматизируем производственный участок. Проблемы возникают, когда автоматизируется только часть процесса. Например, система ADAS берет на себя управление скоростью автомобиля и дистанцией до впереди идущего на автомагистрали. Столкновений в одной полосе становится меньше. Но становится больше столкновений, связанных с перестроением. Применяя принцип GAMAB, невозможно сделать однозначное утверждение о безопасности такой системы.
Кроме того, принцип GAMAB не подходит для новых продуктов. Если то, что делает продукт, раньше не делал человек, принцип GAMAB применить невозможно.
Тем не менее, GAMAB широко применяется в инженерии безопасности, в том числе и в области автоматизации управления транспортом.
На первый взгляд, это лучше, чем ALARP: риски сравнивают с рисками. Тем не менее, и здесь не все так гладко.
Во-первых, риски "сейчас" сравнивают с рисками "потом". Не учитывается, что люди учатся. Без автоматизации вероятность и тяжесть ДТП падают с 1980-х годов, с каждым годом люди водят лучше. Что будет через 20 лет - смогут ли роботы учиться так же быстро, как люди - никто не знает.
Во-вторых, принцип GAMAB работает, когда автоматизируют процесс от начала до конца: например, убираем водителя из машины или автоматизируем производственный участок. Проблемы возникают, когда автоматизируется только часть процесса. Например, система ADAS берет на себя управление скоростью автомобиля и дистанцией до впереди идущего на автомагистрали. Столкновений в одной полосе становится меньше. Но становится больше столкновений, связанных с перестроением. Применяя принцип GAMAB, невозможно сделать однозначное утверждение о безопасности такой системы.
Кроме того, принцип GAMAB не подходит для новых продуктов. Если то, что делает продукт, раньше не делал человек, принцип GAMAB применить невозможно.
Тем не менее, GAMAB широко применяется в инженерии безопасности, в том числе и в области автоматизации управления транспортом.
MEM
Этот метод тоже не без трудностей. В инженерии безопасности рассматриваются не только риски, связанные со смертью. Как «пересчитать» риск потери конфиденциальных данных для пользования принципом МЕМ? Можем ли мы сказать, что кража денег с банковского счета составляет 1/1000 смерти? Ввод такой метрики потребует серьезных обоснований.
Кроме того, человек плохо воспринимает вероятности. Отличные пример здесь – индустрия транспорта. Автомобиль – самый опасный вид транспорта, а самолет – самый безопасный. Несмотря на это, летать на самолете боится гораздо больше людей, чем путешествовать на автомобиле. Определяя максимальный допустимый риск, нельзя применять только строго формальный подход.
Этот метод тоже не без трудностей. В инженерии безопасности рассматриваются не только риски, связанные со смертью. Как «пересчитать» риск потери конфиденциальных данных для пользования принципом МЕМ? Можем ли мы сказать, что кража денег с банковского счета составляет 1/1000 смерти? Ввод такой метрики потребует серьезных обоснований.
Кроме того, человек плохо воспринимает вероятности. Отличные пример здесь – индустрия транспорта. Автомобиль – самый опасный вид транспорта, а самолет – самый безопасный. Несмотря на это, летать на самолете боится гораздо больше людей, чем путешествовать на автомобиле. Определяя максимальный допустимый риск, нельзя применять только строго формальный подход.
Что дальше?
Для определения максимально допустимого уровня риска сейчас нет единого и общепризнанного метода. Инженеры, сталкивающиеся с этой задачей, используют принципы ALARP, GAMAB и MEM, а также собственное этическое чувство и опыт.
В последнее время сбор и анализ данных пользователя стал доступен, как никогда раннее. Возможно, скоро мы сможем напрямую измерить допустимый риск, причем не на уровне всего населения земного шара, а на уровне отдельного человека. Но пока это задача для будущего.
Для определения максимально допустимого уровня риска сейчас нет единого и общепризнанного метода. Инженеры, сталкивающиеся с этой задачей, используют принципы ALARP, GAMAB и MEM, а также собственное этическое чувство и опыт.
В последнее время сбор и анализ данных пользователя стал доступен, как никогда раннее. Возможно, скоро мы сможем напрямую измерить допустимый риск, причем не на уровне всего населения земного шара, а на уровне отдельного человека. Но пока это задача для будущего.
Дорогие друзья!
Несмотря на сложные и печальные события в мире, мы продолжаем работать. Мы решили поговорить о кибербезопасности — о том, как защитить себя от угроз со стороны злонамеренных акторов (хакеров, нарушителей и т.п.)
Оставайтесь с нами.
Мира нам всем ☮️
Несмотря на сложные и печальные события в мире, мы продолжаем работать. Мы решили поговорить о кибербезопасности — о том, как защитить себя от угроз со стороны злонамеренных акторов (хакеров, нарушителей и т.п.)
Оставайтесь с нами.
Мира нам всем ☮️
"Ближайшее время" растянулось почти на месяц. Завтра будем исправлять! 😊
Очередная серия постов — про инфобез. Введение и анализ.
Определение
Информационная безопасность (инфобез, по-английски Information Security или InfoSec) – предотвращение несанкционированного доступа, использования, раскрытия и других вредоносных действий над чужой информацией, о которых расскажем ниже. Это понятие применяется независимо от формы предоставления данных: цифровой, аналоговой или, скажем, на бумажном носителе. Однако в дальнейшем будем обсуждать защиту информации в цифровой форме в компьютерных системах, подключенных к более или менее глобальным сетям. Такое ограничение приведет от информационной безопасности к ее подвиду – кибербезопасности (cybersecurity).
Важно! Промышленная безопасность (например, функциональная) по-английски называется safety, а кибербезопасность или физическая безопасности – security. Различие здесь такое: если защищаем человека от отказов оборудования – это safety, а если защищаем оборудование от людей, которые хотят воспользоваться им не так, как хотели бы разработчики –это security.
Информационная безопасность (инфобез, по-английски Information Security или InfoSec) – предотвращение несанкционированного доступа, использования, раскрытия и других вредоносных действий над чужой информацией, о которых расскажем ниже. Это понятие применяется независимо от формы предоставления данных: цифровой, аналоговой или, скажем, на бумажном носителе. Однако в дальнейшем будем обсуждать защиту информации в цифровой форме в компьютерных системах, подключенных к более или менее глобальным сетям. Такое ограничение приведет от информационной безопасности к ее подвиду – кибербезопасности (cybersecurity).
Важно! Промышленная безопасность (например, функциональная) по-английски называется safety, а кибербезопасность или физическая безопасности – security. Различие здесь такое: если защищаем человека от отказов оборудования – это safety, а если защищаем оборудование от людей, которые хотят воспользоваться им не так, как хотели бы разработчики –это security.
Базовый подход
Базовые подход к кибербезопасности – такой же, как и в любой другой ветви инженерии безопасности:
* Анализ риска
* Разработка требований по борьбе с рисками
* Воплощение требований
* Верификация разработанного продукта
* Валидация безопасности
Последние четыре пункта (от разработки требований до валидации безопасности) по смыслу не отличаются от аналогичных шагов жизненного цикла функциональной безопасности. Поэтому их рассматривать пока не будем. Вместо этого сосредоточимся на анализе риска.
Базовые подход к кибербезопасности – такой же, как и в любой другой ветви инженерии безопасности:
* Анализ риска
* Разработка требований по борьбе с рисками
* Воплощение требований
* Верификация разработанного продукта
* Валидация безопасности
Последние четыре пункта (от разработки требований до валидации безопасности) по смыслу не отличаются от аналогичных шагов жизненного цикла функциональной безопасности. Поэтому их рассматривать пока не будем. Вместо этого сосредоточимся на анализе риска.
Анализ риска
Анализ рисков, связанных с кибербезопасностью, как и любых других рисков, проводится по схеме «галстук-бабочка»:
Опасности – то, что присутствует в системе изначально и потенциально может принести вред; устранить их полностью можно только через ограничение функций системы.
Опасные события – события, в результате которых может быть принесен вред защищаемым активам (англ. assets)
Риски – виды вреда, от которых могут пострадать активы, и вероятность вреда каждого вида.
Анализ рисков, связанных с кибербезопасностью, как и любых других рисков, проводится по схеме «галстук-бабочка»:
Опасности – то, что присутствует в системе изначально и потенциально может принести вред; устранить их полностью можно только через ограничение функций системы.
Опасные события – события, в результате которых может быть принесен вред защищаемым активам (англ. assets)
Риски – виды вреда, от которых могут пострадать активы, и вероятность вреда каждого вида.
Опасности
То, что в safety называлось "опасности" (hazards), в security называется "угрозы" (threats). Моделей угроз информации много. Здесь расскажем про старейшую модель. Она включает четыре обязательных свойства безопасности: три «основных» (появились еще в 1975 году) и одно «дополнительное» («помоложе» - 1996 года). Итак, свойства:
* Конфиденциальность (Confidentiality) – информация должна быть доступна только тем, кому она не предназначена. Соответствующая угроза – потенциальное раскрытие информации лицам, у которых не должно быть к ней доступа.
* Целостность (Integrity) – информация всегда должна передаваться правильно (без искажений) и полностью. Угроза – искажение информации или потеря ее части.
* Доступность (Availability) – информация должна передаваться по запросу авторизованного лица в течение заданного времени. Угроза здесь – правильный запрос от нужного лица отправлен, но информация по нему не предоставляется.
Эти три свойства по первым буквам английских названий называются «триадой CIA» (надеюсь, все это не имеет отношения к одноименной федеральной службе США, хотя кто знает).
«Дополнительное» свойство, о котором сказано выше – неотказуемость (non-repudiation). Смысл в следующем: происходящее, включая действия пользователя, удостоверяется так, чтобы позже ответственность за действия нельзя было поставить под сомнение. Угроза – появление действия (например, информация была добавлена, изменена или удалена), за которое непонятно кто отвечает.
Составив диаграмму потоков данных (ДПД, Data Flow Diagram, DFD) и применяя описанные угрозы к потокам, пересекающим границы системы, можно полностью описать опасности, относящиеся к инфобезу.
То, что в safety называлось "опасности" (hazards), в security называется "угрозы" (threats). Моделей угроз информации много. Здесь расскажем про старейшую модель. Она включает четыре обязательных свойства безопасности: три «основных» (появились еще в 1975 году) и одно «дополнительное» («помоложе» - 1996 года). Итак, свойства:
* Конфиденциальность (Confidentiality) – информация должна быть доступна только тем, кому она не предназначена. Соответствующая угроза – потенциальное раскрытие информации лицам, у которых не должно быть к ней доступа.
* Целостность (Integrity) – информация всегда должна передаваться правильно (без искажений) и полностью. Угроза – искажение информации или потеря ее части.
* Доступность (Availability) – информация должна передаваться по запросу авторизованного лица в течение заданного времени. Угроза здесь – правильный запрос от нужного лица отправлен, но информация по нему не предоставляется.
Эти три свойства по первым буквам английских названий называются «триадой CIA» (надеюсь, все это не имеет отношения к одноименной федеральной службе США, хотя кто знает).
«Дополнительное» свойство, о котором сказано выше – неотказуемость (non-repudiation). Смысл в следующем: происходящее, включая действия пользователя, удостоверяется так, чтобы позже ответственность за действия нельзя было поставить под сомнение. Угроза – появление действия (например, информация была добавлена, изменена или удалена), за которое непонятно кто отвечает.
Составив диаграмму потоков данных (ДПД, Data Flow Diagram, DFD) и применяя описанные угрозы к потокам, пересекающим границы системы, можно полностью описать опасности, относящиеся к инфобезу.
Опасные события
В безопасности-safety опасные события не ограничиваются ДТП, катастрофами и похожими проблемами. В security дополнительно рассматривается кража денег со счетов, нарушение тайны частной жизни и личной переписки, и подобные неприятные происшествия. Стандарт ИСО 21434 («Кибербезопасность дорожных транспортных средств») определяет четыре области, в которых опасное событие вредит пользователю:
* Вред здоровью
* Финансовые потери
* Невозможность эксплуатации
* Утечка данных
Вред в каждой из этих областей оценивается по четырехбалльной шкале: незначительный, умеренный, значительный и серьезный. В дальнейшем анализе имеет значение только уровень, но не тип вреда.
В безопасности-safety опасные события не ограничиваются ДТП, катастрофами и похожими проблемами. В security дополнительно рассматривается кража денег со счетов, нарушение тайны частной жизни и личной переписки, и подобные неприятные происшествия. Стандарт ИСО 21434 («Кибербезопасность дорожных транспортных средств») определяет четыре области, в которых опасное событие вредит пользователю:
* Вред здоровью
* Финансовые потери
* Невозможность эксплуатации
* Утечка данных
Вред в каждой из этих областей оценивается по четырехбалльной шкале: незначительный, умеренный, значительный и серьезный. В дальнейшем анализе имеет значение только уровень, но не тип вреда.
Риски
Риск – это величина, описывающая размер вреда и вероятность этого вреда. Оценить вероятность события, которое еще не происходило, трудно, а риски оценивают до сбора статистики -- на этапе разработки. Вероятность и в стандартах safety, и в стандартах security заменяется на набор прокси-величин, которые легче оценить.
Опасности safety -- случайные события, а угрозы security – плод целенаправленного труда нарушителей. К последним нельзя применять методы теории вероятностей. Стандарт ИСО 21424 для оценки осуществимости атаки рекомендует методику «Общая система оценки уязвимости» (Common Vulnerability Scoring System, CVSS). Эта методика предполагает характеристику атаки по четырем показателям:
* Степень необходимого взаимодействия с пользователем (U)
* Степень возможной удаленности злоумышленника (V)
* Степень доступа к системе, необходимая для атаки (P)
* Сложность атаки (С)
Каждому из параметров присваивается по каталогам действительное значение (например, если уязвимый компонент подключен к сети и атаковать его можно из любой точки Земли, то V = 0,85). Затем рассчитывается итоговая метрика эксплуатируемости: E = 8,22*U*V*P*C.
Затем, вновь по каталогу, в зависимости от значения метрики, выбирается оценка уязвимости: высокая, средняя, низкая или очень низкая.
Сопоставив максимальный вред от атаки с оценкой уязвимости, получаем целевой уровень полноты кибербезопасности (cybersecurity assurance level, CAL). Этот уровень в дальнейшем поможет выбрать методы и меры защиты, расставить риски в нужном порядке, правильно передать требования субподрядчикам – он нужен для тех же целей, для которых в стандартах функциональной безопасности используют уровни полноты безопасности.
Риск – это величина, описывающая размер вреда и вероятность этого вреда. Оценить вероятность события, которое еще не происходило, трудно, а риски оценивают до сбора статистики -- на этапе разработки. Вероятность и в стандартах safety, и в стандартах security заменяется на набор прокси-величин, которые легче оценить.
Опасности safety -- случайные события, а угрозы security – плод целенаправленного труда нарушителей. К последним нельзя применять методы теории вероятностей. Стандарт ИСО 21424 для оценки осуществимости атаки рекомендует методику «Общая система оценки уязвимости» (Common Vulnerability Scoring System, CVSS). Эта методика предполагает характеристику атаки по четырем показателям:
* Степень необходимого взаимодействия с пользователем (U)
* Степень возможной удаленности злоумышленника (V)
* Степень доступа к системе, необходимая для атаки (P)
* Сложность атаки (С)
Каждому из параметров присваивается по каталогам действительное значение (например, если уязвимый компонент подключен к сети и атаковать его можно из любой точки Земли, то V = 0,85). Затем рассчитывается итоговая метрика эксплуатируемости: E = 8,22*U*V*P*C.
Затем, вновь по каталогу, в зависимости от значения метрики, выбирается оценка уязвимости: высокая, средняя, низкая или очень низкая.
Сопоставив максимальный вред от атаки с оценкой уязвимости, получаем целевой уровень полноты кибербезопасности (cybersecurity assurance level, CAL). Этот уровень в дальнейшем поможет выбрать методы и меры защиты, расставить риски в нужном порядке, правильно передать требования субподрядчикам – он нужен для тех же целей, для которых в стандартах функциональной безопасности используют уровни полноты безопасности.
Отличия safety от security
Процессы safety и security похожи, но вот два больших отличия:
* Анализ security всегда неполон. Даже если вы все предусмотрели, обязательно найдется незакрытая уязвимость. Поэтому в security, в отличие от safety, много внимания уделяют мониторингу устройств после выпуска.
* Рынок «понимает» тему кибербезопасности лучше, чем тему функциональной безопасности. Safety – нишевой продукт для кибер-физических систем, в то время как вопросы информационной безопасности заботили еще Юлия Цезаря. Это несет в себе плюсы и минусы. Плюсы в том, что материалов по теме, специалистов, профильных конференций и продуктов по кибербезопасности гораздо больше, чем по функциональной безопасности. Минусы – гораздо большее давление рынка, что несет много трудностей для компаний, только начинающих движение в сторону security. Поэтому оставайтесь с нами – будем продолжать инфобез-«ликбез».
Процессы safety и security похожи, но вот два больших отличия:
* Анализ security всегда неполон. Даже если вы все предусмотрели, обязательно найдется незакрытая уязвимость. Поэтому в security, в отличие от safety, много внимания уделяют мониторингу устройств после выпуска.
* Рынок «понимает» тему кибербезопасности лучше, чем тему функциональной безопасности. Safety – нишевой продукт для кибер-физических систем, в то время как вопросы информационной безопасности заботили еще Юлия Цезаря. Это несет в себе плюсы и минусы. Плюсы в том, что материалов по теме, специалистов, профильных конференций и продуктов по кибербезопасности гораздо больше, чем по функциональной безопасности. Минусы – гораздо большее давление рынка, что несет много трудностей для компаний, только начинающих движение в сторону security. Поэтому оставайтесь с нами – будем продолжать инфобез-«ликбез».