Július elején a LockBit zsarolóvírus két és fél napra kivonta a forgalomból a legnagyobb japán kikötőt Nagoya-ban. Most azonban nem magáról az incidensről lesz szó, hanem az incidens kockázatkezeléssel kapcsolatos tapasztalatairól és a tapasztalatokból leszűrhető kérdésekről.

Dale Peterson cikkében rámutat arra, hogy bár kiberbiztonsági incidens következtében most először kellett leállítani a Nagoya-i kikötőt, más okokból (főleg tájfunok miatt) az elmúlt közel 7 évtizedben számos esetben állt le Nagoya-ban a kikötő, legutóbb éppen 2019-ben, amikor a Hagibis tájfun pusztított Japánban.

Nyilván a júliusi incidens után a kikötő vezetői fejleszteni fogják a rendszereik biztonsági szintjét, azonban számukra is érdemes lesz feltenni a kérdést, hogy milyen és mekkora fejlesztés (és a fejlesztések által bekövetkező kockázat-csökkenés) lesz még indokolható (pl. ráfordítás-haszon elemzések alapján) és mi lesz már az a költségszint, ahol minden szempontból (beleértve a reputációs károkat is) jobban meg fogja érni felvállalni a kockázatot.

Ezzel pedig el is érkeztünk a kockázat-felvállaláshoz, mint a mai poszt legfontosabb témájához. A kockázatok felvállalása a kockázatkezelés egyik egyenrangú módon legitim lehetősége, azonban a menedzsment egyes tagjai (jellemzően mint az adat/folyamatgazdák) hajlamosak a kiberbiztonsági fejlesztések költségei láttán a kockázat-felvállalás mellett dönteni, ez pedig egy rossz gyakorlat kialakulásához is vezethet (főleg, ha a kockázatok egy ideig nem realizálódnak valós incidensekben, hiszen ezzel a kockázatokat viselő menedzserek igazolva láthatják a gyakorlatuk helyességét és hajlamosak lehetnek a jövőben még több kockázatot felvállalhatónak ítélni).

Mint oly sok esetben, itt is az egyensúlyra törekvés lesz a megoldás, ennek egy (szerintem) igen jó módszeréről hallottam nemrég, ami szerint az egyes menedzserek bónuszát minden egyes kockázat, amit felvállalnak csökkenti valamilyen mértékben, ezzel is motiválva őket, hogy a kockázatelemzés során túl magasnak ítélt kockázatokat ne egy könnyed(nek tűnő) adminisztratív aktussal "tudják le", hanem valós kockázatcsökkentési intézkedéseket hozzanak.

Összességében csak elismételni tudom Dave cikkének utolsó mondatát: az OT rendszereket üzemeltető szervezeteknek nem célszerű megvárni egy, a Nagoya-i kikötőjéhez hasonló incidenst azért, hogy hozzákezdjenek az OT kockázatkezelési tevékenységeikhez.