Dzisiejszy wykład dla szkół uczestniczących w programie "cyber.mil z klasą" zainspirował mnie do tego by może wreszcie coś napisać na tym blogu. Zawodowo dzieje się tyle, że strona niestety na tym cierpi (i jeszcze trochę ten stan potrwa...).
W przeciągu ostatniego roku zastanawiałem się m.in. nad zagadnieniem cyberzagrożeń. By skutecznie budować świadomość wyższej kadry zarządzającej oraz by kompleksowo identyfikować ryzyko, należy wiedzieć z jakimi zagrożeniami trzeba się będzie potencjalnie zmierzyć. Listy tysięcy potencjalnie możliwych scenariuszy, jakie można znaleźć w internecie nie nadają się moim zdaniem do tego. Kto ma czas, siły i cierpliwość na mozolną analizę (i aktualizację tych pozycji)? Koncentrowanie się na ryzykach na poziomie ogólności "zagrożenie poufności, integralności, dostępności..." też nie pozwalają (imho) na dotarcie do sedna spraw.
Przygotowałem więc własną - autorską taksonomię cyberzagrożeń A:F dzieląc je na:
- Attack - ataki fizyczne
- Bug - awarie techniczne
- Cyberattacks - cyberataki
- Disasters - katastrofy
- human Error - błędy ludzkie
- legal Faults - problemy prawne
Zwracałem tam uwagę, że typowe "cyberataki" czyli działalność "cyberprzestępców" nie jest jedynym problemem z którym musimy się niekiedy mierzyć.
Model podziału cyberzagrożeń metodą A:F w wersji polskiej oraz angielskiej można swobodnie ściągnąć poniżej i korzystać zgodnie z licencją CC BY
Mam nadzieję, że ułatwi to Wam rozmowy o zagrożeniach. I, że ja przestaną słyszeć odkrywcze stwierdzenia "największym zagrożeniem dla <nazwa firmy> są hakerzy"
Szerszy opis modelu (co prawda w poprzedniej wersji) znajduje się w publikacji "Przestępczość teleinformatyczna 2019" pod redakcją J. Kosińskiego