Оценка киберрисков в проектах интернета вещей
Интернет вещей (IoT) открывает широкие возможности для инноваций, начиная от промышленных предприятий до здравоохранения и потребителей. Однако развитие проектов Интернета вещей создает значительные риски для разработчиков и пользователей. Количество и частота IoT-атак увеличивается и наблюдается рост прямого и косвенного ущерба. Так одно зараженное устройство может открыть для атаки всю экосистему компании с потенциальными сбоями: от нарушения конфиденциальности отдельных пользователей до массового сбоя общественных систем и угрозы для жизни людей. Актуальность выбранной темы объясняется ростом числа кибератак, скоростью появления новых угроз и увеличением ущерба от атак. Поэтому в статье рассматривается снижение эффективности существующих механизмов оценки киберрисков и восполняются пробелы в исследованиях в этой области. Авторами был разработан показатель Cyber ROI (CyROI), позволяющий отразить киберриски и измерить эффективность инвестиций в развитие Интернета вещей с учетом киберпреступности и связанных с ним мер контроля. Далее был сформирован подход к оценке киберрисков для проектов Интернета вещей (IoT), основанный на принципах риск-контроллинга и включающий этапы выявления рисков, моделирования деревьев рисков, оценки рисков и анализа результатов. Помимо формирования самого подхода, была представлена структурно-логическая схема оценки киберрисков и описаны входящие в него инструменты. В отличие от аналогов, разработанный подход обеспечивает системность в оценке киберрисков; позволяет интегрировать и координировать все связанные с этим действия и инструменты, моделировать доверительный интервал возможной рентабельности инвестиций, а также показывает шансы выйти за рамки риск-аппетита и толерантности к риску. Предложенный подход делает оценку киберрисков динамичной, итеративной, реагирующей на изменения в киберсреде. Также данный подход имеет значительное научное и практическое применение. По сравнению с существующими подходами, предложенный авторами подход к оценке киберрисков обладает большей гибкостью, учитывает корреляции между рисками, позволяет оценить влияние каждого фактора риска на CyROI и рассчитывать большое количество сценариев.