Risk = Threat × Vulnerability

ALT text

يختلط على الكثير مفهوم المخاطر فيظن بمجرد ظهور ثغرة ما او تهديد فان هناك خطر على النظام/ المعلومات او الشركة بينما ب الواقع لا تقاس الأمور بهذه الطريقة فهناك عده أمور يجب تحديدها بداية حتى نقوم بتحديد ما إذا كانت هذه الثغرة او التهديد خطرا او لا، وما مدى تأثير هذا الخطر على المنظمة وحتى أقوم بإيضاح ذلك أكثر سوف ابدا بتعريف اهم المصطلحات والمفردات هنا.

Threat التهديد

التهديد هو كل شيء يقوم بتهديد المؤسسة/ الشركة والمساس ب ممتلكاتها سرقتها او تدميرها من أجهزة برامج بيانات او حتى موظفين ويمكن تصنيف ال تهديدات بالأشكال التالية:

(سوف أقوم بذكر المفردات ب اللغة الإنجليزية وتعريفها وشرحها بالعربية ليسهل على القارئ البحث عنها بإسهاب في حال أراد ذلك)

Adversarial threats

تهديدات الخصوم؛ لعل هذا النوع من التهديدات من أكثر التهديدات شهرة، هذا النوع من التهديدات يكون قائم بين الخصوم (شركات، سياسيات وغيره) وقد تكون داخليه (مثال: موظف) او خارجية.

Accidental threats

الحوادث؛ هذه النوع من التهديدات هو كل ما قد يصدر عن طريق الخطأ (خطأ برمجي، او خطأ قام به موظف اثناء أداء عمله) هذه الخطأ قد يسبب يشكل تهديداً بالنظام او المعلومات.

Structural threats

التهديدات الهيكلة هذا النوع من التهديدات، يحدث نتيجة ل حدوث عطل في بعض الخوادم او المعدات التي قد تشكل تهديدات للمنظمة. (مثل: ارتفاع في درجة حرارة غرفة الخوادم مما يؤدي لاحتراقها).

Environmental threats

هذا النوع من التهديدات هو ما يكون متعلق ب الحوادث الطبيعية، ك زلازل او فيضان مائي قد يدمر او يؤثر على موقع المؤسسة والبيانات.

Vulnerability الثغرات (نقاط الضعف):

الثغرات هي نقاط الضعف في (النظام، المنظمة، البيانات … الخ) التي تسمح ل Threat actor ب تنفيذ الهجمة ل تدمير النظام، او سرقة او الوصول لبيانات حساسة. يوجد عده اشكال ل نقاط الضعف تلك ويمكن قياسها وتصنيفها والتعامل معها بشكل مختلف في كل مره اعتماداً على المنظمة ونوع البيانات المرتبطة بها ومدى أهميتها، تصنيف نقاط الضعف وكيفية التعامل معها يأتي تحت موضوع اخر ومهم يطلق عليه (Vulnerability management).

سأقوم بالكتابة عنه في مقال اخر ان شاء الله.

Risk المخاطر:

هو ذلك الخطر الذي يواجه المؤسسة للوصول ل بيانتها او تدميرها، وكما ذكرت لا نستطيع الجزم بما اذا كان هذا التهديد او الثغرة (نقطة الضعف) خطرًا يجب على المنظمة تجنبه او لا، فقد يكون هناك تهديدًا الى انه لا يعد خطرًا (مثال: عند وجود تهديد بوجد فيضانات في المملكة العربية السعودية؛ قد لا يعد هذا التهديد خطراً ل شركة مقرها في وسط الرياض لعدم وجود بحر قد يكون جزء من هذه الفيضان، مثال اخر، عند تدمير بعض الملفات المهمة في الشركة عن طريق الخطأ من قبل موظف او بالعمد من قبل منافس او عدو؛ في حال وجود نسخة احتياطية من هذه الملفات والبيانات في مكان امن بحيث يمكن للشركة استعادتها فهذه التهديد لا يعد خطرا قد تواجه الشركة).

وبشكل اوضح، عند وجود تهديد بدون نقطة ضعف لا يوجد خطر وعند وجود نقطة ضعف بلا تهديد فلا يوجد خطر، فمثلا عند وجود تهديد ب حدوث فيضانات في المملكة العربية السعودية، وجود نقطة الضعف من عدمها يحدد بناء على مكان وجود المنظمة؛ ف في حال وجود المنظمة في مدينة جدة فهذا يعني وجود نقطة ضعف وتهديد بما يعني وجود خطر، ولكن في حال وجود المنظمة في مدينة الرياض فهنا لا يوجد نقطه ضعف لعدم وجود احتماليه ان تصيب الفيضانات مدينه الرياض، لذلك مع وجود التهديد بدون نقطه ضعف فهذا يعني عدم وجود خطر.

وحتى نقوم بقياس الخطر والتعبير عنها ما إذا كان الخطر (منخفض، متوسط او عالي) سوف نذكر مفردتين مهمين تساعدنا لقياس المخاطر.

Likelihood

قياس مدى احتمالية حدوث الخطر ويعبر عنها ب (منخفض، متوسط، عالي)، مثلاً، مدى احتماليه حدوث فيضانات في مدينة الرياض منخفض.

Impact

قوة ومقياس تأثير الخطر على المنظمة، والبيانات ويعبر عنه ب (منخفض، متوسط، عالي)، مثلاً مدى قوة تأثير الفيضانات على مدينة جدة عالي.

ويمكن قياس الخطر اعتمادا على ال (likelihood, Impact) بناء على المصفوفة التالية، ويطلق عليها (Risk matrix)

ALT text

عند وجود احتمالية ل وجود تهديد ما بشكل منخفض، مع تأثير عالي في حال استغلال هذا التهديد، فإن مقياس الخطر يكون متوسط.

وعند وجود احتمالية ل وجود تهديد ما بشكل متوسط، مع تأثير عالي في حال استغلال هذا التهديد، فإن مقياس الخطر يكون مرتفع، وبهذه الطريقة يمكننا قياس المخاطر.

الخلاصة، التهديدات الثغرات والمخاطر تلك المفردات متلازمة ولا يمكن فصلها أحدهما عن الاخر، فلا يمكننا قياس المخاطر ب وجود تهديد فقط بدون وجود نقطه ضعف والعكس كذلك.

كُتب في 16/02/2020