Оценка риск-менеджмента организации удаленного доступа

ВВЕДЕНИЕ

В условиях перехода на новый технологический уклад происходит трансформация традиционных форм управления, в ходе которой активное распространение получили цифровые технологии [1]. К таким технологиям относится в том числе и применение на удаленного доступа к производственным системам путем формирования Центров удаленного управления производственными системами.

Удаленное управление производственными системами на базе комплексной цифровизации представляет собой инновационный процесс, позволяющий осуществлять как организационную трансформацию как самих организаций и их структурных подразделений, так и трансформацию операционной модели управления такими организациями в целом [2]. Удаленное управление на базе цифровых технологий предполагает централизацию основных функций с частичным делегированием их на другие уровни управления. Часть процессов подлежит полной автоматизации [3].

Все эти процессы реализуются под воздействием множества факторов внешней и внутренней среды, которые не всегда носят позитивный характер. В связи с неопределенностью и негативными воздействиями на организацию, происходящими в результате таких изменений, менеджменту необходимо разрабатывать и реализовывать целый комплекс управленческих решений, которые можно отнести к риск-менеджменту. Риск - присущ всем аспектам деятельности организации, независимо от отрасли или сектора, в результате чего риск-менеджмент стал неотъемлемой частью управления современными организациями, в особенности на тех этапах их развития, которые связаны со сложными структурными преобразованиями или переходом на новые технологии управления. При этом риск-менеджмент представляет собой стандартную практику анализа, оценки и обработки рисков для минимизации их негативных последствий от неблагоприятных финансовых, операционных, экологических, политических, организационных или других подобных событий.

Среди большого количества ученых активно обсуждаются вопросы риск-менеджмента при переходе на цифровые технологии управления, среди которых особо внимания заслуживают труды: Безденежных В.М. [4], Умновой М.Г. [5], Капустиной Н.В. [6], Качалова Р.М. [7], Кузнецова Ю.В. [8], Корнеева Д.В. [9], Кравченко О.Ю. [10], Лемеш О.П. [11], Скобелевой И.П. [12], Фоменко Н.М. [13], Халикова М.А. [14], Хачатуряна А.А. [15] и др.

Рамках данного исследования под риском будет пониматься следствие влияния на неопределенности на достижение поставленных целей [16], а под риск-менеджментом - это процесс принятия и реализации управленческих решений, которые направлены на снижение вероятности возможных потерь и неблагоприятного результата деятельности [17].

Целью исследования являлось методическое обоснование оценки рисков при реализации удаленного управления процессами разработки и добычи нефти и газа на базе цифровых технологий управления в форме создание центров удаленного централизованного управления производственными процессами (ЦУЦПП).

Методически работа основана на фундаментальных и прикладных трудах ученых, теории организации и управления рисками.

Новизна исследования заключается в решении научной проблемы – оценки риск-менеджмента организации удаленного доступа к производственным системам нефтегазодобывающих организаций.

Основная часть. Управление рисками подразумевает в себе процесс, посредством которого организации выявляют возможные риски, оценивают эти риски с точки зрения их терпимости, вероятности возникновения рисковых ситуаций и на основе полученной информации принимают управленческие решения с целью недопущения рисковых ситуаций и снижения потерь на основе их допустимости [18]. Базовые положения оценки рисков закреплены в Методических рекомендациях по оценке эффективности инвестиционных проектов и их отбору для финансирования, в ГОСТ 2.103-68 и ГОСТ Р 15.201-2000, в которых выделены статистические, экспертные методы, и методы моделирования рисков.

Операционная деятельность нефтегазодобывающей организации на основе удаленного доступа производственными системами, как и любого проекта имеет определенную долю риска, который в свою очередь может повлечь провал самого проекта. Поэтому, при анализе процессов трансформации в условиях перехода на цифровые технологии и удаленный доступ следует учесть, как можно большее количестве видов и факторов риска с целью минимизации общего риска проекта. Для принятия правильного управленческого решения необходимо оценить насколько ожидаемый доход компенсирует предполагаемый риск. Однако, сложность данного процесса состоит в сложной формализации процесса. Тем не менее анализ риска имеет особую важность для предотвращения возможных потерь и убытков.

Оценка риск-менеджмента деятельности нефтегазодобывающих организаций в условиях перехода на цифровые технологии управления предполагает применение определенной методики оценки рисков, которая аккумулирует в себе идентификацию, качественный и количественный их анализ.

Оценка рисками в общем плане представляется собой реализацию трех основных этапов (рисунок 1).

Рисунок 1. Основные этапы управления рисками [1]

Этап 1, анализ рисков, традиционно использует методологию, которая отвечает на три вопроса:

− Что может пойти не так?

− Какова вероятность того, что все пойдет не так?

− Каковы будут последствия, если что-то пойдет не так?

На этапе 2 организация оценивает свою подверженность риску в соответствии со своей толерантностью к риску, чтобы определить значимость риска события или событий. Несмотря на то, что оценка риска включает определение приоритетов рисков на основе вероятности и последствий, важно отметить, что риск является не просто результатом вероятности и последствий, а скорее функцией вероятности и последствий. Например, событие с низкой вероятностью и высокой последовательностью, приводящее к смертельным исходам, будет иметь для организации совершенно иную значимость риска, чем событие с высокой вероятностью и низкими последствиями, несмотря на то, что потенциально может иметь тот же результат при умножении оценок последствий на вероятность.

Этап 3 процесса управления рисками включает определение реакции на реализовавшийся риск. После выявления и оценки рисков у организации обычно есть четыре варианта реагирования на риск: принятие риска, предотвращение или устранение риска, передача риска или смягчение риска. Снижение рисков предполагает снижение вероятности и/или серьезности последствий путем внедрения изменений или средств контроля в организации или процессе. Организация учитывает множество факторов при определении методов управления рисками, таких как устойчивость к риску, нормативные требования и затраты.

Анализ рисков реализации проектов можно разделить на качественный, описывающий все предполагаемые риски проекта, а также стоимость их последствий и мер по снижению и количественный, содержит непосредственные расчеты изменений эффективности проекта в связи с рисками [18]. Однако, в настоящее время отсутствует какая-либо общая методология и интеграция качественных и количественных подходов к оценке рисков не представляется в форме какого-то стандартного решения. При определении риска необходимо определиться с целью и сформулировать основные требования. Данный этап характеризуется неполнотой и неточностью информации и подвержен изменениям в архитектуре объединения предприятий-партнеров.

Ввиду специфики объекта исследования – внутренних процессов и закономерностей развития производственной системы нефтегазодобывающей организации и их функционирование в условиях перехода на цифровые технологии управления, наиболее значимым и существенным является кибер-риск. Кибер-риск – это категория бизнес-рисков, связанная, в частности, с использованием, владением, эксплуатацией, участием, воздействием и внедрением информационных технологий управления в организации. Данный вид рисков включает события, вероятность возникновения которых и их размер являются неопределенными, которые могут негативно повлиять на деятельность компании и ее способность достигать стратегических целей. Этот риск не рассматривается как отдельный вид риска или как подтип операционного риска (рисунок 2). Кибер-риск можно определить, если какие-либо действия, задачи или функции реализуются в киберпространстве, независимо от их отнесения к классическим категориям риска.

Рисунок 2. Кибер-риск в иерархии рисков

Первоначально кибер-риск был связан с угрозами, возникающими в результате использования интернет-пространства. Позже, наряду с распространением идеи киберпространства, кибер-риск был отнесен к видам рисков, которые возникают в результате угроз, возникающих в киберпространстве. Также термин «кибер-риск» сопоставляют с некоторыми недостатками цифровых активов, которые могут быть подвержены угрозам, исходящим из киберпространства.

Отвечая на вопрос «что может пойти не так?» при анализе кибер-рисков, обычно определяется цифровое устройство, система и/или функция, уязвимости, связанные с этими устройствами или системами, и возможные угрозы для них, чтобы создать сценарии или наборы сценариев, которые приводят к неблагоприятным последствиям.

Поскольку полный набор угроз и уязвимостей часто неизвестен и постоянно меняется, набор сценариев или возможных нежелательных событий трудно определить полностью, что тем самым затрудняет процесс принятия управленческих решений. Факторы, влияющие на оценку преднамеренных угроз нападения на информационные системы нефтегазодобывающих организаций, включают знания противников, мотивацию, намерения, характеристики и возможности, тактику, методы и процедуры.

Определение вероятности возникновения кибер-риска или кибер-угроз также затруднительно, поскольку не только невозможно определить вероятность, если полный набор сценариев неизвестен, но также трудно точно смоделировать вероятность преднамеренных атак интеллектуальных и адаптивных противников. Действительно, иногда пренебрегают вероятностью и определяют условный риск на основе происходящего сценария. Альтернативные подходы могут учитывать вероятность возникновения атаки, вероятность успешного завершения атаки и/или вероятность возникновения неблагоприятного воздействия.

Факторы, влияющие на вероятности, часто являются функцией угроз, уязвимостей и любых возможных мер по смягчению последствий. Например, противник может попытаться атаковать систему управления из Интернета – эта атака может иметь высокую вероятность возникновения, основанную на его доступности, но низкую вероятность успеха ввиду применения средств управления безопасностью, используемых для реализации безопасной архитектуры, таких как разделение сети, антивирусы. Вероятность совершения атаки также зависит от стимулов противника, которые для каждого из них различны и зависят от мотивов, намерений и навыков противника.

Как показано на рисунке 3, последствия кибер-инцидента обычно определяются в терминах триады C–I-A (конфиденциальность – целостность – доступность). Потеря конфиденциальности, обычно считающаяся наименее важным последствием в промышленных системах управления, может привести к потере конфиденциальной информации, которая может быть использована для планирования будущих, более разрушительных атак. Кроме того, потеря данных о компании или объекте может нанести финансовый ущерб или иной ущерб организации.

Рисунок 3 – Цели кибербезопасности производственных систем управления нефтегазодобывающих организаций [2]

Потеря целостности и доступности может привести к последствиям, связанным с безопасностью (например, саботаж, гибель людей, травмы), финансовым (например, потеря генерации, повреждение оборудования) или связанным с репутацией последствиям. Потеря целостности включает изменение данных, логики или команд; это может повлиять на достоверность системы, что приведет к неблагоприятной работе системы. Потеря доступности (например, атака на отказ в обслуживании) может повлиять на поток данных и связи в системе, что также может привести к неблагоприятной работе системы.

Поскольку исторические данные ограничены, а определение вероятности и воздействия часто субъективно и основано на мнении экспертов, кибер-риск является более сложным, чем простое решение уравнения. Анализ кибер-рисков еще более усложняется тем фактом, что угрозы и уязвимости постоянно меняются по мере того, как противники становятся умнее, меняются векторы угроз и развиваются технологии. Поэтому не только трудно определить текущее состояние риска, но и практически невозможно предсказать будущее состояние. Как отметили Твенебоа-Кодуа и Бьюкенен, оценки рисков безопасности являются «скорее искусством, чем наукой» [19]. Опплигер также отмечает, что «мы должны признать, что зашли в тупик и что наша хорошая математическая формула для количественной оценки рисков вряд ли работает на практике и поэтому бесполезна» [20].

Аналогичная проблема с вероятностной неопределенностью существует и при оценке физической безопасности. Чтобы преодолеть это препятствие, методология управления безопасностью предприятия с учетом рисков (RIMES) использует степень сложности атаки, а не вероятность атаки для анализа рисков физической безопасности объектов.

Заключение. Учитывая сложность оценки кибер-рисков, необходимо использовать инструменты анализа рисков, которые обеспечивают целостный, дифференцированный подход к выявлению кибер-рисков, выходящий за рамки традиционного внимания к безопасности и включающий другие проблемы, такие как финансовые или операционные последствия. Возможность предоставить относительную оценку риска, которую нефтегазодобывающие организации могут использовать для определения приоритетов решений по обработке рисков, для включения как нормативных, так и бизнес-воздействий в один анализ, поможет внедрить разумные и эффективные методы снижения кибер-рисков.

[1] Составлено автором на основе [19]

[2] Источник: составлено автором.