Когда речь идёт о безопасности информации, важно правильно различать базовые термины: уязвимость, угроза и риск. Эти понятия тесно связаны между собой, но не являются синонимами. Их чёткое понимание необходимо для построения систем защиты, управления безопасностью и принятия решений на уровне как технических специалистов, так и руководства компании.

Уязвимость

Уязвимость — это слабое место в системе, которое может быть использовано злоумышленником или неблагоприятным событием для нанесения ущерба. Она может возникать из-за ошибок в программном коде, неправильно настроенных систем, недостатков в архитектуре или человеческого фактора.

Примеры уязвимостей:

• неверные права доступа к файлам или базам данных, когда сотрудник получает больше полномочий, чем ему необходимо;

• отсутствие обновлений в операционной системе или приложении, что позволяет использовать известные эксплойты;

• слабые пароли, которые легко подобрать методом перебора;

• использование небезопасных протоколов, например передачи данных без шифрования.

Уязвимость сама по себе не всегда означает ущерб, но она создаёт возможность для реализации угрозы.

Угроза

Угроза — это потенциальное событие или действие, которое может использовать уязвимость и привести к ущербу. Угрозы могут исходить как от злоумышленников, так и от случайных факторов, включая ошибки пользователей, технические сбои или стихийные бедствия.

Примеры угроз:

• злоумышленник пытается взломать веб-приложение через SQL-инъекцию;

• сотрудник по ошибке отправляет конфиденциальный файл на неверный адрес электронной почты;

• пожар в дата-центре приводит к повреждению серверов;

• вирус-шифровальщик заражает корпоративные рабочие станции.

Таким образом, угроза — это источник возможного инцидента, который может воспользоваться слабостью системы или внешними обстоятельствами.

Риск

Риск — это вероятность того, что угроза реализуется через уязвимость и приведёт к негативным последствиям. По сути, риск отражает комбинацию вероятности события и тяжести его последствий для компании.

Например:

• наличие уязвимости в веб-приложении — это проблема, но реальный риск зависит от того, насколько вероятно, что её найдут злоумышленники, и какой ущерб может быть нанесён при атаке;

• слабый пароль у сотрудника технически является уязвимостью, но если этот сотрудник имеет доступ к критически важным системам, риск для организации значительно выше, чем в случае доступа только к некритичной информации;

• отсутствие резервного копирования несёт риск полной потери данных в случае сбоя или атаки.

Управление рисками предполагает выявление уязвимостей, оценку угроз и определение приоритетов защиты, чтобы минимизировать вероятность инцидентов или снизить их последствия.