Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

симуляции по методу Монте-Карло, связанное с конкретной причиной. Если применить средства контроля для снижения рисков, а затем смоделировать новый набор убытков, среднее значение этих убытков станет меньше (за счет уменьшения вероятности любого из убытков, или уменьшения воздействия от наступления события, влекущего за собой убытки, или и того и другого). Разница убытков до и после применения средств контроля – это и есть параметр «снижение ожидаемых убытков» в формуле выше. Если снижение ожидаемых убытков равно затратам, то, согласно формуле, рентабельность средств контроля составит 0 %. Это верно и для других форм инвестиций.

Также необходимо будет определить, в течение какого периода времени ожидается снижение убытков. Если средства контроля – это текущие расходы, которые можно начать и прекратить в любое время, то приведенная выше формула будет применяться к годовой выгоде (снижению убытков) и годовым затратам. Если же средства контроля – разовая инвестиция, выгода от которой может проявляться в течение длительного периода времени, то следует придерживаться финансовых правил компании, касающихся капиталовложений. Вероятно, при этом надо будет рассчитать выгоду как текущую стоимость потока инвестиций при заданной ставке дисконтирования. Или потребуется подготовить внутреннюю норму рентабельности. Мы не будем уделять этому внимание, но существуют несложные финансовые расчеты, которые, опять же, можно выполнить с помощью одних лишь простых функций в редакторе Excel.

Необходимо соблюдать осторожность, если планируется раскладывать простой диапазон воздействия на множество переменных, используемых для его расчета. В показанном ранее примере вычисление ожидаемых потерь требует очень простых подсчетов: достаточно умножить рассчитанное среднее значение распределения воздействия на вероятность наступления события (электронная таблица, представленная на сайте, сделает это за вас). Однако если разложить воздействие на множество компонентов, которые необходимо перемножить (например, количество взломанных учетных записей умножить на стоимость одной записи, продолжительность отключения умножить на количество пострадавших людей и умножить на стоимость одного человека в час и т. д.), то работа со средними значениями уже не даст разумную оценку. Фактически придется запускать отдельную симуляцию для каждой строки. Но в нашей простейшей модели пока можно об этом не задумываться. По мере совершенствования модели мы сможем вносить в нее больше деталей. В последующих главах будут описаны способы развития модели через добавление элементов, постепенно повышающих ее реалистичность.

Куда двигаться дальше

Существует множество моделей, которые аналитики в сфере кибербезопасности могли бы использовать для определения текущего состояния неопределенности. Можно просто оценить вероятность и воздействие напрямую, без дальнейшего разложения. Можно разработать метод моделирования, определяющий, как изменяются вероятность и воздействие в зависимости от типов угроз, возможностей угроз, уязвимостей или характеристик систем. Можно перечислить приложения и оценить риск для каждого из них либо перечислить средства контроля и оценить риски, на предотвращение которых направлено каждое средство.

В конечном счете нам неважно, какая стратегия моделирования будет выбрана вами, а вот что требует обсуждения, так это вопрос, как следует оценивать различные стратегии. Если появится достаточно информации, чтобы все компании могли обоснованно принять единый, унифицированный метод моделирования, тогда так и нужно будет поступить. До тех пор следует позволить компаниям использовать различные подходы к моделированию, тщательно оценивая при этом относительную эффективность выбранных методов.

Начать можно с применения каких-либо существующих готовых решений для разложения рисков. Помимо методов, продвигаемых Хаббардом, эти решения включают в себя методологию и инструменты, используемые в подходе FAIR (factor analysis of information risk – факторный анализ информационных рисков), разработанном Джеком Джонсом и Джеком Фройндом2. По мнению авторов, FAIR как еще одно решение, основанное на методе Монте-Карло, но предлагающее собственный вариант разложения рисков на дальнейшие компоненты, вполне подходит для того, чтобы помочь компании сделать первый шаг в верном направлении. Также можно добиться довольно многого с помощью простых инструментов, с которыми мы уже вас познакомили (и еще познакомим в следующих главах). Читатели, обладающие хотя бы базовыми знаниями в области программирования, математики или финансов, запросто смогут привнести что-то свое. Таким образом, большинство читателей смогут развить описанные инструменты, как посчитают нужным. А те, кто заинтересуется, смогут найти на нашем сайте дополнительные инструменты для отдельных разбираемых вопросов, например для использования языков программирования R и Python. Однако поскольку все, что мы делаем в этой книге, можно полностью выполнить в Excel, применять дополнительные инструменты не обязательно.

Пока что разобранный в этой главе метод все еще является лишь очень простым решением, основанным на экспертном суждении. Про обновление нашей первоначальной модели данными с использованием статистических методов мы расскажем далее. Тем не менее даже на этом этапе видны преимущества предлагаемого метода по сравнению с матрицей рисков. Он позволяет фиксировать более подробную информацию о знаниях эксперта по кибербезопасности и дает доступ к более мощным аналитическим инструментам. При желании даже сейчас можно было бы сделать что угодно из перечисленного ниже (или все).

• Как уже упоминалось, можно разложить воздействие на отдельные оценки различных видов затрат: юридические, устранение последствий, перебои в работе системы, затраты на пиар и т. д. Каждый вид может являться функцией известных ограничений, таких как количество сотрудников, или бизнес-процесс, на который повлияло отключение системы, или количество учетных записей в системе, которые могут быть скомпрометированы в случае взлома. Это позволит эффективно использовать знания компании о подробностях работы ее систем.

• Можно установить взаимосвязь между событиями. Например, специалист по кибербезопасности может знать, что если произойдет событие X, то событие Y станет гораздо более вероятным. Опять же, это позволит применить знания, которые в менее количественном методе невозможно было бы использовать напрямую.

• Там, где это возможно, о некоторых вероятностях и воздействиях можно сделать вывод по известным данным с использованием надлежащих статистических методов. Мы знаем, как скорректировать состояние неопределенности, описанное в этом методе, с помощью новых данных и математически обоснованных методов.

• Эти результаты можно надлежащим образом «суммировать», чтобы определить совокупные риски для целых комплексов систем, структурных подразделений или компаний.

Подробнее о каждом из перечисленных усовершенствований будет рассказано далее, а здесь лишь продемонстрировано, как выглядит простая замена «один на один». Теперь можно перейти к альтернативным методам оценки риска. Как выбрать самый подходящий из всех методов, с которых можно было бы начать в