Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

время в области оценки рисков кибербезопасности: порядковых шкал на матрице рисков. Выявив сложности и возражения, связанные с ними, мы надеемся перейти к реализации математически обоснованной оценки риска в области, которая очень в этом нуждается.

Какого цвета ваш риск? Общепринятая – и рискованная – матрица рисков

Любой эксперт по кибербезопасности узнает и, скорее всего, одобрит обычную матрицу рисков, основанную на порядковых шкалах. По нашему опыту, большинство руководителей готовы превозносить матрицу рисков, относя ее к «лучшим практикам». Как уже упоминалось в главе 1, ее шкалы представляют вероятность и воздействие, но не в вероятностном или денежном выражении, а в виде порядковых шкал с обозначениями «низкий», «средний», «высокий» или числовой градацией, скажем, от 1 до 5. Например, вероятность и воздействие могут быть обозначены цифрами 3 и 4 соответственно, а возникающий в результате риск отнесен в категорию «средний». Затем на основе шкал обычно строится двумерная матрица, а ее области далее разделяются на категории от «низкого» до «высокого» риска, или им присваиваются цвета (зеленый – низкая степень риска, а красный – высокая). Иногда порядковые шкалы используются без матрицы рисков, как в случае с методологией оценки рисков от OWASP1, где несколько порядковых шкал объединяются в общий балл риска (примечание: у OWASP, как и у многих других, есть отличные рекомендации по контролю, но перечень средств контроля и методология управления рисками – не одно и то же). Шкалы применяются к показателям, которые могут указывать на риск (например, «легкость обнаружения» или «регулирующее воздействие»), а затем полученные оценки распределяются по категориям риска «высокий, средний, низкий» так же, как в матрице рисков.

Как уже упоминалось в главе 2, порядковые шкалы сами по себе не противоречат теории измерений или статистике. У них действительно есть обоснованная сфера применения. Но являются ли они заменой шкал отношений вероятности и воздействия? То есть могут ли они быть неким неясным заменителем вероятностей, которые уже используют в страховании, науке о принятии решений, статистике и многих других областях? И не должна ли показаться такая замена количественных показателей на порядковые шкалы типа «высокий» или «средний» столь же странной, как утверждение инженера, что масса детали самолета является «средней», или бухгалтера, составляющего отчет, что доход был «высоким» или «4» по пятибалльной шкале?

Это важные вопросы, поскольку матрицы рисков, использующие порядковые шкалы для представления вероятности и воздействия, – обычное явление в кибербезопасности. В ходе нашего исследования выяснилось, что для оценки рисков и информирования о них 61 % организаций в той или иной форме используют матрицы рисков, а 79 % – порядковые шкалы. Хотя бы частичное применение статистических методов, многочисленные доказательства эффективности которых приведены в главе 4, встречается гораздо реже. Например, только 13 % респондентов утверждают, что применяют симуляцию по методу Монте-Карло, а 14 % отметили, что так или иначе используют байесовские методы (хотя оба эти ответа на самом деле встречались гораздо чаще, чем ожидали авторы).

Порядковые шкалы в каком-либо виде продвигаются практически всеми организациями по стандартизации, консалтинговыми группами и поставщиками технологий безопасности, работающими в сфере кибербезопасности. Десятки, если не сотни, фирм помогают компаниям внедрять методы или программные средства с использованием балльных оценок и матриц рисков. Стандарт 31010 Международной организации по стандартизации (ISO) гласит, что метод карты рисков (в табл. А.1 стандарта «Матрица последствий и вероятностей») «строго необходим» для идентификации риска2.

Очевидно, что эти методы глубоко вплетены в экосистему кибербезопасности. Однако, как бы широко ни использовались шкалы в кибербезопасности, нет ни одного исследования, указывающего на то, что применение подобных методов действительно помогает снизить риск. Не существует даже исследования, которое бы показало, что суждения отдельных экспертов хоть в чем-то эффективнее профессионального чутья. Безусловно, есть много сторонников таких методов. Но как бы убедительно они ни звучали, к их мнению стоит относиться с осторожностью из-за возможности эффекта аналитического плацебо, исследования которого приведены в главе 4.

С другой стороны, ряд исследований показывает, что типы шкал, используемых в матрицах риска, могут снизить точность суждений эксперта из-за добавления источников ошибок, которых не было бы, давай он оценку только с помощью профессионального чутья. Мы бы даже сравнили эти методы с добавлением в огонь ракетного топлива. В борьбе с угрозами, которые трудно обнаружить, и так достаточно неопределенности, зачем ее увеличивать, абстрагируясь от данных с помощью сомнительных шкал?

В книге The Failure of Risk Management Хаббард посвящает целую главу обзору исследований проблемы балльной оценки. В последующих изданиях его книги «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе» источники информации на тему дополнялись по мере накопления результатов новых исследований, выявлявших трудности в использовании шкал. Чтобы прояснить данный вопрос, прибегнем к тому же методу, что и в главе 4, т. е. рассмотрим исследования, касающиеся трех ключевых аспектов.

• Психология шкал. Психологические исследования, посвященные использованию вербальных шкал, подразумевающих градацию от «маловероятно» до «как правило», для оценки вероятности события и изучению влияния специфики вербальных или числовых порядковых шкал (например, от 1 до 5) на совершаемый выбор.

• Математика и матрицы рисков. Математические проблемы, связанные с попытками провести вычисления с порядковыми шкалами или представить их на матрице рисков.

• Совокупность этих проблем. Каждая из двух вышеперечисленных проблем достаточно серьезна сама по себе, но стоит привести и результаты исследований, показывающих, что происходит, если рассматривать их в совокупности.

Психология шкал и иллюзия общения

Порядковые шкалы широко применяются в силу простоты, а вот психология их использования на самом деле не так проста. Эксперта, применяющего шкалы, следует рассматривать как инструмент. Инструмент может демонстрировать неожиданное поведение, и необходимо изучить условия, что его вызывают. Как и при анализе компонентов ранее, мы будем обращаться к исследованиям в других областях, когда исследований в области кибербезопасности окажется недостаточно.

Одним из исследуемых компонентов шкал риска является смысл слов, употребляемых для описания вероятности. Исследователями, среди которых психолог Дэвид Будеску, были опубликованы данные о том, насколько по-разному люди интерпретируют понятия вроде «маловероятно» или «крайне вероятно», предназначенные для передачи вероятности. Очевидно, что такая неоднозначность допускает ряд различных трактовок, но Будеску задался вопросом,