Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Безусловно, такие убытки как минимум возможны в достаточно крупных организациях, и нам известны подобные случаи. Тогда если это «возможный диапазон», то почему бы не установить верхний предел в 1 млрд долл. или больше? Но очевидно, что шанс наступления у всех этих исходов разный. А распределение вероятностей как раз и передает вероятности различных исходов. Наверняка у аналитика имеется больше информации, чем обозначено, или он хотя бы может ее собрать.

Если этот широченный диапазон действительно является степенью неопределенности в отношении убытков и если вероятность всех исходов в этом диапазоне одинакова, то неужели, по мнению аналитика, его избавила бы от неопределенности, скажем, обычная матрица рисков? Конечно, не избавила бы. Она бы просто скрыла неопределенность (на самом деле, аналитик, вероятно, поместил бы этот риск в одну ячейку матрицы, хотя указанный диапазон должен охватывать большинство категорий воздействия или все их).

Другой интересный вопрос: если уровень неопределенности относительно потенциальных убытков действительно таков, то какие шаги предпринимает аналитик для хотя бы частичного уменьшения неопределенности? Естественно, любой риск с таким широким диапазоном неопределенности заслуживает дальнейшего изучения. Или же аналитик планирует просто продолжать скрывать эту серьезную неопределенность от совета директоров, используя неоднозначную терминологию риска? Вспомните из главы 2, что именно в подобных случаях крайней неопределенности ее уменьшения проще добиться и оно имеет большее значение. Нами уже описывались исследования, показывающие, как разложение такого широкого диапазона (путем продумывания оценок отдельных последствий и запуска симуляции для их суммирования), скорее всего, приведет к снижению неопределенности.

Те, кто согласен с утверждением, что вероятностные методы требуют точных данных, неправильно понимают ключевой аспект вероятностных методов. Количественные вероятностные методы используются именно из-за отсутствия идеальной информации. Если бы у нас была идеальная информация, нам бы вообще не понадобились вероятностные модели. Помните, все, что предлагается в этой книге, мы или наши коллеги не единожды применяли в разных условиях. Нам неоднократно доводилось представлять широкие диапазоны высшему руководству многих компаний, и, по нашему опыту, они ценят четко сформулированные заявления о неопределенности.

Подобным образом можно ответить и на возражения, что кибербезопасность слишком сложна для количественного моделирования или что количественные методы неприменимы в ситуациях, где задействованы люди. Как и в предыдущих случаях, мы должны спросить: а как именно матрицы рисков и шкалы риска нивелируют эти проблемы? Если они слишком сложны для количественного моделирования, то почему предполагается, что неколичественное решение справится с такой сложностью? Помните, что независимо от уровня сложности системы, даже вынося чисто субъективные суждения о ней, вы ее уже моделируете. Заблуждение Exsupero Ursus (т. е. это не идеальный метод, он не сработал однажды, поэтому его нельзя использовать) все еще существует лишь из-за того, что к альтернативам вероятностных методов не предъявляются те же требования.

Многие эксперты делают неверное предположение, что чем сложнее проблема, тем менее эффективны будут количественные методы по сравнению с экспертами-людьми. Тем не менее выводы Мила и Тетлока (рассмотренные в главе 4) свидетельствуют об обратном: по мере усложнения проблем эксперты справляются не лучше наивных статистических моделей. Таким образом, сложность моделируемого мира одинакова как для количественных, так и для неколичественных моделей. Однако, в отличие от матрицы рисков и порядковых шкал, компоненты даже упрощенного количественного метода выдерживают научную проверку.

Кристофер «Кип» Бон, актуарий страхового брокера Aon, сталкивался с теми же возражениями и придерживается той же точки зрения относительно них, что и мы. У Бона большой опыт в проведении анализа рисков во многих областях, и при этом он является одним из растущего числа актуариев, занимающихся страхованием рисков кибербезопасности с использованием количественных инструментов анализа. Вот что он сказал в интервью:

В каждой проводимой мной презентации по аналитике есть слайд, описывающий, как реагировать на людей, которые говорят, что это нельзя смоделировать. Разумеется, принимая решение, они уже, по сути, выстраивают модель в голове. Я отвечаю им: «Нам просто нужна модель из вашей головы».

Хорошо сказано, Кип. Сложность, нехватка данных, непредсказуемый человеческий фактор и быстро меняющиеся технологии часто используются как оправдания, чтобы избегать применения количественных методов. Ирония в том, что фактически принимается решение как-то справиться с этими проблемами с помощью профессионального чутья, не документируя ничего и не вычисляя. Если задача чрезвычайно сложна, то именно ее и не следует пытаться решать в уме. Аэродинамическое моделирование и мониторинг электростанций столь же сложны, но именно поэтому инженеры не проводят анализ в уме. В кибербезопасности придется иметь дело со множеством взаимодействующих систем, средств контроля и многочисленными видами убытков. У одних систем одни виды убытков, у других – другие, а вероятность наступления разных событий также различна. И все это надо будет свести в совокупный портфель, чтобы определить общий риск. Вычисления не очень сложные (тем более что нами предоставлены электронные таблицы практически для каждого разбираемого расчета), но все же не нужно производить их в уме.

Поэтому всякий раз, услышав подобное возражение, просто спрашивайте: «А как ваш нынешний метод (матрица рисков, порядковые шкалы, профессиональное чутье и т. д.) нивелирует этот недостаток?» Более мягкие методы создают видимость решения проблемы лишь благодаря тому, что не заставляют вас иметь с ней дело. Какой бы ни была степень вашей неуверенности – даже если она колеблется в диапазоне воздействия от 0 до 500 млн долл., как в примере выше, – вы все равно можете конкретно очертить эту неопределенность и соответствующим образом расставить приоритеты в средствах контроля безопасности.

Последнее возражение, которое мы упомянем в связи с заблуждением Exsupero Ursus, таково: существует множество примеров неудачного применения количественных методов, и, следовательно, лучше воздержаться от их использования. Смысл в том, что такие события, как финансовый кризис 2008 года, взрыв на буровой платформе Deepwater Horizon в 2010 году и последовавший за ним разлив нефти в Мексиканском заливе, катастрофа на японской атомной электростанции «Фукусима» в 2011 году и прочие инциденты, свидетельствуют о несостоятельности количественных методов. У этого возражения несколько слабых мест, и они разобраны Хаббардом в книге The Failure of Risk Management: Why It’s Broken and How to Fix It, здесь мы приведем