Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Во-первых, во всех случаях предполагается, что применялись настоящие количественные методы, а не профессиональное чутье, которое каким-то образом позволило бы предотвратить катастрофу. Для подобных утверждений нет никаких оснований, более того, имеются доказательства обратного. Например, смесь жадности и желания получить премию порождали некую систему, что сначала создавала, а затем скрывала риски инвестиций. В некоторых случаях (вроде кризиса в компании AIG), по сути, именно отсутствие актуарно обоснованного анализа со стороны регулирующих органов и аудиторов позволило таким системам разрастись.

Во-вторых, в качестве аргумента приводятся лишь избранные истории. Сколько можно привести примеров неудач, связанных с методами, построенными исключительно на интуиции, или мягкими методами? Даже если бы все указанные случаи являлись справедливыми примерами фактического провала количественных методов (авторы признают, что таких немало), мы все равно вернулись бы к тому, как избежать основного обсуждаемого здесь заблуждения, а именно необходимости сопоставить частоту неудач количественных и неколичественных методов. Дело в том, что провалов, когда при принятии решений использовались неколичественные методы, тоже много. В самом деле, насколько эффективны суждения и профессиональное чутье были в условиях финансового кризиса, при проектировании АЭС «Фукусима» или управлении буровой платформой Deepwater Horizon?

В качестве примера можно привести масштабную утечку данных в розничной сети Target в 2013 году. Этот инцидент хорошо известен в сообществе кибербезопасности, но, возможно, методы, неудачно примененные компанией Target для оценки рисков, не столь известны. Хаббард и Сирсен взяли интервью у человека, работавшего в компании Target примерно за год до события. Согласно источнику, компания была максимально далека от применения количественных методов для решения проблемы киберрисков. Несмотря на попытки внедрения количественных методов, несколько человек упорно пользовались методом, основанным на вербальной оценке рисков с распределением по категориям «высокий, средний, низкий». Это были руководители, считавшие, что количественные методы слишком сложные и требуют слишком много времени. Они даже потрудились составить список причин, почему не стоит применять количественные методы. Среди известных нам пунктов списка были те самые возражения, что опровергаются выше (по нашей информации, после утечки данных в руководстве отдела кибербезопасности произошли значительные изменения).

В конце концов, компания признала утечку данных о кредитных картах 70 млн человек. Суммарные компромиссные выплаты компаниям Mastercard и Visa превысили 100 млн долл.14 Если бы мы считали такие истории достаточным основанием для сравнения методов, то, конечно, могли бы потратить время и найти еще примеры. Раз уж на то пошло, применяли ли компании Anthem, Sony, Home Depot, федеральное правительство США и прочие организации, подвергшиеся крупным кибератакам, вероятностные методы вместо шкал и матриц рисков? Вряд ли.

Отдельные примеры, безусловно, не могут служить подтверждением в споре, какой метод лучше. Единственный способ не впасть в заблуждение Exsupero Ursus – рассматривать большие совокупности, выбранные непредвзято, и систематически сравнивать неудачи обоих методов, как мы делали выше.

Даже если в одном методе есть ошибки, его следует предпочесть тому, в котором ошибок еще больше. Результаты описанных нами исследований (см. примечания к этой главе и главу 4) подтверждают эффективность количественных методов по сравнению с профессиональным чутьем и экспертами, использующими шкалы или матрицы рисков. С другой стороны, в единственном доступном исследовании матриц риска утверждается, что матрицы бесполезны и даже могут навредить.

Наконец, есть возражения, которые не являются заблуждениями Exsupero Ursus и не основаны на ошибочных представлениях о количественных методах вроде убежденности, что необходимы исключительно точные данные. Эти возражения сводятся к подчеркиванию достоинств неколичественных методов. Например, что они лучше, так как их легче объяснить, следовательно, с ними проще согласиться и принять их в работу. В ходе нашего опроса 31 % респондентов согласились с утверждением «порядковые шкалы, используемые в большинстве оценок информационного риска, лучше количественных методов, поскольку их легко понять и объяснить». Также большинство (64 %) согласились с тем, что «широко используемые порядковые шкалы помогают выработать консенсус для определения дальнейших действий».

Однако, как видно из исследования Будеску, кажущаяся понятность и простота объяснения, возможно, вызваны лишь сокрытием важных данных за неоднозначной терминологией. Мы согласны, что «иллюзия коммуникации» Будеску может заставить одного человека думать, что он что-то объяснил, а другого, что он понял объяснение, и всех их – что в итоге они пришли к единому мнению. Авторам многократно приходилось в самых разных компаниях объяснять различные количественные методы руководителям высшего звена, в том числе в ситуациях, когда нам говорили, что руководители ничего не поймут. На самом же деле ситуации, когда люди не понимали, возникали гораздо реже, чем нас пытались убедить. Похоже, чаще одна группа предупреждает нас о том, что другая группа не поймет количественную информацию (редко кто признается, что сам ее не понимает).

Если аналитик в сфере кибербезопасности говорит, что кто-то другой не поймет информацию, вполне вероятно, что он просто сам не разобрался в вопросе. Нам то и дело пытаются внушить, что руководство не поймет «теоретические» методы (хотя каждый упомянутый здесь метод применялся для решения практических задач и обсуждался с высшим руководством). Поэтому у нас сложилось впечатление, что, называя вероятностные методы теоретическими, человек на самом деле хочет сказать: «Я этого не понимаю» А возможно, и: «Я чувствую угрозу». Надеемся, наш пример простой модели замены «один на один» из главы 3 сможет помочь решить эту проблему. Мы максимально упростили подход, но при этом применяли методы, демонстрирующие измеримое улучшение и приносящие действенные результаты.

Хотя большинство участников опроса полагали, что порядковые шкалы помогают прийти к консенсусу, на наш взгляд, если взаимодействие является иллюзией, как показано у Будеску, то и консенсус тоже иллюзия. Видимость консенсуса может быть убедительной, но, как уже говорилось в главе 1, важно, чтобы метод оценки риска действительно работал, а его эффективность была измеримой. Возможно, руководители компании Target полагали, что их методы «работают», ведь они считали, что сообщают о риске, а когда пришли к консенсусу, думали, что все стороны понимают, с чем соглашаются. Если сама оценка риска основана на неэффективных методах, то, вероятно, стоит предпочесть небольшие разногласия иллюзорному консенсусу.

Заключение

Следует рассматривать препятствия на пути использования более эффективных количественных методов как обычные недоразумения,