Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

на неизвестных. Небольшое разложение на составляющие покажет, что не все значения в этом огромном диапазоне одинаково вероятны. И, скорее всего, можно будет пойти к совету директоров, имея больше информации о потенциальных убытках, чем равномерное распределение от 0 до 500 млн долл. или более.

И не забывайте: все это делается, чтобы оценить альтернативы. Нужно уметь разбираться в стратегиях снижения рисков. Даже если предположить, что диапазон настолько широк и все варианты в нем одинаково вероятны, это все равно еще не означает, что такой же диапазон будет у каждой системы в списке. И очень полезно знать, у каких систем он будет. Вам известно, что у одних систем больше пользователей, а у других – меньше, что одни системы обрабатывают личную медицинскую информацию или данные индустрии платежных карт, а другие – нет, что к некоторым системам имеют доступ поставщики и т. д. Вся эта информация полезна для расстановки приоритетов в действиях, даже если вы никогда полностью не избавитесь от неопределенности.

Приведенный список лишь подсказывает еще несколько элементов, на которые можно разложить модель. До сих пор мы акцентировали внимание в большей степени на разложении воздействия, чем вероятности, поскольку воздействие многим кажется более конкретным понятием. Но таким же образом раскладывается и вероятность. Этому будут посвящены главы 8 и 9. А далее в этой главе мы еще обсудим, как выполнить оценку одного из самых сложных типов убытков – урона репутации.

Дополнительные рекомендации по разложению на составляющие: понятность, наблюдаемость, полезность

Оценивая последствия конкретного нарушения кибербезопасности в конкретной системе, специалист, возможно, думает: «Хм, произойдет отключение системы на несколько минут, а то и на час или больше. В системе 300 пользователей, и отключение затронет большинство из них. Они обрабатывают заказы и помогают службе поддержки клиентов. Значит, воздействие не ограничится тем, что придется заплатить людям зарплату за время простоя. Реальным убытком станет потеря продаж. Насколько помню, в час выручка составляет от 50 000 до 200 000 долл., но она может меняться в зависимости от сезона. Часть клиентов, которых не смогут обслужить, может быть, перезвонят позже, но некоторых мы потеряем навсегда. Плюс будут определенные затраты на экстренное устранение последствий. Итак, я оцениваю с 90 %-ным ДИ, что убытки за один инцидент составят от 1000 до 2 млн долл.».

Все мы, вероятно, понимаем, что, припоминая данные и производя подсчеты в уме, безупречных результатов не добиться (а представьте, насколько все усложнится, если в подсчетах придется учитывать различные формы распределения вероятностей). Поэтому не стоит удивляться, что исследователи, упомянутые в главе 4 (Армстронг и Мак-грегор), выяснили, что лучше разложить проблему на составляющие и выполнять расчеты явным образом. Если вы ловите себя на том, что считаете в уме, – остановитесь, проведите разложение на составляющие и (прямо как в школе) продемонстрируйте математические вычисления.

Понятно, что стратегии разложения на составляющие будут сильно отличаться в зависимости от желаемого уровня детализации и имеющейся информации об организации у разных аналитиков. Тем не менее существуют принципы разложения, которые применимы в любой ситуации. Наша задача – определить, как дальше разложить проблему таким образом, чтобы независимо от отрасли или особенностей компании разложение на составляющие действительно повышало эффективность оценки риска.

Это важный вопрос, поскольку не все стратегии разложения одинаково хороши. И хотя существуют исследования, показывающие, что неопределенные величины можно более эффективно оценить с помощью разложения на составляющие, есть также исследования, выявляющие условия, при которых разложение не помогает. Необходимо научиться различать эти случаи. Если от разложения нет пользы, то лучше обойтись без него и провести оценку на более общем уровне. Как отмечается в одной из научных статей, разложение на составляющие, выполненное «в ущерб концептуальной простоте, может привести к выводам более низкого качества, чем непосредственные самостоятельные суждения»2.

Анализ решений: краткое объяснение, как воспринимать проблему

Хорошей основой для осмысления стратегий разложения на составляющие служит опубликованная в 1966 году работа Рона Ховарда, которому обычно приписывают введение термина «анализ решений»3. Для практического решения проблем, связанных с неопределенностью, Ховард и его последователи применяли несколько абстрактные области теории принятия решений и теории вероятностей. Они также выяснили, что многие трудности, сопутствующие принятию решений, в реальности не являются чисто математическими. Согласно их наблюдениям, люди, принимающие решения, часто даже не способны надлежащим образом определить, в чем заключается проблема. По мнению Ховарда, необходимо «преобразовать смятение в ясность мыслей и действий»4.

Ховард описывает три обязательных условия для проведения математических расчетов в анализе решений: решение и факторы, которые определяются для его обоснования, должны быть понятными, наблюдаемыми и полезными.

• Понятность. Все понимают, что вы имеете в виду. Вы сами понимаете, что имеете в виду.

• Наблюдаемость. Что вы увидите, когда явление возникнет? Вовсе не обязательно, что вы раньше с ним сталкивались, но как минимум его возможно наблюдать, и вы узнаете его, когда увидите.

• Полезность. Явление должно иметь значение для принятия каких-либо решений. Что бы вы сделали по-другому, если бы знали о нем заранее? Многие явления, которые стремятся измерить в области безопасности, оказываются никак не связанными с принимаемыми решениями.

Значение этих условий часто недооценивают, но если начать систематически учитывать их все при каждом разложении на составляющие, возможно, будут выбираться несколько иные стратегии. Например, вы собираетесь разложить свои риски на составляющие таким образом, что придется оценивать уровень мастерства злоумышленника. Это один из «факторов угрозы» в стандарте OWASP, и нам встречались самостоятельно разработанные версии такого подхода. Предположим, вы, согласившись с аргументами, приведенными в предыдущих главах, решили отказаться от порядковых шкал, рекомендуемых OWASP и другими, и теперь ищете способ количественно разложить на составляющие уровень мастерства злоумышленника. Попробуем применить условия Ховарда к этому фактору.

Тест на понятность, наблюдаемость и полезность для фактора «уровень мастерства злоумышленника»

• Понятность. Можете ли вы объяснить, что подразумеваете под «уровнем мастерства»? Точно ли это однозначная единица измерения или хотя бы четко определенное дискретное состояние? Действительно ли как-то поможет фраза «мы определяем „средний“ уровень угрозы как работу специалиста,