Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

из менеджеров подобные риски показались нереалистичными, ведь ни одно из этих значимых событий не случалось ни разу за последние пять лет. Все бы встало на свои места, если бы эксперты предположили, что стоит ожидать резкого увеличения частоты событий (оценка проводилась более двух лет назад, и мы можем уверенно сказать, что роста не произошло). Но вместо этого оценщики решили иначе взглянуть на вероятности, чтобы они не так сильно расходились с наблюдаемой реальностью.Резюмируя правила разложения на составляющие

Суть разобранных примеров можно свести к двум фундаментальным правилам разложения на составляющие.

• Правило разложения № 1. Для разложения следует использовать факторы, которые лучше поддаются оценке, или данные, которые можно получить (т. е. не выделять величины еще более умозрительные, чем исходные).

• Правило разложения № 2. Результат разложения стоит сравнивать с прямой оценкой, выполняя симуляцию, как только что было показано в примере с отключением. Возможно, это приведет к отказу от разложения, если полученные результаты покажутся абсурдными, или же к решению скорректировать первоначальный диапазон.

На практике, чтобы применяемая стратегия разложения на составляющие оставалась информативной, нужно помнить еще несколько моментов. Разложение имеет определенные математические последствия, которые необходимо учитывать, чтобы определить, стал ли уровень неопределенности меньше, чем раньше.

• Если вы рассчитываете уменьшить неопределенность, перемножив две переменные, полученные при разложении, то эти переменные должны обладать не просто меньшей неопределенностью, чем начальный диапазон, а желательно намного меньшей. Как правило, соотношение верхнего и нижнего пределов переменных должно быть намного меньше трети соотношения между верхним и нижним пределами исходного диапазона. В примере из предыдущего раздела отношение пределов исходного диапазона было около 47 (7 млн долл. / 150 000 долл.), в то время как два других диапазона имели соотношения пределов 16 и 25 соответственно.

• Когда неопределенность в основном связана с какой-то одной из полученных при разложении переменных, отношение верхнего и нижнего пределов этой переменной должно быть меньше, чем у исходного диапазона. Например, пусть, по первоначальной оценке, стоимость отключения системы составляет от 1 до 5 млн долл. Если главным источником неопределенности для стоимости является продолжительность отключения, то соотношение верхнего и нижнего пределов ожидаемого времени простоя должно быть меньше соотношения верхнего и нижнего пределов первоначальной оценки (5 к 1). В ином случае от разложения не будет особого толка, и если есть основания доверять изначальному диапазону, то лучше использовать его. С другой стороны, это может означать и то, что изначальный диапазон был слишком узким, и тогда стоит присмотреться к результатам разложения.

• В некоторых случаях перемножаемые переменные связаны между собой таким образом, что от разложения не будет пользы, если только не задать модель этой взаимосвязи. Например, пусть нужно умножить A на B, чтобы получить C, при этом, когда значение A велико, значение B мало, а при большом значении B значение A маленькое. При оценке отдельных независимых диапазонов для A и B диапазон получившейся величины C может оказаться сильно завышенным. Так может произойти в случае с продолжительностью отключения системы и стоимостью часа простоя. А именно, чем важнее система, тем активнее будет вестись работа по ее возвращению в строй. Раскладывая событие на подобные составляющие, следует также моделировать их обратную зависимость. Или можно просто указать один общий диапазон воздействия, вместо того чтобы его раскладывать.

• Если у вас достаточно эмпирических данных для оценки распределения, то дальнейшее разложение на составляющие, вероятно, не принесет особой пользы.

Трудное разложение на составляющие: ущерб репутации

В ходе опроса, упомянутого в главе 5, некоторые специалисты по кибербезопасности (14 %) согласились с утверждением «невозможно рассчитать диапазон нематериальных последствий крупных рисков, таких как ущерб репутации». Несмотря на то что большинство не согласны с этим утверждением и на тему ведется немало дискуссий, нам редко доводилось наблюдать попытки смоделировать данный риск в сфере кибербезопасности. Обычно его приводят в качестве примера проблемы, которую очень сложно измерить. Поэтому мы хотим более подробно остановиться на этом конкретном виде убытков и показать, как с помощью эффективного разложения на составляющие можно решить даже такую, казалось бы, нематериальную проблему. В конце концов, считается, что репутация – это категория убытков, к которой специалисты в сфере кибербезопасности обращаются, когда хотят посеять как можно больше страха, неуверенности и сомнений. Ее потеря считается невосполнимой. Но повторим вопрос, заданный в главе 2 применительно к объекту измерения, а также ранее в этой главе применительно к критерию наблюдаемости Ховарда: «Что мы видим, когда сталкиваемся с потерей репутации?»

Многие сразу же скажут, что наблюдаемым количеством станет долгосрочная потеря продаж, а затем, возможно, добавят, что также упадут цены на акции. Конечно, эти два фактора взаимосвязаны. Если бы инвесторы (особенно институциональные, рассчитывающие влияние продаж на оценку рыночной стоимости) посчитали, что продажи сократятся, то цены на акции упали бы уже по этой одной причине. Таким образом, если бы наблюдались изменения в продажах или ценах на акции сразу после крупных событий, связанных с кибербезопасностью, это позволило бы выявить эффект ущерба репутации или по крайней мере эффекты, влияющие на принятие решений.

Логично предположить, что существует связь между крупной утечкой данных и потерей репутации, приводящей к изменениям объема продаж, цен на акции или обоих показателей. В статьях вроде «Target заявляет: взлом нанес ущерб продажам и имиджу. Совокупный ущерб еще не ясен» (Target Says Data Breach Hurt Sales, Image; Final Toll Isn’t Clear)5 выдвигаются предположения о наличии прямой связи между утечкой данных и репутацией. В сентябре 2014 года в журнале Forbes вышла статья аналитического агентства Trefis с Уолл-стрит, в которой отмечалось падение акций компании Target на 14 % в течение двух месяцев после взлома, и подразумевалось, что эти два события связаны6. В статье Trefis ссылается на Poneman Institute (ведущий исследовательский центр в сфере кибербезопасности, опирающийся в основном на данные опросов), согласно прогнозу которого ожидался 6 %-ный отток покупателей после крупной утечки данных. Исходя из этой информации, кажется очевидным, что крупная утечка данных ведет к значительному снижению продаж и рыночной стоимости акций.

И все же стоит относиться к таким заявлениям скептически.