Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

воздействия трудно отделить от обычных ежедневных или поквартальных колебаний, помогает определить практический подход к моделированию данного типа убытков. Маршалл Кюперс, кандидат наук в области управления и инженерии из Стэнфорда, посвятил свое исследование изучению этих вопросов. Вот что рассказал Кюперс авторам данной книги:

В ходе научных исследований рассматривалось влияние сообщений об утечке данных на цену акций организаций, и раз за разом не находилось достаточных доказательств связи этих двух явлений между собой. Установить взаимосвязь сложно, поскольку сигналы быстро рассеиваются, а статистически значимая корреляция исчезает примерно через три дня.

Лучший способ моделирования ущерба репутации – проекты по искуплению

Мы не утверждаем, что крупные утечки данных не приносят убытки. С ними связаны реальные затраты, но следует подумать, как моделировать их иначе, без туманных отсылок на репутацию. Фактические «репутационные» убытки можно более реалистично смоделировать как ряд вполне материальных затрат, называемых нами «проекты по искуплению», а также других внутренних и юридических обязательств. Проекты по искуплению – расходы компании, направленные на сокращение долгосрочных последствий потери репутации. Другими словами, компании, похоже, стараются контролировать ущерб, наносимый их репутации, а не принимают последствия как есть, что, возможно, приводило бы к гораздо большему урону. Подобные усилия, по-видимому, оказывают достаточный сдерживающий эффект на реальные репутационные потери, раз их влияние на продажи или цены на акции малозаметно. К таким сдерживающим мерам относятся:

• крупные новые инвестиции в системы и политику кибербезопасности для исправления потенциальных уязвимостей;

• замена значительной части руководителей высшего звена, отвечающих за кибербезопасность (они могут оказаться козлами отпущения, но такой шаг может быть необходим для репутации);

• активизация взаимодействия с общественностью с целью убедить клиентов и акционеров, что проблема решается (это помогает донести до аудитории, что усилия из предыдущих пунктов позволят решить проблему);

• маркетинговые и рекламные кампании (помимо распространения информации о том, как была решена проблема) для компенсации возможных потерь в бизнесе.

По всей видимости, именно эти действия по минимизации негативного воздействия на репутацию, а не сам ущерб репутации и требуют реальных затрат. Каждое из них представляет собой удобный конкретный показатель, для которого у нас есть множество примеров в прошлом. Безусловно, если, на ваш взгляд, ущерб репутации связан с иными затратами, то следует смоделировать их. Но что в действительности значит для бизнеса ущерб репутации, если невозможно обнаружить его влияние ни на продажи, ни на цены акций? Поэтому главное – убедитесь, что ваше предположение подкреплено эмпирической базой. В противном случае, возможно, будет проще придерживаться стратегии расходов на проекты по искуплению.

Итак, если потратить чуть больше времени и усилий на анализ, можно получить разумную оценку даже такого вроде бы «неосязаемого» явления, как потеря репутации.

Заключение

Разложение на составляющие может быть в определенной мере очень полезным, что было нами продемонстрировано на простом дополнительном разложении, которое можно использовать для развития примера из главы 3. Кроме того, загружаемая электронная таблица-образец и описание распределений в приложении А познакомят вас еще с некоторыми инструментами, полезными при разложении.

Мы также отметили, что разложения на составляющие бывают неинформативными. Необходимо строить разложение таким образом, чтобы в нем применялись известные фактические данные – какими бы ограниченными они ни были, – а не суждения о суждениях. Стоит проверять свои разложения на составляющие с помощью симуляций и сравнивать результаты с первоначальной оценкой до разложения. Это покажет, удалось ли в результате разложения на составляющие сузить диапазон оценки ущерба, или, наоборот, его придется расширить. В конце мы проработали особенно сложное для количественной оценки воздействие – потерю репутации – и показали, что даже в таких случаях есть конкретные наблюдаемые последствия, которые можно оценить.

Пока еще не затрагивалась тема разложения на составляющие вероятности событий, за исключением определения вероятности наступления двух типов событий (нарушение доступности в сравнении с нарушением конфиденциальности и целостности). Вероятность часто является бóльшим источником неопределенности для аналитика и беспокойства для руководства, чем воздействие. К счастью, ее тоже можно разложить на составляющие, данный вопрос будет рассмотрен позже в этой части.

Еще необходимо выяснить, откуда берутся первоначальные оценки диапазонов и вероятности. Как обсуждалось в предыдущих главах, экспертов, которые раньше присваивали произвольные баллы в матрицах рисков, можно научить присваивать субъективные вероятности, причем так, что это само по себе уже приведет к измеримым улучшениям оценки. Затем такую первоначально заданную неопределенность можно скорректировать с помощью очень полезных математических методов, даже если кажется, что данных мало. Мы рассмотрим эти темы в двух последующих главах: «Калиброванные оценки» и «Уменьшение неопределенности с помощью байесовских методов».

Примечания

1. Ronald A. Howard and Ali E. Abbas, Foundations of Decision Analysis (New York: Prentice Hall, 2015), 62.

2. Michael Burns and Judea Pearl. “Causal and Diagnostic Inferences: A Comparison of Validity,” Organizational Behavior and Human Performance 28, no. 3 (1981): 379–394.

3. Ronald A. Howard, “Decision Analysis: Applied Decision Theory,” Proceedings of the Fourth International Conference on Operational Research (New York: Wiley-Interscience, 1966).

4. Ronald A. Howard and Ali E. Abbas, Foundations of Decision Analysis (New York: Prentice Hall, 2015), xix.

5. “Target Says Data Breach Hurt Sales, Image; Final Toll Isn’t Clear,” Dallas Morning News, March 14, 2014.

6. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” Forbes, March 30, 2015, www.forbes.com/sites/greatspeculations/2015/03/30/home-depot-will-the-impact-of-the-data-breach-besignificant/#1e882f7e69ab.

7. Karthik Kannan, Jackie Rees, and Sanjay Sridhar, “Market Reactions to Information Security Breach Announcements: An Empirical Analysis,” International Journal of Electronic Commerce 12, no. 1 (2007): 69–91.

8. Alessandro Acquisti, Allan Friedman, and Rahul Telang, “Is There a Cost to Privacy Breaches? An Event Study,” ICIS 2006 Proceedings (2006): 94.

9. Huseyin Cavusoglu, Birendra Mishra, and Srinivasan Raghunathan, “The Effect of Internet Security Breach Announcements on Market Value: Capital