Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Market Reactions for Breached Firms and Internet Security Developers,” International Journal of Electronic Commerce 9, no. 1 (2004): 70–104.

10. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” March 27, 2015, www.trefis.com/stock/hd/articles/286689/home-depot-will-the-impact-of-the-data-breach-be-significant/2015-03-27.

11. Wallis Consulting Group, Community Attitudes to Privacy 2007, prepared for the Office of the Privacy Commissioner, Australia, August 2007, www.privacy.gov.au/materials/types/download/8820/6616.

12. Trefis Team, “Data Breach Repercussions and Falling Traffic to Subdue Target’s Results,” August 18, 2014, www.trefis.com/stock/tgt/articles/251553/aug-20data-breach-repercussions-and-falling-traffic-tosupdue-targets-results/2014-08-18.

13. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” March 27, 2015, www.trefis.com/stock/hd/articles/286689/home-depot-will-the-impact-of-the-data-breach-be-significant/2015-03-27.

14. Ryan Singel, “Data Breach Will Cost TJX 1.7B, Security Firm Estimates,” Wired, March 30, 2007, www.wired.com/2007/03/data_breach_wil/.

Глава 7. Калиброванные оценки: что вам известно уже сейчас?

Самые важные вопросы в жизни по большей части являются лишь задачами вероятности.

Пьер-Симон Лаплас (1746–1827), французский математик, один из создателей теории вероятностей1

Описанный ранее метод требует субъективной оценки количественных вероятностей. Например, эксперту в области кибербезопасности надо оценить вероятность наступления события или размер убытков в случае его наступления. И здесь приходится столкнуться с определенным сопротивлением. Некоторые эксперты по кибербезопасности, которых, похоже, не смущает оценка вероятности как «средняя» или «2», часто недоумевают, как можно субъективно оценивать количественную вероятность события.

Безусловно, вопрос о достоверности субъективных вероятностей вполне правомерен. К счастью, как упоминалось в главе 5, уже проведено немало исследований на данную тему, и очевидны два вывода: 1) большинство людей плохо умеют распределять вероятности, но 2) их можно научить делать это очень хорошо.

Поэтому, да, достоверность субъективных оценок вероятности объективно измерима, и ее уже измеряли (как ни парадоксально). Отрицать это – значит отвергать научно подтвержденные факты. Эксперт в области кибербезопасности способен научиться выражать свою неуверенность с помощью субъективного и одновременно количественного показателя неопределенности. В этой главе вы познакомитесь с азами использования субъективных оценок вероятностей, а также способами измерения навыков такой оценки и улучшения их с практикой.

Данная глава во многом дублирует главу о калибровке из первой книги «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе». Если читатель уже знаком с обсуждением калиброванных оценок вероятности из той книги, эту главу можно пропустить или бегло просмотреть.

Введение в субъективную вероятность

В самом простом методе, описанном ранее, имеются два типа распределения вероятностей. Один применяется к дискретным событиям типа «или-или», например произойдет ли крупная утечка данных платежных карт клиентов компании розничной торговли. Другой применяется к диапазонам значений, скажем, какова будет величина убытков в секторе продаж в случае крупной утечки данных платежных карт клиентов. Суть двух типов распределения вероятностей кратко представлена в табл. 7.1.

В главе 3 оба метода применялись для выражения неопределенности относительно наступления события, касающегося кибербезопасности. К типу дискретного события относилось определение самого факта наступления события. Нами присваивалась вероятность (1 %, 15 % и т. д.), что событие произойдет в течение определенного периода времени. А его финансовое воздействие выражалось уже в виде диапазона.

Конечно, из этих двух форм распределений можно создать множество комбинаций. Могут быть дискретные события с более чем двумя исходами или сочетания дискретных и непрерывных распределений. Из нескольких бинарных распределений можно даже построить непрерывное распределение. На практике, однако, такое разграничение полезно.

Таблица 7.1. Два типа субъективных оценок вероятности, используемых в простой модели замены «один на один» (из главы 3)

Выразить неопределенность относительно непрерывных величин можно через представление их в виде диапазона вероятных значений. Как отмечалось в главе 3, диапазон, с определенной вероятностью содержащий правильный ответ, называется в статистике доверительным интервалом[7]. 90 %-ный ДИ – диапазон, который с вероятностью 90 % может содержать правильный ответ (существует некоторая полемика по поводу использования термина и субъективных вероятностей в целом, о чем мы поговорим далее в этой главе). Напомним, что в главе 3 нам нужен был диапазон для обозначения неопределенности убытков в результате взлома или других нарушений кибербезопасности. Эти значения можно рассчитать с помощью всевозможных сложных методов статистического анализа или же задать, основываясь лишь на собственном опыте. В любом случае значения отражают вашу неуверенность в отношении данной величины.

Кроме того, вероятности позволяют описать неопределенность в отношении конкретного будущего события, например будет ли украдена информация о платежных картах клиентов, персональные медицинские или иные данные в результате взлома какой-либо системы. Скажем, можно предположить, что в ближайшие 12 месяцев существует 2 %-ная вероятность утечки данных, достаточно крупной, чтобы потребовалось публичное объявление (обратите внимание, что при определении вероятностей будущих событий всегда следует указывать период времени, иначе вероятность теряет смысл).

А если событие не произойдет, как узнать, была ли вероятность «верной»? Очевидно, что при вероятности намного меньше 50 % вряд ли кто-то всерьез ожидает наступления события. Однако единичное событие в любом случае не определяет, была ли заявленная вероятность верной или нет, а поэтому имеет смысл рассматривать ряд точек данных. Мы можем спросить: «Из большого числа событий, которым присвоили 5 %-ную вероятность наступления в течение года, действительно произошли около 5 %?» Аналогичным образом, если мы считали, что вероятность события составляет 20 или 1 % в тот же период времени, происходили ли события в 20 или 1 % случаев соответственно?

К сожалению, как вы можете помнить из главы 4, обширные исследования показали, что очень немногие люди от природы являются калиброванными оценщиками. В психологии принятия решений калиброванные оценки вероятности изучались с 1970-х и 1980-х годов вплоть до самого недавнего времени. Как уже отмечалось, ведущими исследователями в этой области стали Даниэль Канеман и его коллега Амос Тверски2. Психология принятия решений изучает, как люди на самом деле принимают решения, какими бы иррациональными они ни были. Этим она отличается