Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Данный пример – одна из причин, почему нам не нравится использовать в анализе слово «предположение». Предположение – это утверждение, которое считается истинным для текущих целей, независимо от того, является ли таковым на самом деле. Предположения необходимы, если требуется применять методы учета, требующие конкретные точки в качестве значений. Вы никогда не знаете конкретную точку с уверенностью, поэтому любое такое значение будет предположительным. Но когда есть возможность смоделировать неопределенность с диапазонами и вероятностями, не обязательно утверждать то, чего вы не знаете наверняка. Если вы не уверены, диапазоны и присвоенные вероятности должны это отражать. Если вы понятия не имеете, является ли узкий диапазон правильным, просто расширяйте его, до тех пор пока он не станет отражать известную вам информацию.

Легко потеряться в том, как много неизвестно о проблеме, и забыть, что кое-что вы все же знаете. Вам буквально никогда не доведется измерять явление, единственными границами которого будут отрицательная и положительная бесконечности.

Приведенный диалог также является примером теста на абсурдность в подходе с обратным якорным эффектом, о котором говорилось выше. Мы применяем его всякий раз, когда слышим фразу «Откуда я могу это знать?!» или «Вот мой диапазон, но это лишь догадка». Неважно, как мало, по мнению экспертов, у них сведений о величине, – всегда найдутся значения, в абсурдности которых они уверены. А точка, где значение из абсурдного начнет превращаться в маловероятное, но в некоторой степени правдоподобное, как уже отмечалось, станет пределом их неуверенности в величине. В качестве заключительного теста мы даем равноценную ставку, чтобы посмотреть, будет ли полученный в результате диапазон на самом деле 90 %-ным ДИ.

Скорее всего, в процессе внедрения количественных методов, в какой-то мере опирающихся на субъективную оценку вероятностей, вы столкнетесь и с другими концептуальными возражениями. Как показал приведенный в главе 5 опрос, некоторые эксперты в сфере безопасности весьма любопытно распределяют вероятности. Еще один пример – описанный Хаббардом случай, когда эксперт ответил, что вероятность наступления каждого события составляет 100 %. Коллеги эксперта спорили с ним, считая такую позицию явно абсурдной. Но он возразил, что должен вести себя так, как будто каждое из событий произойдет. Сидящие рядом коллеги заметили, что в таком случае вероятности наступления всех событий считались бы одинаковыми, а поскольку ресурсы ограничены, то пришлось бы распределять их произвольно. Похоже, эксперт перепутал понятия вероятности и рискоустойчивости, а заодно и способы взаимодействия с ними.

Исключительно философская интерлюдия

Все возможные «определения» понятия вероятности весьма неполно отражают реальную практику[8].

Все согласны с тем, что статистика так или иначе зависит от вероятности. Но что касается вероятности и того, как она связана со статистикой, со времен Вавилонской башни редко случались такие серьезные разногласия и непонимания.

На протяжении всей книги 90 %-ный ДИ рассматривается как на диапазон значений (обозначенный верхним и нижним пределами), в котором с вероятностью 90 % содержится истинное значение. Мы придерживаемся этого определения независимо от того, установлен ли ДИ субъективно или – как будет показано в главе 9 – с помощью данных выборки. При этом вероятность интерпретируется нами как выражение неопределенности или «степени убежденности» лица, выполняющего оценку.

Некоторые (не все) профессора статистики придерживаются другой интерпретации, противоречащей только что изложенной. Если бы мы вычислили, что 90 %-ный ДИ, скажем, для оценки совокупности пользователей, соблюдающих протокол безопасности, составляет от 25 до 40 %, они возразили бы, что заявление о 90 %-ной вероятности того, что истинное среднее значение совокупности находится внутри интервала, неверно. С их точки зрения, истинное среднее значение совокупности либо находится в интервале, либо нет.

Это один из аспектов так называемой частотной интерпретации доверительных интервалов. В нем путаются и студенты, и даже многие ученые. Приверженцы частотной интерпретации (фреквентисты) утверждают, что термин «вероятность» можно применять только к совершенно случайным событиям, которые «строго повторяемы» и имеют бесконечное число итераций. Эти три условия, если точно им следовать, превратят вероятность в чисто математическую абстракцию, которая окажется совершенно неприменима ни к одной ситуации принятия практических решений.

Однако большинство лиц, принимающих решения, судя по всему, придерживаются позиции, описанной в этой книге. Их называют субъективистами, поскольку они используют вероятности для описания личного состояния неопределенности, и неважно, отвечает ли оно таким критериям, как «совершенная случайность». Эту позицию еще иногда называют байесовской интерпретацией (хотя у интерпретации часто нет ничего общего с формулой Байеса, которую мы обсудим в главе 8). С точки зрения субъективиста, вероятность просто описывает знание человека о явлении, пока оно не станет доступным для наблюдения, и не имеет значения при этом, связана ли неопределенность с каким-либо неизменным фактом вроде истинного среднего значения совокупности или нет. Использование вероятностей (и доверительных интервалов) в качестве выражения неопределенности – практический подход к принятию рискованных решений.

Допустим, вы заключаете пари с коллегой о том, сколько человек потеряют ноутбуки в следующем месяце (мы не предлагаем заключать такие пари, это просто пример). Вы заявляете, что ваш 90 %-ный ДИ потерянных ноутбуков в следующем месяце находится в диапазоне от 2 до 10. Предположим, что вместо этого также можно вращать барабан, где вероятность выигрыша составляет 90 %. Какой бы способ ставки вы ни выбрали, вы в равной мере готовы воспользоваться и другим способом. Пока не появится новая информация, например фактическое количество потерянных ноутбуков, диапазон доверительного интервала будет восприниматься вами как вероятность. Будь на кону реальные деньги, подозреваем, что эксперимент с участием статистиков-фреквентистов, делающих ставки на различные доверительные интервалы и вращение барабана, показал бы, что они повели бы себя как субъективисты.

Во многих опубликованных работах, содержащих эмпирические исследования, физики7, эпидемиологи8 и палеобиологи9 многократно и предельно ясно описывают доверительный интервал как вероятно содержащий оцениваемое значение. Но, похоже, никому еще не приходилось отзывать из-за этого статью, и вряд