Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

катастроф и инженерных исследований. В киберсфере работа ведется с данными, помогающими дифференцировать риски в зависимости от отрасли, размеров компаний, их местоположения и других особенностей. Последним этапом является оценка убытков, в том числе среднегодовые значения, убытки из расчета 1 к 100 и 1 к 250, касающиеся индивидуальных аккаунтов, а также целых портфелей аккаунтов. Для этого необходимы данные об убытках за прошедший период. Мы получаем их от нескольких первичных страховщиков, с которыми сотрудничаем, в обмен на проведение консалтинговых исследований киберрисков и предоставление начальных результатов моделирования. Полученные данные позволяют нам калибровать и проверять сведения об убытках, которые сообщает модель.

Недавние собранные данные о кибератаках, правда всего за несколько лет, эффективно обеспечивают «левое цензурирование», о котором говорит Эндрю Джеквит. Из огромного количества киберсобытий, произошедших в последние годы, следует вывод, что доступных данных не станет меньше. Большие объемы основных киберданных определяют размер и форму аппроксимированных статистических распределений, так же как и в традиционных актуарных методах. Объем данных подобной величины гарантирует, что подобранные параметры достаточно надежны и можно делать выборку из хвостов распределений. Здесь моделирование катастроф расходится с традиционной актуарной практикой. Именно выбор случайных значений из хвоста распределения для симуляции Монте-Карло приводит к появлению экстремальных сценариев, которыми и занимается моделирование катастроф. Мы можем быть уверены в данных хвоста распределения, поскольку его тело было хорошо аппроксимировано. Это решает задачу определения отдельных экстремальных событий в каталоге.

Примечания

1. Verizon Data Breach Investigation Report, 2013, 2014, 2015.

2. Brian M. Bowen et al., “Measuring the Human Factor of Cyber Security,” Homeland Security Affairs 8, supplement 5 (May 2012): 12.

3. Microsoft Security Intelligence Report, 2013, 2014, 2015.

4. Verizon Data Breach Investigation Report, 2013, 2014, 2015.

5. См., например, 2015 Cost of Data Breach Study: Global Analysis by Ponemon Institute and IBM.

6. Другие исследователи также отмечают подобное явление, в частности Джей Якобс, состоявший на тот момент в команде компании Verizon по подготовке отчетов о расследовании утечек, в статье “Analyzing Ponemon Cost of Data Breach” (December 2014) на сайте http://datadrivensecurity.info/blog/posts/2014/Dec/ponemon/.

7. См. Melissa Kirmse and Sam Savage, “Probability Management 2.0,” ORMS Today, October 2014, http://viewer.zmags.com/publication/ad9e976e#/ad9e976e/32.

8. Sam L. Savage, “Distribution Processing and the Arithmetic of Uncertainty,” Savage Analytics Magazine, November/December 2012, http://viewer.zmags.com/publication/90ffcc6b#/90ffcc6b/29.

9. Brian Krebs, “Adobe to Announce Source Code, Customer Data Breach,” Krebs on Security, October 13, 2013, http://krebsonsecurity.com/2013/10/adobe‐to‐announce‐source‐code‐customer‐databreach/

10. Keir Thomas, “Password Use Is All Too Common, Research Shows,” PC World, February 10, 2011, www.pcworld.com/article/219303/password_use_very_common_research_shows.html.

11. Anupam Das et al., “The Tangled Web of Password Reuse,” paper presented at the Network and Distributed System Security Symposium, February 23–26, 2014, www.jbonneau.com/doc/DBCBW14‐NDSStangled_web.pdf.