Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Аналитик рисков рассчитывает базовую вероятность следующим образом: P(Событие | Данные платежных карт) × P(Данные платежных карт) + P(Событие | Нет данных платежных карт) × P(Нет данных платежных карт) = 0,04 × 0,1 + 0,01 × 0,9 = 0,013. (Расчеты и другие этапы диалога, включая вычисление дельты ЛОШ, представлены в электронной таблице на сайте www.howtomeasureanything.com/cybersecurity.)

Аналитик рисков: Итак, вычисленная базовая вероятность чуть ниже вашей изначальной. Имеющиеся на данный момент вероятности не совсем согласованы. Если это исправить, эффективность нашей модели станет выше. Можно сказать, что неверна первоначальная вероятность и надо заменить ее на одну целую три десятых процента. Или что условные вероятности могут быть чуть выше, или доля активов с данными платежных карт слишком мала. Как считаете, что логичнее поменять?

Эксперт по кибербезопасности: Ну, доля активов с данными платежных карт известна довольно точно. Если подумать, то стоило бы сделать немного выше вероятность для активов без данных платежных карт. А если поднять ее до полутора процентов?

Аналитик рисков, вычисляя: Так, если задать одну целую восемь десятых процента, то получится почти ровно два процента, как ваша первоначальная оценка базовой вероятности.

Эксперт по кибербезопасности: Похоже, все верно. Но спроси вы меня в другое время, возможно, мой ответ был бы другим.

Аналитик рисков: Верно подмечено. Вот почему я спрашиваю не только вас. Плюс, закончив со всеми условиями, мы посмотрим, как вычисляется скорректированная вероятность, и тогда вам, может быть, захочется пересмотреть некоторые оценки. Теперь перейдем к следующему условию. Что, если актив, о котором идет речь, находится в собственном центре обработки данных компании…

И так далее.

Несколько пояснений по поводу использования ЛОШ. Это очень эффективная оценка вероятности с учетом всех условий, если условия не зависят друг от друга, то есть они не коррелируют и не имеют сложных схем взаимодействия друг другом. Зачастую все наоборот. Например, какие-то условия могут оказывать гораздо большее или гораздо меньшее влияние в зависимости от состояния других условий. Самое простое практическое решение в случае, если вы считаете, что условия A и B сильно коррелируют, – отбросить одно из них. Или же можно уменьшить ожидаемые эффекты каждого условия (т. е. задать условную вероятность ближе к базовой вероятности). Следите, чтобы совокупный эффект нескольких условий не давал более экстремальные результаты в сравнении с ожидаемыми (слишком высокие или слишком низкие вероятности).

Следующий очень удобный способ заполнения большой вероятностной таблицы узлов заключается в оценке экспертами нескольких специально отобранных комбинаций условий. Этот подход подразумевает построение статистической модели, основанной исключительно на подражании суждениям экспертов, а не на использовании данных за прошлые периоды. Любопытно, что такая модель, похоже, лучше справляется с задачами прогнозирования и оценки, чем сами эксперты.

Здесь предполагается применение методов регрессии, в частности логистической регрессии. Детальное обсуждение методов регрессии, после которого с ними можно было бы работать, не входит в задачу данной книги, поэтому нами предлагается следующее: если вам не знакомы методы регрессии, то придерживайтесь метода ЛОШ, описанного выше. Если же вы разбираетесь в методах регрессии, полагаем, наш разбор метода линзы будет достаточно подробным, чтобы вы могли понять его, не требуя от нас углубляться в описание механизма работы.

С учетом этого пояснения вот вам небольшая предыстория. Этот метод берет свое начало в 1950-х годах, когда Эгон Брунсвик, исследователь в области психологии принятия решений, попробовал статистически измерить решения экспертов. В то время как большинство его коллег занимал незримый процесс принятия решений, через который проходили эксперты, Брунсвика интересовало описание самих принимаемых решений. О себе и других специалистах в этой области он говорил: «Нам стоит меньше походить на геологов и больше на картографов». Другими словами, следует просто отображать то, что можно наблюдать, а не изучать скрытые внутренние процессы.

Такой подход стал известен под названием «модель линзы». Модели, созданные Брунсвиком и его последователями, превосходили экспертов-людей в решении самых разных вопросов, таких как вероятность погашения банковских кредитов, движение цен на акции, медицинские прогнозы, успеваемость студентов магистратуры и многие другие. Хаббарду тоже доводилось применять данный метод, в частности для прогнозирования кассовых сборов новых фильмов, логистики в зоне боевых действий и, да, в сфере кибербезопасности. Каждый раз модель по меньшей мере не уступала оценкам экспертов, а почти во всех случаях еще и оказывалась значительно лучше.