Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Информация обладает ценностью, поскольку решения, влекущие за собой экономические последствия, нам приходится принимать в условиях неопределенности. Иначе говоря, есть цена ошибки и шанс допустить ошибку. Произведение шанса допустить ошибку и ее цены называется ожидаемыми потерями от упущенных возможностей (Expected Opportunity Loss, EOL). В анализе решений под стоимостью информации понимается снижение EOL. Если устранить неопределенность, то EOL станут равны нулю, и тогда разницей в EOL будет их полная стоимость. Эту стоимость также называют ожидаемой стоимостью полной информации (Expected Value of Perfect Information, EVPI). Неопределенность, как правило, устранить невозможно, но EVPI дает понимание верхней границы ценности дополнительной информации. Если EVPI всего 100 долл., то, вероятно, не стоит тратить время на снижение неопределенности. А вот когда EVPI составляет 1 млн долл., снижение неопределенности выгодно, даже если удастся уменьшить ее только наполовину, потратив при этом 20 000 долл. (или и вовсе лишь силы на анализ).

В кибербезопасности стоимость информации всегда связана с решениями, которые можно принять для снижения риска. Вы будете принимать решения о том, внедрять ли определенные средства контроля, а они стоят денег. Если вы решите применить средство контроля, то ценой ошибки будут деньги, которые, как выяснится, не нужно было тратить на это средство контроля. В обратном случае ценой ошибки станет наступление события, которого можно было бы избежать, имея средства контроля, от внедрения которых вы отказались.

На сайте www.howtomeasureanything.com/cybersecurity нами предоставлена электронная таблица для расчета стоимости информации. В табл. 9.2 показано, как структурированы значения в электронной таблице последствий. Обратите внимание, что здесь приводится очень простой пример, где предполагается, что предложенное средство контроля исключает возможность наступления события. При желании таблицу можно усложнить и рассмотреть возможность того, что, несмотря на внедрение средства контроля, событие все же произойдет (скорее всего, с меньшей вероятностью и/или воздействием).

В электронной таблице также фиксируются условные вероятности, подобные тем, что мы вычисляли ранее: P(КУД), P(КУД | ПТП) и P(КУД | ~ПТП) (напомним, что КУД означает «крупная утечка данных», а ПТП – «положительный тест на проникновение»). Расчет несложный: на основе P(КУД), стоимости средства контроля и стоимости события без средства контроля вычисляются EOL для каждой стратегии – внедрения средства контроля или невнедрения. То есть, опираясь на выбранную стратегию, мы просто вычисляем цену ошибки и шанс допустить ошибку для каждой стратегии.

В таблицу можно вводить различные комбинации условных вероятностей, стоимости событий и затрат на средства контроля. Однако все в итоге сводится вот к чему: если не внедрять средство контроля, то стоимость информации может равняться произведению вероятности наступления события и стоимости события. А если внедрить средство контроля, цена ошибки составит произведение вероятности, что событие не произойдет, и стоимости средства контроля. Таким образом, чем выше стоимость средства контроля, тем более значительное событие оно должно смягчить, и чем больше неопределенность в отношении события, тем выше стоимость дополнительной информации.

Предположим, что вы построили модель, вычислили стоимость информации и определили, какие дополнительные измерения необходимо провести. В частности, было установлено, что желательно уменьшить степень неопределенности в отношении влияния отдельных факторов в области кибербезопасности на вероятность наступления какого-либо события, затрагивающего безопасность. Сформировав выборку – из данных или своей компании, или отрасли в целом, – вы организовали ее так, как показано в табл. 9.3. Присвоив наступлению события значение Y, а рассматриваемому условию – значение X, можно вычислить условную вероятность P(Y | X): разделить количество строк, в которых Y = Да и X = Нет, на общее количество строк, где X = Нет. То есть P(Y | X) = количество Y и X / количество X (как показано в правиле 4 для ситуации «это зависит от» в главе 8).

Это может быть список серверов по годам, показывающий, происходило ли интересующее вас событие на данном сервере и, скажем, был ли он расположен за границей, или какой тип операционной системы на нем установлен. Или, возможно, требуется оценить вероятность заражения сервера ботами на основе какой-то непрерывной величины, например количества трафика, получаемого сервером (наш приглашенный автор Сэм Сэвидж разбирает такой случай в приложении Б).