Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Исследования показали, что большой процент атак извне с целью шпионажа происходит через фишинг¹ и установку вредоносного ПО на компьютер подвергнувшегося фишингу пользователя. Одним из методов противодействия таким атакам является повышение осведомленности пользователей с помощью обучающих антифишинговых программ, использующих поддельные фишинговые рассылки². Однако программа может оказаться дорогостоящей, а ее применение – неоднозначным с политической точки зрения. Актуарные данные позволили найти неожиданный, но даже более эффективный подход.

Важнейшие сведения в этом случае были получены из опубликованных компанией Microsoft данных³ о показателях блокировки вредоносного ПО на различных операционных системах. Вряд ли кого-то удивит, что, согласно данным, более новые версии Windows значительно лучше защищены от атак вредоносных программ, а MacOS и Linux безопаснее, чем Windows. А вот что является, пожалуй, неожиданным, так это то, в какой степени версия ОС может повлиять на частоту успешных атак.

Рис. Б.1. Вероятность возникновения случаев шпионажа при смоделированных изменениях в обучении и операционных системах

На рис. Б.1 представлен анализ высокотехнологичной компании, работающей в отрасли с сильной конкуренцией, где шпионаж является вполне реальным бизнес-риском. По нашим оценкам, вероятность (ожидаемая частота) шпионских атак составляет около 12 %, что отражает крайний левый столбец на диаграмме (другими словами, следует ожидать, что из восьми одинаковых компаний одна будет ежегодно терпеть убытки из-за успешных шпионских атак). На оценку влияют отрасль, количество сотрудников и IT-инфраструктура. Расчет основан на ряде тенденций и корреляций, наблюдавшихся в течение нескольких лет подряд в данных, полученных из отчетов Verizon DBIR⁴, Бюро переписи населения США и других источников.

Обучение противостоянию фишингу снижает ожидаемую частоту атак с 12 до 2 %, как видно по следующему столбцу диаграммы. Двигаясь дальше вправо, обнаруживаем еще более эффективную контрмеру: модернизация ОС всех компьютеров компании с Windows 7 на Windows 8 снижает вероятность шпионажа примерно до 1 % даже без обучения (на момент написания статьи еще не были доступны данные по Windows 10). А благодаря сочетанию модернизации ОС с проведением обучения или использованию MacOS вместо Windows вероятность становится намного ниже 1 %.

Обновление ОС также стоит денег, и, возможно, имеет смысл обновлять только компьютеры, используемые системными администраторами или другими сотрудниками с более широким доступом к конфиденциальным данным. Наглядное представление вероятности инцидента позволяет руководству принимать решения на основе данных, взвешивая затраты и риски.

Существует распространенное мнение, что число взломов в сфере здравоохранения стремительно растет. Действительно, только в США утечки данных в сумме составили более 30 млн записей о пациентах с момента введения обязательной отчетности о нарушениях в 2009 году. И все же паникерские заявления о резком росте числа нарушений не подтверждаются данными. За последние пять лет количество случаев взломов было довольно стабильным, если смотреть в актуарном контексте, и их количество можно обоснованно спрогнозировать на будущее.

Наши исследования показывают сильную корреляцию между числом утечек и количеством сотрудников, работающих в организации, например в медицинском учреждении (то же самое справедливо и для других отраслей). Мы взяли сведения из базы данных министерства здравоохранения об утечках личных медицинских данных, публикующихся согласно закону о медицинских информационных технологиях для экономической деятельности и клинической практики от 2009 года (HITECH Act)[10], и рассортировали частоту взломов в каждом году по штатам. Сопоставление данных о занятости в здравоохранении по штатам на рис. Б.2 выявляет линейную зависимость.

Рис. Б.2. Среднее ежегодное количество утечек данных по штатам

Можно ли использовать наклонную линию на рис. Б.2 (среднее число утечек на каждого сотрудника) для надежного прогнозирования ожидаемой частоты инцидентов в организации в будущем?

Чтобы ответить на этот вопрос, приведем изменения с течением времени на рис. Б.3. Количество нарушений на одного сотрудника резко возросло сразу после введения обязательной отчетности в 2009 году, но с тех пор остается довольно стабильным. Только в одном году (2013) оно увеличилось, и то на довольно скромные 31 %. Такая стабильность, возможно, связана с тем, что наиболее распространенная причина нарушений – случайность, а не внешние атаки. Прогнозируемую частоту происшествий можно совместить с измерениями стоимости активов данных, подверженных риску, и получить для организации надежную количественную картину риска, указанного в долларах.

Рис. Б.3. Число утечек данных по годам в зависимости от количества сотрудников