Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Теперь перейдем от ожидаемой частоты к финансовым последствиям взломов. Расходы, возникающие вследствие нарушения безопасности, обусловлены стоимостью взломанных активов, которая может включать в себя несколько компонентов затрат: уведомления и устранение последствий; сетевую криминалистику, юридические обязательства, а также ущерб репутации и долгосрочные последствия для бизнеса. Исследования стоимости нарушений безопасности можно найти в различных источниках, например в материалах, публикуемых Ponemon Institute⁵. Однако нами было выявлено, что в актуарном прогнозировании подобные данные следует применять с осторожностью.

Оценка стоимости активов данных, подверженных риску, выходит за рамки этой статьи, но обозначить ряд проблем можно и на простом примере. Рассмотрим базу, в которой хранятся данные (скажем, клиентов, сотрудников или пациентов), содержащие конфиденциальную информацию: личную, финансовую или медицинскую. Вариант просто посчитать записи и указать стоимость нарушения в расчете на одну запись кажется заманчивым, но тогда подразумевалось бы, что стоимость одной записи постоянна, а это не так.

На рис. Б.4 представлена стоимость одной записи в зависимости от величины взлома в двойном логарифмическом масштабе. Можно заметить, что стоимость нарушения одной записи уменьшается логарифмически по мере увеличения количества записей, подвергнувшихся взлому. И это неудивительно, так как относительно некоторых элементов затрат проявляется эффект масштаба. Ключевым моментом здесь является использование данных из отчетов компаний, в частности, по форме 10-K, подготавливаемых для Комиссии по ценным бумагам и биржам США (SEC), которые часто содержат подробную информацию о краткосрочных и долгосрочных затратах на крупные нарушения безопасности⁶.

Рис. Б.4. Сравнение данных о взломанных записях, полученных из отчета для SEC и от Ponemon Institute

Подводя итог, можно сделать вывод, что актуарная наука является благодатной почвой для достоверного прогнозирования, которое может вывести кибербезопасность в сфере управления бизнес-рисками на уровень развитости, давно реализуемый в большинстве других областей риска.

Изъян средних значений – это набор систематических ошибок, возникающих, когда неопределенные предположения заменяются отдельными «средними» числами. Наиболее серьезная ошибка, известная математикам как неравенство Йенсена, гласит, что «планы, основанные на средних предположениях, в среднем ошибочны». Суть кибербезопасности заключается в эффективном смягчении неопределенных неблагоприятных последствий. Я опишу два варианта изъяна средних значений в работе с неопределенностью гипотетической угрозы ботнета, а также покажу, как зарождающаяся дисциплина управления вероятностями может однозначно сообщать и рассчитывать такие неопределенности.

Ботнет – кибератака, осуществляемая вредоносным ПО, которое проникает во множество компьютеров, после чего командный сервер может управлять ими для создания сети, осуществляющей незаконную деятельность. Рано или поздно этот сервер будет идентифицирован как угроза, и дальнейшее взаимодействие с ним будет заблокировано. Как только опасный сайт будет обнаружен, по истории коммуникаций зараженных компьютеров можно будет точно определить, когда состоялся первый контакт с сервером злоумышленников, и получить ценные статистические данные.

Предположим, были вложены средства в два уровня сетевой защиты. Существует вероятность 60 %, что вирус ботнета обнаружит первый уровень и период до момента обнаружения составит в среднем 20 дней с распределением, показанным слева на рис. Б.5. Обратите внимание, что среднее значение можно представить как точку равновесия графика, обозначенную треугольником. В остальных 40 % случаев вирус обнаруживается только вторым уровнем системы безопасности, при этом среднее время обнаружения составляет 60 дней с распределением, показанным справа на рис. Б.5.

Рис. Б.5. Распределение времени обнаружения для каждого из двух уровней системы безопасности