Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Некоторые удивляются, как компания, специализирующаяся на построении моделей для оценки убытков от ураганов и других стихийных бедствий, может применять свои методы для построения аналогичных моделей оценки потерь от кибератак.

Ураган «Эндрю» дал толчок развитию индустрии моделирования катастроф. И хотя модели катастроф существовали и до 1992 года, лица, принимающие решения, или к ним не прибегали, или не использовали весь их потенциал. Когда на южную Флориду обрушился ураган, компания AIR опубликовала смоделированную оценку убытков, которая составила около 13 млрд долл., чем вызвала насмешки страховщиков. Им цифра показалась сильно завышенной. Когда после урагана «Эндрю» стали поступать требования по страховкам, 11 страховых компаний вышли из бизнеса, а остальные участники отрасли начали осознавать ценность моделирования. «Киберураган Эндрю» еще не нанес удар по сфере страхования от киберугроз, но, когда это произойдет, компании, использующие модели, окажутся в гораздо более выгодном положении, чем те, кто опирается на так называемые страховые суждения.

Компания AIR применяет все ту же стохастическую структуру моделирования (рис. Б.11), которой успешно пользовалась при создании моделей катастроф в течение почти 30 лет. Ее проще всего описать на аналогии с моделированием ураганов. Ураганы можно наблюдать, и они хорошо изучены. Мы начинаем с данных о прошедших ураганах, имеющихся в открытом доступе в Национальном центре США по слежению за ураганами и других источниках, а также определяем распределения для различных параметров, таких как ежегодное прогнозируемое число штормов, места вдоль береговой линии, где они произойдут, степень их интенсивности и т. д. Затем с использованием всех этих распределений проводится симуляция по методу Монте-Карло и составляется стохастический «каталог» событий. Каталог содержит 100 000 смоделированных сезонов ураганов, это не предсказания будущего на 100 000 лет вперед, а лишь рассмотрение правдоподобных версий сезона ураганов на следующий год. Что касается киберсферы, то благодаря другим специалистам, работающим в нашей области, у нас есть данные, которые позволяют составлять распределения для количества атак в год, отраслей, на которые они направлены, определять, затрагиваются ли крупные или небольшие компании, а в случае утечки данных – сколько записей украдено. Такие сведения дополняют информацию о подверженном воздействию типе данных, о категориях субъектов, осуществляющих атаки, и о любых последствиях атаки, например были ли данные украдены, остановится ли работа компании, подадут ли на нее в суд. Все эти данные используются для моделирования киберсобытий методом Монте-Карло и создания каталога событий.

Рис. Б.11. Структура моделирования катастроф компании AIR Worldwide

Следующий этап модели – компонент уязвимости. Здесь для определения ущерба используется каталог вместе с информацией о самом риске. Для определения угроз от ветра можно использовать данные вычислительной гидрогазодинамики, тестов в аэродинамических трубах, обследований после катастроф и инженерных исследований. В киберсфере работа ведется с данными, помогающими дифференцировать риски в зависимости от отрасли, размеров компаний, их местоположения и других особенностей. Последним этапом является оценка убытков, в том числе среднегодовые значения, убытки из расчета 1 к 100 и 1 к 250, касающиеся индивидуальных аккаунтов, а также целых портфелей аккаунтов. Для этого необходимы данные об убытках за прошедший период. Мы получаем их от нескольких первичных страховщиков, с которыми сотрудничаем, в обмен на проведение консалтинговых исследований киберрисков и предоставление начальных результатов моделирования. Полученные данные позволяют нам калибровать и проверять сведения об убытках, которые сообщает модель.