Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

2. Определить конкретный период времени, в течение которого может возникнуть несущее риск событие (например: «Утечка данных из приложения Х произойдет в ближайшие 12 месяцев», «Потеря доступа к системе Х достаточно продолжительная, чтобы привести к снижению производительности в ближайшие пять лет» и т. д.).

3. Для каждого риска субъективно определить вероятность (от 0 до 100 %), с которой заявленное событие произойдет в указанное время (например: «Существует вероятность 10 %, что утечка данных из системы X произойдет в ближайшие 12 месяцев»).

4. Для каждого риска субъективно определить диапазон финансовых потерь в случае наступления события в виде 90 %-ного доверительного интервала (ДИ). Это достаточно широкий диапазон, позволяющий быть на 90 % уверенными, что фактические потери окажутся в его пределах (например: «Если произойдет утечка данных из приложения X, то с вероятностью 90 % можно предположить, что потери составят от 1 до 10 млн долл.»).

5. Если есть возможность, то получить оценки нескольких экспертов, но не проводить при этом общее совещание в попытке достичь консенсуса. Просто предоставьте список определенных событий, и пусть люди отвечают по отдельности. Если ответы некоторых экспертов сильно отличаются от остальных, выясните, не интерпретируют ли они иначе проблему. Например, если один человек называет вероятность наступления какого-либо события равной 5 % в течение года, а другой говорит, что оно с вероятностью 100 % происходит каждый день, тогда они, судя по всему, по-разному поняли вопрос (авторы лично сталкивались именно с таким вариантом). Однако, если эксперты понимают вопрос одинаково, просто усредните их ответы. То есть вычислите среднее арифметическое значение всех вероятностей наступления события, чтобы получить одно значение вероятности, а затем вычислите среднее арифметическое всех наименьших значений вероятностей для получения одного нижнего предела и наибольших значений для получения одного верхнего предела.

Идея субъективной оценки вероятностей может встретить возражения. Некоторые аналитики, без проблем говорящие, что вероятность составляет 4 по шкале от 1 до 5 или является средней по вербальной шкале, будут утверждать, что существуют требования к количественным вероятностям, делающие количественную оценку невыполнимой. Почему-то проблемы, которые не смущали их при использовании более неоднозначных методов, становятся основными препятствиями при попытке сформулировать значимую вероятность.

Это распространенное заблуждение. Как уже отмечалось в главе 2, использование субъективной вероятности для обозначения исходного состояния неопределенности эксперта является математически обоснованным. На самом деле некоторые проблемы в статистике можно решить только с помощью вероятностно выраженного исходного состояния неопределенности. И как раз такие задачи оказываются наиболее значимыми для принятия решений в любой области, включая кибербезопасность. Позже будут приведены источники, поддерживающие этот подход, в том числе несколько очень крупных эмпирических исследований, демонстрирующих его обоснованность. Более того, здесь есть глава, посвященная тому, как помочь читателям измерить и усовершенствовать собственные навыки оценки вероятностей с помощью короткой серии упражнений, позволяющих со временем повысить эффективность этих навыков. Оценки вероятности, получаемые после такого улучшения навыков, мы называем откалиброванными, и, как будет показано далее, существует достаточно много исследований, подтверждающих обоснованность подобных практик.

Пока же просто уясните, что большинство экспертов можно научить субъективно оценивать вероятности и что этот навык объективно измерим (как бы иронично это ни звучало). Помните: если основное беспокойство по поводу использования вероятностных методов возникает из-за отсутствия данных, то, значит, вам не хватает имеющихся данных и для применения неколичественных методов. Как уже говорилось, оба метода на начальном этапе используют один и тот же источник данных – экспертное мнение специалистов по кибербезопасности. И нельзя утверждать, что при использовании количественных показателей вероятности без надлежащего обучения будут допущены ошибки, которых удалось бы избежать, применяя качественные методы.

Достоверность мнения эксперта можно повысить за счет методов, учитывающих два других источника ошибок в суждениях: высокую степень несогласованности экспертов и склонность к распространенным ошибкам в умозаключениях, когда дело касается вероятностного мышления. Все это также будет рассмотрено в следующих главах (и, разумеется, влияние данных источников ошибок никак не учитывается в обычной матрице рисков).