Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

• Определение лжи. В исследовании 1999 года измерялась способность испытуемых обнаруживать ложь в контролируемых тестах с использованием видеозаписи инсценированных допросов «подозреваемых». Актеры в роли подозреваемых должны были скрывать определенные факты о «преступлениях» и демонстрировать явную нервозность по поводу того, что их раскроют. Некоторых испытуемых, просматривавших видеозаписи, обучали распознавать ложь, а других – нет. Обученные испытуемые были более уверены в суждениях о распознавании лжи, хотя на деле распознавали ложь хуже, чем необученные⁶.

И это лишь несколько из множества подобных исследований, показывающих, что можно обучаться, собирать информацию, сотрудничать с другими людьми и это повысит уверенность в суждениях, но не фактическую эффективность оценки. Конечно, эти примеры относятся к проблемам решения совершенно иных типов задач. Но почему предполагается, что сходные проблемы не свойственны вопросам кибербезопасности? В фармацевтической промышленности новый препарат фактически считают плацебо, пока не будет доказана его эффективность. Тот факт, что плацебо существует в одних областях, означает, что оно может существовать и в других, если только данные не показывают обратного. Глядя на примеры проблем в таких разных областях, как инвестиции, скачки, футбольные матчи и диагностика пациентов в психологии, кажется, что бремя доказывания должно лежать на человеке, утверждающем, что в какой-то другой области, например кибербезопасности, можно избежать этих проблем. Так что давайте остановимся на предположении, что для сферы кибербезопасности характерны те же проблемы, что наблюдаются во многих других областях, где людям приходится выносить суждения.

Мы определенно не будем при измерении эффективности различных методов полагаться на заявления экспертов, независимо от того, каким уровнем знаний, по их мнению, они обладают и насколько громко о себе заявляют. И поэтому, хотя мы можем вполне обоснованно сказать, что обладаем большим опытом в области кибербезопасности (Сирсен) и количественного анализа рисков в целом (Хаббард), мы не будем полагаться на свой авторитет, говоря о том, что работает, а что – нет (а подобный недостаток, кажется, имеется у многих книг по управлению рисками и информационной безопасности). Наши аргументы будут основаны на опубликованных результатах крупных экспериментов. Любое упоминание случаев из жизни или цитирование лидеров мнений будет приводиться только для иллюстрации точки зрения, но не в качестве ее доказательства.

Бесспорно, что аргументы и доказательства – это способ получения достоверных выводов о реальности. Под «аргументами» нами понимается использование математики и логики для получения новых утверждений из предыдущих подтвержденных заявлений. К «доказательствам», на наш взгляд, не относятся случаи из жизни или доводы свидетелей (любой метод, включая астрологию и экстрасенсорное общение с животными, способен генерировать подобные «доказательства»). Лучшими источниками доказательств служат большие случайные выборки, клинические испытания, объективные данные за прошедшие периоды и т. д. А чтобы затем делать выводы, данные должны быть оценены с помощью соответствующих математических методов.

Необходимо определить научно обоснованный способ оценки методов, а затем сравнить различные методы на основе этой оценки. Однако существует распространенное опасение, что в сфере кибербезопасности просто не найдется достаточного количества данных для надлежащих, статистически достоверных измерений. Иронично, что утверждается это почти всегда без должных математических расчетов.

Вспомните из главы 2: если расширить свой кругозор в отношении того, какие данные могут быть информативными, то на деле у нас будет больше данных, чем кажется. Поэтому ниже представлена часть способов, благодаря которым у нас больше данных об эффективности методов оценки рисков кибербезопасности, чем мы думаем.

• Не стоит ограничиваться только собственным примером. Конечно, каждая организация уникальна, но это не означает, что нельзя учиться на чужом примере (по сути, опыт ничего бы не значил, если бы мы не умели обобщать практические знания, не являющиеся абсолютно идентичными). Именно с помощью информации из более крупных совокупностей страховые компании оценивают риск вашего здоровья, даже если вы никогда не предъявляли претензий, а врач считает, что лекарство, которое вы раньше не принимали, подойдет вам, так как знает о крупном исследовании с участием множества других людей.