Наша конечная цель – постараться подтолкнуть сферу кибербезопасности к более активному применению количественных методов оценки рисков. В предыдущих главах было показано, что существует несколько методов, которые одновременно практичны (авторы применяли их в реальных ситуациях в области кибербезопасности) и заметно повышают эффективность оценки рисков, что доказано. Нами был предложен очень простой метод «один на один», основанный на замене компонентов матрицы рисков. Любой человек, обладающий техническими навыками для работы в сфере кибербезопасности, безусловно, владеет необходимыми умениями для реализации этого решения. Ознакомившись с основами, аналитик сможет построить свою работу на этом фундаменте с помощью методов, описанных в последующих главах.

Однако, несмотря на представленные ранее доказательства, многие из наших концепций, скорее всего, встретят сопротивление. Будут и священные коровы, и красные селедки, и черные лебеди, и прочие метафоры на зоологическую тематику, связанные с аргументами против использования количественных методов. Поэтому в данной главе нами будут рассмотрены все возражения, и стоит предупредить заранее, что это будет утомительно. Глава длинная, и не раз может казаться, что чему-то уделяется больше внимания, чем следовало бы. И все же необходимо разобрать по порядку каждый аргумент и подробно изложить наши доводы, сделав их настолько несокрушимыми, насколько позволят доказательства.

Изучение местности: опрос специалистов в области кибербезопасности

Готовясь к рассмотрению такого объемного вопроса, нам хотелось больше узнать о квалификации специалистов по кибербезопасности и их мнении по многим вопросам, которые мы затрагиваем. Нас интересовала степень принятия ими существующих подходов и общее впечатление о количественных методах. Поэтому мы попросили 171 специалиста в области кибербезопасности с разной квалификацией и из различных отраслей ответить на несколько вопросов о статистике и применении количественных методов в кибербезопасности. Участники опроса были набраны из ряда организаций, связанных с информационной безопасностью, в том числе из Общества по оценке информационных рисков (Society for Information Risk Assessment, SIRA), Ассоциации аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA) и трех крупнейших дискуссионных групп в социальной сети LinkedIn. В общей сложности было 63 вопроса, охватывающих биографические сведения участников, информацию об их организациях и нарушениях, с которыми им приходилось сталкиваться. Также имелись вопросы, связанные с использованием количественных методов в кибербезопасности, и опросник для определения степени их грамотности в области статистики.

Один из разделов, названный нами «Отношение к количественным методам» и содержавший 18 вопросов, помог определить, поддерживали ли специалисты по кибербезопасности применение подобных методов или относились к ним скептически. В рамках этого раздела выделялось еще как бы две подгруппы. Некоторые пункты опросов (семь, если точнее) были сформулированы с явно «антиколичественным» уклоном, например: «Информационная безопасность слишком сложна, чтобы создавать в ней модели с помощью количественных методов». Такие пункты позволяли гораздо четче обозначать сторонников и противников количественных методов. Другие пункты касались мнений, которые не были явно «антиколичественными», но указывали на признание ценности неколичественных методов, например: «Порядковые шкалы помогают выработать консенсус для определения дальнейших действий». В табл. 5.1 приведено несколько примеров из каждой подгруппы вопросов раздела «Отношение к количественным методам».

Нас порадовало, что большинство специалистов, работающих в сфере кибербезопасности (86 %), в целом принимали количественные методы, основанные на вероятностных моделях, т. е. их ответы на большинство вопросов, касающихся мнения о количественных методах, выражали поддержку этих методов. Например, большинство (75 %) согласились с утверждением, что «в кибербезопасности рано или поздно придется принять более сложный вероятностный подход, основанный на актуарных методах, тем, кто этого еще не сделал».

Таблица 5.1. Выборочные примеры вопросов об отношении к количественным методам