Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Это важные вопросы, поскольку матрицы рисков, использующие порядковые шкалы для представления вероятности и воздействия, – обычное явление в кибербезопасности. В ходе нашего исследования выяснилось, что для оценки рисков и информирования о них 61 % организаций в той или иной форме используют матрицы рисков, а 79 % – порядковые шкалы. Хотя бы частичное применение статистических методов, многочисленные доказательства эффективности которых приведены в главе 4, встречается гораздо реже. Например, только 13 % респондентов утверждают, что применяют симуляцию по методу Монте-Карло, а 14 % отметили, что так или иначе используют байесовские методы (хотя оба эти ответа на самом деле встречались гораздо чаще, чем ожидали авторы).

Порядковые шкалы в каком-либо виде продвигаются практически всеми организациями по стандартизации, консалтинговыми группами и поставщиками технологий безопасности, работающими в сфере кибербезопасности. Десятки, если не сотни, фирм помогают компаниям внедрять методы или программные средства с использованием балльных оценок и матриц рисков. Стандарт 31010 Международной организации по стандартизации (ISO) гласит, что метод карты рисков (в табл. А.1 стандарта «Матрица последствий и вероятностей») «строго необходим» для идентификации риска².

Очевидно, что эти методы глубоко вплетены в экосистему кибербезопасности. Однако, как бы широко ни использовались шкалы в кибербезопасности, нет ни одного исследования, указывающего на то, что применение подобных методов действительно помогает снизить риск. Не существует даже исследования, которое бы показало, что суждения отдельных экспертов хоть в чем-то эффективнее профессионального чутья. Безусловно, есть много сторонников таких методов. Но как бы убедительно они ни звучали, к их мнению стоит относиться с осторожностью из-за возможности эффекта аналитического плацебо, исследования которого приведены в главе 4.

С другой стороны, ряд исследований показывает, что типы шкал, используемых в матрицах риска, могут снизить точность суждений эксперта из-за добавления источников ошибок, которых не было бы, давай он оценку только с помощью профессионального чутья. Мы бы даже сравнили эти методы с добавлением в огонь ракетного топлива. В борьбе с угрозами, которые трудно обнаружить, и так достаточно неопределенности, зачем ее увеличивать, абстрагируясь от данных с помощью сомнительных шкал?

В книге The Failure of Risk Management Хаббард посвящает целую главу обзору исследований проблемы балльной оценки. В последующих изданиях его книги «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе» источники информации на тему дополнялись по мере накопления результатов новых исследований, выявлявших трудности в использовании шкал. Чтобы прояснить данный вопрос, прибегнем к тому же методу, что и в главе 4, т. е. рассмотрим исследования, касающиеся трех ключевых аспектов.

• Психология шкал. Психологические исследования, посвященные использованию вербальных шкал, подразумевающих градацию от «маловероятно» до «как правило», для оценки вероятности события и изучению влияния специфики вербальных или числовых порядковых шкал (например, от 1 до 5) на совершаемый выбор.

• Математика и матрицы рисков. Математические проблемы, связанные с попытками провести вычисления с порядковыми шкалами или представить их на матрице рисков.

• Совокупность этих проблем. Каждая из двух вышеперечисленных проблем достаточно серьезна сама по себе, но стоит привести и результаты исследований, показывающих, что происходит, если рассматривать их в совокупности.

Порядковые шкалы широко применяются в силу простоты, а вот психология их использования на самом деле не так проста. Эксперта, применяющего шкалы, следует рассматривать как инструмент. Инструмент может демонстрировать неожиданное поведение, и необходимо изучить условия, что его вызывают. Как и при анализе компонентов ранее, мы будем обращаться к исследованиям в других областях, когда исследований в области кибербезопасности окажется недостаточно.