Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Источник: Дэвид В. Будеску, Стивен Брумелл и Хан-Хуэй Пор, Иллинойский университет в Урбане-Шампейне

Хаббард предлагает еще одно возможное объяснение. Он наблюдал на практике в процессе обсуждения рисков с клиентами, как событие оценивалось «крайне вероятным» отчасти из-за того, какое воздействие оно могло оказать. Конечно, воздействие и вероятность следует оценивать по отдельности, но менеджеры и аналитики делали заявления вроде: «Вероятность 10 %, что событие будет происходить ежегодно, слишком велика для такого крупного события, поэтому считаю, что 10 %-ный шанс его наступления крайне вероятен». Естественно, это всего лишь случай из практики, и мы не полагаемся на такого рода наблюдения, ведь данных Будеску и Хойера вполне достаточно, чтобы очертить проблему. Однако как потенциальное объяснение сам факт наличия таких заявлений указывает на возможность того, что некоторые люди весьма необдуманно пытаются объединить вероятность, воздействие и собственную неприязнь к риску. Им нужны методы, которые раскрывали бы смысл этих разных понятий.

Более того, чтобы адекватно определить вероятность события, необходимо учитывать период времени, в течение которого оно должно произойти. Если, например, указывается 10 %-ная вероятность события, значит ли это, что 10 % – вероятность его наступления в следующем году? Или в следующем десятилетии? Очевидно, что эти оценки сильно различаются. Как получается, что руководство или аналитики могут прийти к согласию по данным пунктам, даже не указав такую элементарную единицу измерения риска?

Все эти факторы в совокупности создают то, что Будеску называет «иллюзией коммуникации». Люди могут считать, что они успешно договорились о рисках, но при этом совершенно по-разному понимать сказанное. Им может казаться, что они пришли к соглашению, если все говорят, что один риск является «средним», а другой – «высоким». И даже когда вероятность обозначается с помощью конкретных чисел, слушатель или докладчик могут соотносить собственную рискоустойчивость с оценкой вероятности или полагать, что указана вероятность наступления события в течение более длительного периода времени, чем подразумевает собеседник.

До сих пор обсуждалась только психология интерпретации людьми неоднозначной терминологии в области риска, но это еще не все. Помимо использования неколичественных обозначений для вероятностей и влияния, оказываемого прочими неясностями, наблюдаются любопытные реакции на субъективные порядковые шкалы в целом. Относительно произвольные характеристики шкал оказывают гораздо большее влияние на суждения, чем можно было бы ожидать.

Например, профессор Крейг Фокс из Калифорнийского университета в Лос-Анджелесе провел исследование, показавшее, что особенности деления шкал оказывают неожиданное влияние на ответы, независимо от того, насколько точно определены отдельные значения⁶. На шкале от 1 до 5 значение «1» будут выбирать чаще, чем на шкале от 1 до 10, даже если «1» определяется одинаково в обоих случаях (скажем, «1» может означает перерыв в работе длительностью менее 10 минут или несанкционированный доступ, повлекший за собой убытки на сумму менее 100 000 долл.). Кроме того, существует множество исследований, показывающих, что и другие произвольные характеристики шкал необычно влияют на выбор ответа, и сильнее, чем кажется. К таким исследованным характеристикам относятся, например, указание соответствующих порядковых числовых шкал в дополнение к вербальным шкалам или вместо них⁷ и выбор направления шкалы (является ли «5» высоким баллом или низким)⁸.

Подобные проблемы типичны в психометрии и проектировании опросов для исследований. Опросы разрабатываются с использованием различных видов контроля и тестирования элементов, чтобы можно было оценить влияние когнитивных искажений. Они называются «артефактами» исследования, и при формулировании выводов их можно игнорировать. Однако нет никаких доказательств, что какие-либо из перечисленных выше подобных факторов учитывались бы при разработке шкал оценки риска. И поэтому нельзя воспринимать эти методы как должное, необходимо принимать во внимание психологию того, как оцениваются риски и как при этом используются инструменты измерений.