Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Прежде чем ответить, уточним, что это не личный выпад в адрес человека, любезно принявшего участие в нашем опросе, или в адрес других людей, согласных с рассматриваемым утверждением. Но нельзя помочь сфере кибербезопасности, игнорируя претензии вместо беспристрастного их разбора. Для нас важно высказанное мнение, и мы считаем, что оно заслуживает ответа. Итак, приступим.

Безусловно, такие убытки как минимум возможны в достаточно крупных организациях, и нам известны подобные случаи. Тогда если это «возможный диапазон», то почему бы не установить верхний предел в 1 млрд долл. или больше? Но очевидно, что шанс наступления у всех этих исходов разный. А распределение вероятностей как раз и передает вероятности различных исходов. Наверняка у аналитика имеется больше информации, чем обозначено, или он хотя бы может ее собрать.

Если этот широченный диапазон действительно является степенью неопределенности в отношении убытков и если вероятность всех исходов в этом диапазоне одинакова, то неужели, по мнению аналитика, его избавила бы от неопределенности, скажем, обычная матрица рисков? Конечно, не избавила бы. Она бы просто скрыла неопределенность (на самом деле, аналитик, вероятно, поместил бы этот риск в одну ячейку матрицы, хотя указанный диапазон должен охватывать большинство категорий воздействия или все их).

Другой интересный вопрос: если уровень неопределенности относительно потенциальных убытков действительно таков, то какие шаги предпринимает аналитик для хотя бы частичного уменьшения неопределенности? Естественно, любой риск с таким широким диапазоном неопределенности заслуживает дальнейшего изучения. Или же аналитик планирует просто продолжать скрывать эту серьезную неопределенность от совета директоров, используя неоднозначную терминологию риска? Вспомните из главы 2, что именно в подобных случаях крайней неопределенности ее уменьшения проще добиться и оно имеет большее значение. Нами уже описывались исследования, показывающие, как разложение такого широкого диапазона (путем продумывания оценок отдельных последствий и запуска симуляции для их суммирования), скорее всего, приведет к снижению неопределенности.

Те, кто согласен с утверждением, что вероятностные методы требуют точных данных, неправильно понимают ключевой аспект вероятностных методов. Количественные вероятностные методы используются именно из-за отсутствия идеальной информации. Если бы у нас была идеальная информация, нам бы вообще не понадобились вероятностные модели. Помните, все, что предлагается в этой книге, мы или наши коллеги не единожды применяли в разных условиях. Нам неоднократно доводилось представлять широкие диапазоны высшему руководству многих компаний, и, по нашему опыту, они ценят четко сформулированные заявления о неопределенности.

Подобным образом можно ответить и на возражения, что кибербезопасность слишком сложна для количественного моделирования или что количественные методы неприменимы в ситуациях, где задействованы люди. Как и в предыдущих случаях, мы должны спросить: а как именно матрицы рисков и шкалы риска нивелируют эти проблемы? Если они слишком сложны для количественного моделирования, то почему предполагается, что неколичественное решение справится с такой сложностью? Помните, что независимо от уровня сложности системы, даже вынося чисто субъективные суждения о ней, вы ее уже моделируете. Заблуждение Exsupero Ursus (т. е. это не идеальный метод, он не сработал однажды, поэтому его нельзя использовать) все еще существует лишь из-за того, что к альтернативам вероятностных методов не предъявляются те же требования.