Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Многие эксперты делают неверное предположение, что чем сложнее проблема, тем менее эффективны будут количественные методы по сравнению с экспертами-людьми. Тем не менее выводы Мила и Тетлока (рассмотренные в главе 4) свидетельствуют об обратном: по мере усложнения проблем эксперты справляются не лучше наивных статистических моделей. Таким образом, сложность моделируемого мира одинакова как для количественных, так и для неколичественных моделей. Однако, в отличие от матрицы рисков и порядковых шкал, компоненты даже упрощенного количественного метода выдерживают научную проверку.

Кристофер «Кип» Бон, актуарий страхового брокера Aon, сталкивался с теми же возражениями и придерживается той же точки зрения относительно них, что и мы. У Бона большой опыт в проведении анализа рисков во многих областях, и при этом он является одним из растущего числа актуариев, занимающихся страхованием рисков кибербезопасности с использованием количественных инструментов анализа. Вот что он сказал в интервью:

Хорошо сказано, Кип. Сложность, нехватка данных, непредсказуемый человеческий фактор и быстро меняющиеся технологии часто используются как оправдания, чтобы избегать применения количественных методов. Ирония в том, что фактически принимается решение как-то справиться с этими проблемами с помощью профессионального чутья, не документируя ничего и не вычисляя. Если задача чрезвычайно сложна, то именно ее и не следует пытаться решать в уме. Аэродинамическое моделирование и мониторинг электростанций столь же сложны, но именно поэтому инженеры не проводят анализ в уме. В кибербезопасности придется иметь дело со множеством взаимодействующих систем, средств контроля и многочисленными видами убытков. У одних систем одни виды убытков, у других – другие, а вероятность наступления разных событий также различна. И все это надо будет свести в совокупный портфель, чтобы определить общий риск. Вычисления не очень сложные (тем более что нами предоставлены электронные таблицы практически для каждого разбираемого расчета), но все же не нужно производить их в уме.

Поэтому всякий раз, услышав подобное возражение, просто спрашивайте: «А как ваш нынешний метод (матрица рисков, порядковые шкалы, профессиональное чутье и т. д.) нивелирует этот недостаток?» Более мягкие методы создают видимость решения проблемы лишь благодаря тому, что не заставляют вас иметь с ней дело. Какой бы ни была степень вашей неуверенности – даже если она колеблется в диапазоне воздействия от 0 до 500 млн долл., как в примере выше, – вы все равно можете конкретно очертить эту неопределенность и соответствующим образом расставить приоритеты в средствах контроля безопасности.

Последнее возражение, которое мы упомянем в связи с заблуждением Exsupero Ursus, таково: существует множество примеров неудачного применения количественных методов, и, следовательно, лучше воздержаться от их использования. Смысл в том, что такие события, как финансовый кризис 2008 года, взрыв на буровой платформе Deepwater Horizon в 2010 году и последовавший за ним разлив нефти в Мексиканском заливе, катастрофа на японской атомной электростанции «Фукусима» в 2011 году и прочие инциденты, свидетельствуют о несостоятельности количественных методов. У этого возражения несколько слабых мест, и они разобраны Хаббардом в книге The Failure of Risk Management: Why It’s Broken and How to Fix It, здесь мы приведем лишь парочку из них.

Во-первых, во всех случаях предполагается, что применялись настоящие количественные методы, а не профессиональное чутье, которое каким-то образом позволило бы предотвратить катастрофу. Для подобных утверждений нет никаких оснований, более того, имеются доказательства обратного. Например, смесь жадности и желания получить премию порождали некую систему, что сначала создавала, а затем скрывала риски инвестиций. В некоторых случаях (вроде кризиса в компании AIG), по сути, именно отсутствие актуарно обоснованного анализа со стороны регулирующих органов и аудиторов позволило таким системам разрастись.