Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

В каждой строке модели, показанной в главе 3 (см. табл. 3.2), было только два вида данных: вероятность возникновения события и диапазон убытков. И то и другое подходит для разложения. К примеру, в случае наступления события можно оценить вероятность для событий подобного типа (была ли это утечка конфиденциальных данных, отказ в обслуживании и т. д.). Эта информация позволит дополнительно уточнить вероятность. Воздействие также возможно разделить на несколько видов затрат: судебные издержки, расходы на расследование нарушений, время простоя и т. д. Каждую из этих затрат можно вычислить на основе других входных данных, простых и менее абстрактных, чем некий совокупный итог воздействия.

Теперь рассмотрим подробнее, как использовать дальнейшее разложение на составляющие для повышения значимости данных.

Простая стратегия разложения воздействия, знакомая многим специалистам по кибербезопасности, – это разложение на конфиденциальность, целостность и доступность. Как вам, вероятно, известно, под нарушением конфиденциальности подразумевается неправомерное раскрытие информации. Сюда можно отнести утечку миллионов записей или кражу корпоративных секретов и интеллектуальной собственности. Нарушение целостности означает изменение данных или поведения системы, которое может привести к несанкционированным финансовым операциям, повреждению оборудования, неверной логистике и т. д. Наконец, нарушение доступности трактуется как определенное отключение системы, приводящее к снижению производительности, продаж или другим затратам, связанным с вмешательством в бизнес-процессы. Мы не настаиваем на применении данного подхода всеми, но многие аналитики в области кибербезопасности находят такое разложение полезным при осмыслении проблемы.

Давайте еще упростим процесс по примеру одной компании, объединившей конфиденциальность и целостность. Считается, что убытки вследствие нарушения доступности встречаются чаще по сравнению с двумя другими категориями, а поэтому при ее оценке можно задействовать иную уже известную информацию о системе, например типы бизнес-процессов, которые поддерживает система, количество пользователей, влияние на производительность, возможное влияние на продажи в период недоступности системы и т. д. В табл. 6.1 показан вариант подобного небольшого разложения на примере электронной таблицы для модели замены «один на один» из главы 3. Для экономии места здесь отброшены столбцы справа с агрегированием данных. Полный вариант таблицы вместе с оригинальной моделью, описанной в главе 3, как обычно, можно найти на сайте www.howtomeasureanything.com/cybersecurity.

Обратите внимание, что начали мы с разложения события на составляющие, определив прежде всего его тип. Была задана вероятность, что событие связано только с конфиденциальностью и целостностью (КонфЦел), и вероятность, что оно касается только доступности (Дост). Вероятность того, что это могут быть оба типа, равна 1 – КонфЦел – Дост. Смоделировать определение типа события (поскольку уже установлено, что событие произошло, то не может быть результата, когда не указан ни один из типов) можно, например, применив в Excel следующую формулу:

Убытки от нарушения конфиденциальности или целостности будут добавлены при получении значения функции, равного 1 (произошло событие нарушения конфиденциальности и целостности) или 3 (произошло событие нарушения как конфиденциальности с целостностью, так и доступности). Та же логика применяется к нарушению доступности, которое возникает, если результат равен 2 или 3. Кроме того, можно было бы просто оценить вероятность наступления событий по отдельности, а не определять сначала наличие события, а затем его тип. Для этого существует намного больше способов, и поэтому для оценки следует выбирать вариант разложения, который кажется вам наиболее удобным и реалистичным.

Убытки, возникшие вследствие нарушения доступности, рассчитываются путем умножения продолжительности отключения системы в часах на стоимость одного часа простоя. Как и в более простой модели в главе 3, генерируются тысячи значений для каждой строки. В каждом произвольном тесте случайным образом определяется тип события и его стоимость. Весь список затрат, вызванных событиями, суммируется для каждого из тысяч тестов, а затем строится кривая вероятности превышения потерь, как показано в главе 3. Как и раньше, у каждой строки может быть предлагаемое средство контроля, способное снизить вероятность и, возможно, воздействие события (это снижение также может быть выбрано случайным образом из заданных диапазонов).