Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

• Понятность. Можете ли вы объяснить, что подразумеваете под «уровнем мастерства»? Точно ли это однозначная единица измерения или хотя бы четко определенное дискретное состояние? Действительно ли как-то поможет фраза «мы определяем „средний“ уровень угрозы как работу специалиста, более квалифицированного, чем любитель, но менее квалифицированного, чем сотрудник хорошо финансируемой государственной организации»?

• Наблюдаемость. Как вообще это обнаружить? Какие у вас основания заявлять, что уровень мастерства исполнения одних угроз выше или ниже, чем других?

• Полезность. Даже если вы получите однозначное определение уровня мастерства и сумеете его каким-то образом увидеть, как эта информация должна повлиять на действия вашей компании?

Мы не утверждаем, что оценка уровня мастерства злоумышленника – плохой элемент стратегии разложения риска. Возможно, вы однозначно определите уровень мастерства, выявив типы применяемых методов. И можете отслеживать частоту таких атак, а также имеете доступ к информации об угрозах, где сообщается о случаях новых атак, с которыми вы еще не сталкивались. А проведение этой оценки заставит вас пересмотреть вероятность взлома конкретной системы, что, в свою очередь, позволит понять, какие средства контроля следует внедрить или даже каков будет общий бюджет на кибербезопасность. В таком случае все три условия будут выполнены. Но если это не так, а подобное, похоже, бывает очень часто, оценки уровня мастерства являются чистой спекуляцией и не привносят никакой ценности в процесс принятия решений.

Только что разобранный пример с уровнем мастерства злоумышленника как угрозы в зависимости от ситуации может служить хорошим или плохим примером разложения на составляющие. Если разложение соответствует критериям Ховарда и действительно снижает неопределенность, его можно назвать информативным. В ином случае разложение является неинформативным, и лучше придерживаться более простой модели.

Представьте, что перед вами стоит человек с ящиком в руках и просит вас оценить с 90 %-ным ДИ вес ящика только по виду. Размер ящика – примерно 60 см в длину и 30 см в высоту и ширину. Человек не похож на профессионального тяжелоатлета, поэтому ящик явно весит меньше, скажем, 160 кг. Вы также замечаете, что человек немного отклонился назад, чтобы сбалансировать свой вес, и переминается с ноги на ногу, как будто ему неудобно стоять. В итоге вы называете 90 %-ный ДИ от 9 до 45 кг. Диапазон кажется большим, поэтому вы решаете разложить задачу на составляющие, оценив количество предметов в ящике и вес каждого предмета. Или, возможно, в ящике лежат предметы нескольких категорий, поэтому вы оцениваете количество категорий предметов, число предметов каждой категории и вес каждого предмета в данной категории. Повысится ли качество оценки? В действительности оно вполне может понизиться. Вы разложили проблему на множество чисто теоретических вопросов, ответы на которые затем попробуете использовать для математических расчетов. Это пример неинформативного разложения.

Разница между ним и информативным разложением заключается в том, описывается ли проблема с помощью количественных величин, о которых вы более осведомлены, чем о самой исходной проблеме. Информативное разложение – это разложение, использующее конкретные знания эксперта по кибербезопасности о его сфере деятельности. Например, у эксперта могут быть подробные сведения о типах систем в организации и типах записей, хранящихся в них. Он может располагать информацией о внутренних бизнес-процессах, чтобы, скажем, оценить воздействие атак типа «отказ в обслуживании», или способен такую информацию получить. А также ему известно, какие виды средств контроля уже имеются. Разложение на составляющие рисков кибербезопасности с учетом подобных конкретных сведений, скорее всего, окажется целесообразным.

Однако предположим, что эксперт по кибербезопасности попытается построить модель, где требуется оценить численность и уровень мастерства спонсируемых государством кибервзломщиков или даже хакерской группировки Anonymous (о которой, как следует из названия, очень сложно узнать что-то определенное). Приведет ли результат действительно к снижению неопределенности по сравнению с изначальным ее уровнем?

Компоненты разложения должны выглядеть для эксперта менее абстрактными, чем общая их сумма. Если воздействие в долларах раскладывается на такие факторы, как уровень мастерства злоумышленника, значит, неопределенность относительно этих нововведенных факторов должна быть ниже, чем в отношении первоначальной прямой оценки денежных потерь.