Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

• Когда неопределенность в основном связана с какой-то одной из полученных при разложении переменных, отношение верхнего и нижнего пределов этой переменной должно быть меньше, чем у исходного диапазона. Например, пусть, по первоначальной оценке, стоимость отключения системы составляет от 1 до 5 млн долл. Если главным источником неопределенности для стоимости является продолжительность отключения, то соотношение верхнего и нижнего пределов ожидаемого времени простоя должно быть меньше соотношения верхнего и нижнего пределов первоначальной оценки (5 к 1). В ином случае от разложения не будет особого толка, и если есть основания доверять изначальному диапазону, то лучше использовать его. С другой стороны, это может означать и то, что изначальный диапазон был слишком узким, и тогда стоит присмотреться к результатам разложения.

• В некоторых случаях перемножаемые переменные связаны между собой таким образом, что от разложения не будет пользы, если только не задать модель этой взаимосвязи. Например, пусть нужно умножить A на B, чтобы получить C, при этом, когда значение A велико, значение B мало, а при большом значении B значение A маленькое. При оценке отдельных независимых диапазонов для A и B диапазон получившейся величины C может оказаться сильно завышенным. Так может произойти в случае с продолжительностью отключения системы и стоимостью часа простоя. А именно, чем важнее система, тем активнее будет вестись работа по ее возвращению в строй. Раскладывая событие на подобные составляющие, следует также моделировать их обратную зависимость. Или можно просто указать один общий диапазон воздействия, вместо того чтобы его раскладывать.

• Если у вас достаточно эмпирических данных для оценки распределения, то дальнейшее разложение на составляющие, вероятно, не принесет особой пользы.

В ходе опроса, упомянутого в главе 5, некоторые специалисты по кибербезопасности (14 %) согласились с утверждением «невозможно рассчитать диапазон нематериальных последствий крупных рисков, таких как ущерб репутации». Несмотря на то что большинство не согласны с этим утверждением и на тему ведется немало дискуссий, нам редко доводилось наблюдать попытки смоделировать данный риск в сфере кибербезопасности. Обычно его приводят в качестве примера проблемы, которую очень сложно измерить. Поэтому мы хотим более подробно остановиться на этом конкретном виде убытков и показать, как с помощью эффективного разложения на составляющие можно решить даже такую, казалось бы, нематериальную проблему. В конце концов, считается, что репутация – это категория убытков, к которой специалисты в сфере кибербезопасности обращаются, когда хотят посеять как можно больше страха, неуверенности и сомнений. Ее потеря считается невосполнимой. Но повторим вопрос, заданный в главе 2 применительно к объекту измерения, а также ранее в этой главе применительно к критерию наблюдаемости Ховарда: «Что мы видим, когда сталкиваемся с потерей репутации?»

Многие сразу же скажут, что наблюдаемым количеством станет долгосрочная потеря продаж, а затем, возможно, добавят, что также упадут цены на акции. Конечно, эти два фактора взаимосвязаны. Если бы инвесторы (особенно институциональные, рассчитывающие влияние продаж на оценку рыночной стоимости) посчитали, что продажи сократятся, то цены на акции упали бы уже по этой одной причине. Таким образом, если бы наблюдались изменения в продажах или ценах на акции сразу после крупных событий, связанных с кибербезопасностью, это позволило бы выявить эффект ущерба репутации или по крайней мере эффекты, влияющие на принятие решений.

Логично предположить, что существует связь между крупной утечкой данных и потерей репутации, приводящей к изменениям объема продаж, цен на акции или обоих показателей. В статьях вроде «Target заявляет: взлом нанес ущерб продажам и имиджу. Совокупный ущерб еще не ясен» (Target Says Data Breach Hurt Sales, Image; Final Toll Isn’t Clear)⁵ выдвигаются предположения о наличии прямой связи между утечкой данных и репутацией. В сентябре 2014 года в журнале Forbes вышла статья аналитического агентства Trefis с Уолл-стрит, в которой отмечалось падение акций компании Target на 14 % в течение двух месяцев после взлома, и подразумевалось, что эти два события связаны⁶. В статье Trefis ссылается на Poneman Institute (ведущий исследовательский центр в сфере кибербезопасности, опирающийся в основном на данные опросов), согласно прогнозу которого ожидался 6 %-ный отток покупателей после крупной утечки данных. Исходя из этой информации, кажется очевидным, что крупная утечка данных ведет к значительному снижению продаж и рыночной стоимости акций.