Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Выразить неопределенность относительно непрерывных величин можно через представление их в виде диапазона вероятных значений. Как отмечалось в главе 3, диапазон, с определенной вероятностью содержащий правильный ответ, называется в статистике доверительным интервалом[7]. 90 %-ный ДИ – диапазон, который с вероятностью 90 % может содержать правильный ответ (существует некоторая полемика по поводу использования термина и субъективных вероятностей в целом, о чем мы поговорим далее в этой главе). Напомним, что в главе 3 нам нужен был диапазон для обозначения неопределенности убытков в результате взлома или других нарушений кибербезопасности. Эти значения можно рассчитать с помощью всевозможных сложных методов статистического анализа или же задать, основываясь лишь на собственном опыте. В любом случае значения отражают вашу неуверенность в отношении данной величины.

Кроме того, вероятности позволяют описать неопределенность в отношении конкретного будущего события, например будет ли украдена информация о платежных картах клиентов, персональные медицинские или иные данные в результате взлома какой-либо системы. Скажем, можно предположить, что в ближайшие 12 месяцев существует 2 %-ная вероятность утечки данных, достаточно крупной, чтобы потребовалось публичное объявление (обратите внимание, что при определении вероятностей будущих событий всегда следует указывать период времени, иначе вероятность теряет смысл).

А если событие не произойдет, как узнать, была ли вероятность «верной»? Очевидно, что при вероятности намного меньше 50 % вряд ли кто-то всерьез ожидает наступления события. Однако единичное событие в любом случае не определяет, была ли заявленная вероятность верной или нет, а поэтому имеет смысл рассматривать ряд точек данных. Мы можем спросить: «Из большого числа событий, которым присвоили 5 %-ную вероятность наступления в течение года, действительно произошли около 5 %?» Аналогичным образом, если мы считали, что вероятность события составляет 20 или 1 % в тот же период времени, происходили ли события в 20 или 1 % случаев соответственно?

К сожалению, как вы можете помнить из главы 4, обширные исследования показали, что очень немногие люди от природы являются калиброванными оценщиками. В психологии принятия решений калиброванные оценки вероятности изучались с 1970-х и 1980-х годов вплоть до самого недавнего времени. Как уже отмечалось, ведущими исследователями в этой области стали Даниэль Канеман и его коллега Амос Тверски². Психология принятия решений изучает, как люди на самом деле принимают решения, какими бы иррациональными они ни были. Этим она отличается от многих методов науки управления или количественного анализа, которым обучают в бизнес-школах и которые направлены на выработку «оптимальных» решений для конкретных, четко определенных проблем. Согласно исследованию Канемана и Тверски, почти все подвержены либо «чрезмерной уверенности», либо «недостаточной уверенности» в своих оценках. Хотя подавляющее большинство людей все же склонны к чрезмерной уверенности (см. вставку «Две крайности субъективной уверенности»). Определение шансов наступления неопределенных событий или диапазонов для неопределенных величин – навык, который не возникает автоматически на основе опыта и интуиции.

К счастью, работы других исследователей показывают, что можно добиться более точных оценок, если научиться справляться с собственной необъективностью в оценке³. Выявлено, что составители прогнозов и букмекеры в целом точнее оценивали шансы наступления событий, чем, скажем, руководители. Кроме того, сделано несколько тревожных открытий о том, насколько неточны врачи в прогнозировании неизвестных вещей, например вероятности того, что опухоль окажется злокачественной или что боль в груди – сердечный приступ. Было выдвинуто предположение, что раз существует такая разница между различными профессиями, значит, оценивать шансы наступления неопределенных событий можно научиться.