Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Аналитик: Конечно. Вот почему мы называем это девяностопроцентным доверительным интервалом. Мы допускаем пятипроцентную вероятность, что длительность окажется ниже нижнего предела, и пятипроцентную вероятность, что она будет выше верхнего предела. При моделировании мы получим значения меньше тридцати минут или более двадцати четырех часов в общей сложности один раз из десяти. В зависимости от выбранного распределения в редких случаях можно получить длительность в несколько дней.

Эксперт по безопасности: Тогда, пожалуй, все верно.

Это типичный разговор в ситуации с рядом величин с высокой неопределенностью. Сначала эксперты наотрез отказываются называть диапазон: кто-то, возможно, из-за расхожего мнения, что в бизнесе отсутствие точных показателей – то же самое, что и отсутствие какой-либо информации вообще; а кто-то, быть может, из-за нежелания стать «ответственным за число». Но отсутствие точного числа не означает, что вы ничего не знаете. Эксперту по безопасности было известно, что для большинства сбоев варианты, когда проблема устраняется менее чем за 30 минут или же решается дольше недели, определенно не соответствуют действительности. По крайней мере, он знал, что такие крайности случаются редко. Безусловно, у него не было конкретных величин, но неопределенность не была безграничной.

Данный пример – одна из причин, почему нам не нравится использовать в анализе слово «предположение». Предположение – это утверждение, которое считается истинным для текущих целей, независимо от того, является ли таковым на самом деле. Предположения необходимы, если требуется применять методы учета, требующие конкретные точки в качестве значений. Вы никогда не знаете конкретную точку с уверенностью, поэтому любое такое значение будет предположительным. Но когда есть возможность смоделировать неопределенность с диапазонами и вероятностями, не обязательно утверждать то, чего вы не знаете наверняка. Если вы не уверены, диапазоны и присвоенные вероятности должны это отражать. Если вы понятия не имеете, является ли узкий диапазон правильным, просто расширяйте его, до тех пор пока он не станет отражать известную вам информацию.

Легко потеряться в том, как много неизвестно о проблеме, и забыть, что кое-что вы все же знаете. Вам буквально никогда не доведется измерять явление, единственными границами которого будут отрицательная и положительная бесконечности.

Приведенный диалог также является примером теста на абсурдность в подходе с обратным якорным эффектом, о котором говорилось выше. Мы применяем его всякий раз, когда слышим фразу «Откуда я могу это знать?!» или «Вот мой диапазон, но это лишь догадка». Неважно, как мало, по мнению экспертов, у них сведений о величине, – всегда найдутся значения, в абсурдности которых они уверены. А точка, где значение из абсурдного начнет превращаться в маловероятное, но в некоторой степени правдоподобное, как уже отмечалось, станет пределом их неуверенности в величине. В качестве заключительного теста мы даем равноценную ставку, чтобы посмотреть, будет ли полученный в результате диапазон на самом деле 90 %-ным ДИ.

Скорее всего, в процессе внедрения количественных методов, в какой-то мере опирающихся на субъективную оценку вероятностей, вы столкнетесь и с другими концептуальными возражениями. Как показал приведенный в главе 5 опрос, некоторые эксперты в сфере безопасности весьма любопытно распределяют вероятности. Еще один пример – описанный Хаббардом случай, когда эксперт ответил, что вероятность наступления каждого события составляет 100 %. Коллеги эксперта спорили с ним, считая такую позицию явно абсурдной. Но он возразил, что должен вести себя так, как будто каждое из событий произойдет. Сидящие рядом коллеги заметили, что в таком случае вероятности наступления всех событий считались бы одинаковыми, а поскольку ресурсы ограничены, то пришлось бы распределять их произвольно. Похоже, эксперт перепутал понятия вероятности и рискоустойчивости, а заодно и способы взаимодействия с ними.