Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Обратите внимание, что неинформативное априорное распределение вроде равномерного распределения использовать не обязательно. Если даже до изучения новых данных у вас есть основания полагать, что одни значения частот гораздо менее вероятны, чем другие, то можно так и указать. Можно формировать какие угодно априорные распределения, пробуя разные параметры α и β, пока не получится распределение, которое, по вашему мнению, соответствует априорной информации. Начните поиск априорных значений с α и β, равных 1, а затем, если вы считаете, что частота должна быть ближе к нулю, увеличьте β. Можете ориентироваться на среднее значение, которое должно быть α / (α + β). Увеличение параметра α, наоборот, сдвинет частоту возникновения события немного дальше от нуля. Чем больше сумма α + β, тем ýже будет диапазон. Проверить диапазон можно с помощью обратной функции вероятности для бета-распределения в Excel: значения =БЕТА.ОБР(0,05; альфа; бета) и =БЕТА.ОБР(0,95; альфа; бета) будут вашим 90 %-ным доверительным интервалом. Для обновления распределения на основе новой информации будет применяться все та же процедура – добавление попаданий к α и промахов к β.

Отказавшись от применения бета-распределения и опираясь на наблюдаемую частоту 1,67 %, мы могли серьезно недооценить риски для отрасли. Даже вытаскивая шарики из урны, в которой, как нам известно, ровно 1,67 % красных шариков (остальные зеленые), мы бы все равно ожидали, что при каждом вытаскивании соотношение будет разным. Если бы нужно было вытянуть 120 шариков и предполагалось, что доля красных шариков составляет 1,67 %, то согласно вычислениям вероятность вытаскивания более трех красных шариков составила бы всего 14 % (по формуле в Excel: 1-БИНОМРАСП(3;120;0,0167;1)). С другой стороны, если бы у нас просто был 90 %-ный ДИ, что от 0,7 до 5,1 % шариков – красные, то вероятность вытащить больше трех красных шариков превысила бы 33 %.

Если применить подобные рассуждения к рискам безопасности в отрасли или компании, то вероятность возникновения нескольких событий резко возрастает. Это может означать более высокую вероятность нескольких крупных нарушений кибербезопасности в отрасли в течение года или, если используются данные на уровне компании, – взлом нескольких из множества систем компании. По сути, это «разворачивает» кривую вероятности превышения потерь против часовой стрелки, как показано на рис. 9.4. Среднее значение остается тем же, а риск экстремальных убытков увеличивается. Это может означать, что рискоустойчивость превышена на правом конце кривой.

Рис. 9.4. Пример того, как бета-распределение изменяет вероятность экстремальных убытков

На наш взгляд, это может быть основным недостающим компонентом анализа рисков в области кибербезопасности.

Прошлые наблюдения стоит в действительности рассматривать только как пример возможного развития ситуации, и, следовательно, необходимо допускать вероятность, что раньше нам просто везло.

Чтобы изучить тему подробнее и выяснить, как можно использовать бета-распределение в модели замены «один на один», а также узнать, каким образом оно может влиять на кривую вероятности превышения потерь, скачайте с нашего сайта электронную таблицу к этой главе.

AllClear ID, ведущая компания в области защиты пользователей от нарушений кибербезопасности, применяет бета-распределение для оценки рисков кибербезопасности с помощью данных о нарушениях в отрасли. Компания предлагает три решения: AllClear Reserved Response™; услуги по взаимодействию с клиентами, которые включают в себя поддержку и оповещение; а также услуги по защите личных данных пользователей. Специалисты компании работают с инцидентами любого масштаба, в частности они занимались самыми крупными взломами из произошедших в последние годы.

Клиентам, пользующимся продуктом Reserved Response, гарантируется помощь при инциденте, что делает оценку риска критически важной для обеспечения надлежащего объема ресурсов в соответствии с требующимся обслуживанием. За помощью в оценке рисков крупного взлома не только для одного клиента, а для всей своей клиентской базы представители AllClear ID обратились в компанию Дага Хаббарда, Hubbard Decision Research (HDR), попросив смоделировать риски утечки данных во всех отраслях, которые они поддерживают, включая возможность того, что несколько крупных клиентов могут подвергнуться взломам в перекрывающиеся периоды времени. Получившаяся в итоге модель – один из многих инструментов, используемых AllClear ID при анализе оценок риска.