Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Компания HDR применила бета-распределение к данным об отраслевых взломах, взятым из отчета Verizon DBIR. В 2015 году было зарегистрировано 2435 случаев утечки данных, но, как объяснялось выше, сама по себе эта цифра не сообщала ежегодную частоту утечек для конкретного количества компаний. Применяя описанный ранее метод, специалисты HDR начали с перечня компаний, относящихся к отраслям, в которых оказывает поддержку AllClear ID. Затем его сравнили с отчетом Verizon DBIR, чтобы определить, у скольких из выбранных компаний случались утечки данных. В одной из отраслей в списке Fortune 500 находились 98 компаний. Несколько из них пострадали от нарушений кибербезопасности в течение двухлетнего периода с начала 2014 года и до конца 2015 года. Таким образом, 98 организаций и двухлетний период давали в общей сложности 196 единиц данных, среди которых были «попадания» и «промахи» (промахи – компании, не столкнувшиеся с нарушениями в течение года). Теперь стало возможным оценить вероятность нарушения кибербезопасности компаний заданной отрасли, входящих в список Fortune 500.

При моделировании методом Монте-Карло компания HDR использовала бета-распределение с α и β, что позволило получить 90 %-ный доверительный интервал для годового значения частоты наступления событий для каждого клиента. Если частота нарушений приближена к верхнему пределу, то вероятность наложения друг на друга нарушений кибербезопасности у нескольких клиентов значительно увеличивается. Созданная симуляция Монте-Карло показала как раз такую вероятность наложения друг на друга периодов пика нарушений кибербезопасности у нескольких клиентов, пользующихся решением Reserved Response. Эти сведения, помимо прочих, помогают компании AllClear ID планировать ресурсы, необходимые для удовлетворения потребностей клиентов, даже если нельзя точно узнать конкретное количество и сроки нарушений кибербезопасности.

В примерах главы 8 приведена условная вероятность только с одним условием. Однако часто даже в самых простых моделях требуется учитывать гораздо больше условий. Один из способов решения проблемы – создание «таблицы вероятностей узлов», как ее называют в байесовских методах. Эксперт получает все комбинации условий и должен выполнить калиброванную оценку вероятности определенного события. В табл. 9.1 показано, как могут выглядеть несколько строк такой таблицы.

Столбцы в табл. 9.1 являются лишь примером. Нам попадались варианты, где компании также учитывали тип операционной системы, было ли программное обеспечение разработано внутри компании, есть ли доступ у поставщиков, количество пользователей и т. д. Право определить идеальные параметры остается за вами, главное, чтобы они отвечали условиям понятности, наблюдаемости и полезности Рона Ховарда (полезность в этом случае означает, что данные заставят вас изменить свою оценку). Мы же сосредоточимся на том, как проводятся расчеты, независимо от выбираемых факторов риска.

Предположим, что условия (столбцы) в табл. 9.1 дополнили и их стало больше четырех. Наш предыдущий опыт моделирования в области кибербезопасности при работе с различными организациями подсказывает, что обычно бывает от 7 до 11 условий. Каждое из них может иметь как минимум два возможных значения (скажем, конфиденциальные данные или нет). Но у некоторых условий, как видно из примера, значений может быть три, четыре и более, что приводит к множеству комбинаций условий. Например, если есть семь условий, у трех из которых по два возможных значения, а у остальных – по три, то это уже 648 строк таблицы (2 × 2 × 2 × 3 × 3 × 3 × 3). На практике комбинаций оказывается гораздо больше, поскольку часто есть несколько условий с четырьмя или более вариантами значений. Модели, составленные для отдельных клиентов компании HDR, могли генерировать тысячи, а то и десятки тысяч возможных комбинаций.