Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

им следует хотя бы начать процесс признания неадекватности методов, которые в настоящее время считаются «соответствующими требованиям», и поощрять более эффективные методы.

7. Поставщики, консультанты и страховые компании должны ухватиться за коммерческие возможности, связанные с методами, описанными в этой книге. Опрос, упомянутый в главе 5, показал высокий уровень принятия количественных методов среди специалистов по кибербезопасности. Растет количество доказательств неэффективности ряда наиболее популярных методов и эффективности строгих научно обоснованных методов. Те, кто первыми станут продвигать методы, способные показать измеримые улучшения, получат преимущество. Страховые компании уже начинают понимать, что научно обоснованные методы – верное решение. Применение таких методов клиентами страховых компаний и качество их применения должны в итоге стать частью процесса страхования.

Удастся ли избежать «Большого взлома»?

«Большой взлом», который упоминался в главе 1, представляет собой масштабную кибератаку, затрагивающую несколько крупных организаций. В том числе следствием может стать сбой в работе основных служб, например оказывающих коммунальные услуги и услуги связи. Это в сочетании со значительным снижением доверия к онлайн-транзакциям и операциям по платежным картам может оказать на экономику гораздо большее влияние, чем затраты отдельной крупной компании – даже крупнейшей из пострадавших на сегодняшний день.

Характер атаки на компанию Target – один из показателей природы риска. Она была атакована таким образом, что раскрыла угрозу, общую для многих предприятий: компании и их поставщики связаны друг с другом, и многие из них соединены в сети со множеством прочих компаний. Так или иначе с ними связаны даже правительственные учреждения. Все организации разделены всего одним или двумя уровнями связи. Если поставщик услуг может обнажить уязвимость компании и если у этого поставщика много клиентов, а у этих клиентов много поставщиков, то получается своего рода общий сетевой риск, который хотя еще и не эксплуатировался, но вполне возможен.

Анализ рисков, связанных с подобной ситуацией, слишком сложен, чтобы его можно было выполнить с помощью существующих популярных методов или в голове любого из ведущих экспертов. Правильный анализ потребует создания реальных количественных моделей для расчета воздействия всех связей. Организации с ограниченными ресурсами (а они, конечно же, ограничены у всех) должны будут применять рациональные научно обоснованные методы, решая, каким образом снижать такие риски. Начав соглашаться с этим, мы сможем повысить шансы на то, что удастся избежать «Большого взлома» или, по крайней мере, восстановиться после него с меньшими затратами.

Приложения

Приложение А. Избранные распределения вероятности

Треугольное распределение

Рис. А.1. Треугольное распределение

Параметры:

• ВП (верхний предел);

• НП (нижний предел);

• мода – это может быть любое значение между ВП и НП.

Обратите внимание, что ВП и НП – это абсолютные внешние пределы 100 %-ного ДИ.

В треугольном распределении ВП и НП представляют собой абсолютные пределы, т. е. сгенерированное значение не может оказаться вне их границ. Помимо ВП и НП, у распределения также есть мода, которая может принимать любое значение между ВП и НП. Данное распределение иногда полезно использовать как замену логнормального распределения, скажем, когда нужно задать абсолютные ограничения для возможных значений, но при этом чтобы результат вычислений был близок к логнормальному. Треугольное распределение удобно в любой ситуации, когда вам известны абсолютные пределы, но наиболее вероятное значение может находиться не посередине, как в нормальном распределении.

• Ситуация применения: когда нужен контроль над тем, где находится наиболее вероятное значение относительно диапазона, и когда диапазон имеет абсолютные пределы.

• Примеры: количество потерянных записей, если вы считаете, что наиболее вероятное число находится вблизи верхнего предела диапазона, но общее количество записей ограничено, а значит, этот предел невозможно превысить.

• Формула Excel: = ЕСЛИ(СЛЧИС()<=Мода;1;0)*((Мода-НП)^2)/((ВП-НП)*(Мода-НП)) +ЕСЛИ(СЛЧИС()>Мода;1;0)*(1-((ВП-Мода)^2)/((ВП-НП)*(ВП-Мода))).

• Среднее значение: = (НП+Мода+ВП)/3.

Бинарное распределение

Рис. А.2. Бинарное распределение

Параметры:

• P (вероятность события).

Обратите внимание, что P находится в диапазоне от 0 до 1. Она показывает, как часто симуляция случайным образом выдает событие.

В отличие от других упомянутых здесь распределений дискретное бинарное распределение (также известное как распределение Бернулли) генерирует только два возможных исхода: успех или неудача. Вероятность успеха равна p, а вероятность неудачи – q = (1 – p). Например, если успех означает, что при броске монеты выпадет орел, то вероятность успеха составляет p = 0,5, а вероятность неудачи – q = (1–0,5) = 0,5.

• Ситуация применения: используется в ситуациях «или/или», т. е. событие или происходит, или нет.

• Пример: возникновение утечки данных за определенный период времени.

• Формула Excel: = ЕСЛИ(СЛЧИС() < P;1;0).

• Среднее значение: = P.

Нормальное распределение

Рис. А.3. Нормальное распределение

Параметры:

• ВП (верхний предел);

• НП (нижний предел).

Обратите внимание, что НП и ВП в приведенной ниже формуле Excel представляют собой 90 %-ный ДИ. Существует вероятность 5 %, что значение окажется выше ВП, и вероятность 5 %, что значение окажется ниже НП.

Нормальное (или гауссово) распределение представляет собой колоколообразную кривую, которая симметрично распределена относительно среднего значения.

1. Это распределение соответствует многим природным явлениям, но в некоторых случаях его применения оно будет недооценивать вероятность экстремальных событий.

2. Эмпирическое правило: почти все точки данных (99,7 %) будут лежать в пределах трех стандартных отклонений от среднего значения.

• Ситуация применения: когда существует равная вероятность наблюдения результата выше или ниже среднего значения.

• Примеры: результаты тестирования, время в пути.

• Формула Excel: = НОРМ.ОБР(СЛЧИС();(ВП+НП)/2;(ВП-НП)/3,29).