Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен Страница 10
Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен читать онлайн бесплатно
Тем не менее номинальные и порядковые шкалы могут быть информативными, даже несмотря на их отличия от более традиционных шкал измерения, таких как килограммы или секунды. Геологам полезно знать, что одна горная порода тверже другой, но не обязательно знать насколько. Метод, применяемый ими для сравнения твердости минералов, называется «шкала твердости Мооса», и используемая в нем шкала является порядковой.
Таким образом, использование порядковых шкал, подобных тем, что часто встречаются в области кибербезопасности, строго говоря, не противоречит концепции измерений, а вот то, как это делается, к чему применяется и что происходит с этими значениями потом, действительно нарушает основные принципы и может вызвать массу проблем. Геологи не умножают значения по шкале твердости Мооса на цвет породы. И хотя значение по шкале твердости Мооса – четко определенное измерение, в порядковых шкалах в области кибербезопасности такой четкости часто нет.
Позже мы покажем, что измерения, основанные на четко определенных величинах, таких как ежегодная вероятность события и вероятностное распределение потенциальных потерь, предпочтительнее, чем порядковые шкалы, обычно используемые в сфере кибербезопасности. На самом деле, в науке и технике ничего не зависит от порядковых шкал. Даже шкалу твердости Мооса часто заменяют другой: вне геологии для оценки материалов в научных и инженерных задачах более подходящей считается шкала Виккерса, являющаяся шкалой отношений.
Всё это важные особенности концепции измерений, из которых могут извлечь полезные уроки как руководители в целом, так и специалисты по кибербезопасности в частности. В распространенном представлении об измерениях как о точных значениях игнорируется полезность простого уменьшения неопределенности, если ее устранение невозможно или экономически нецелесообразно. Да и не все измерения требуется сводить к количеству в традиционном понимании. Измерения применяются как к дискретным, номинальным аспектам, которые требуется прояснить, таким как «Произойдет ли у нас крупная утечка данных?», так и к непрерывным величинам, например «Во сколько нам обойдется утечка данных, если она произойдет?». В бизнесе лица, принимающие решения, делают свой выбор в условиях неопределенности. И если эта неопределенность касается важных, связанных с риском решений, то ее уменьшение имеет большую ценность. Именно поэтому мы будем использовать данное нами определение измерений.
Байесовские измерения: прагматическая концепция для принятия решений
…истинной логикой этого мира является исчисление вероятностей, занимающееся нахождением величин вероятностей, которые учитывает или должен учитывать любой здравомыслящий человек.
Джеймс Клерк Максвелл (1831–1879), британский физик, математик и механикКогда мы говорим об измерении как о «снижении неопределенности», то подразумеваем наличие некоторого предшествующего состояния неопределенности, которое необходимо уменьшить. А поскольку степень неопределенности может меняться в результате наблюдений, мы считаем неопределенность характеристикой наблюдателя и не обязательно присущей наблюдаемому объекту4. Когда проводится тест на проникновение в систему, с его помощью не меняется состояние приложения, скорее, изменяется степень нашей неопределенности о состоянии приложения.
Мы количественно оцениваем эту начальную неопределенность и изменение неопределенности после наблюдений с помощью вероятностей. Это означает, что термин «вероятность» используется для обозначения состояния неопределенности наблюдателя или так называемой степени убежденности. Если вы почти уверены, что данная система будет взломана, то можно сказать, что вероятность этого составляет 99 %. Если вы не уверены, то можно говорить о существовании 50 %-ной вероятности (как станет ясно из главы 7, субъективное оценивание вероятностей – навык, которому можно научиться).
Аналогичным образом, если вы не уверены в продолжительности отключения после атаки типа «отказ в обслуживании» («DoS-атака»), можно сказать, что вероятность того, что истинное значение находится в диапазоне от 10 минут до 2 часов, составляет 90 %. Имея больше информации, можно было бы сузить диапазон, но все равно присвоить вероятность 90 % тому, что истинное значение в него попадает.
Такой взгляд на вероятности называют субъективистской, или иногда байесовской, интерпретацией. Название происходит от имени Томаса Байеса, британского математика и пресвитерианского священника XVIII века, чей главный вклад в статистику был опубликован лишь после его смерти. Его простая формула, известная как теорема Байеса, описывает, каким образом новая информация может скорректировать априорные вероятности. Понятие «априорные» по большей части относится к исходному состоянию неопределенности, но также может относиться и к состоянию неопределенности в момент, предшествующий любым объективным и зафиксированным наблюдениям. Как минимум в последнем случае априорная вероятность часто оказывается субъективной.
Для принятия решений такое употребление слова «вероятность» наиболее подходящее. Это не просто информация, которую можно получить на основе других данных. Человек формулирует степень неопределенности, обозначая вероятность. Способность выразить априорное состояние неопределенности является важной отправной точкой во всех практических решениях. По сути, у вас обычно уже имеется априорная неопределенность, даже если вы не можете обозначить конкретные вероятности. Указание априорной неопределенности еще и позволяет вычислить ценность дополнительной информации, поскольку ее ценность, естественно, хотя бы частично зависит от состояния неопределенности до сбора информации. Этим и занимается байесовский подход, значительно упрощая некоторые проблемы и позволяя получить больше пользы от ограниченной информации.
Специалисты по кибербезопасности должны понимать обозначенные выше особенности. Те, кто считает вероятность лишь результатом вычислений данных, а не отражением личной неопределенности, возможно, сами того не осознавая, придерживаются некоторой заданной интерпретации вероятности. Они выбирают «фриквентистскую» интерпретацию, и хотя им она может казаться объективной и научной, многие великие статистики, математики и ученые с ними не согласятся (в книге «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе» содержится подробное описание различий).
Поэтому, когда кто-то из специалистов по кибербезопасности говорит, что им не хватает данных для определения вероятности, это звучит крайне иронично. Мы используем вероятность потому, что у нас нет полной информации, а не вопреки этому. Лучше всего данная позиция была сформулирована общепризнанным основоположником области анализа решений, профессором Роном Ховардом из Стэнфордского университета. Во время подкаста с интервью журналу Harvard Business Review корреспондент спросил Ховарда, как решить проблему анализа «когда вероятность
Жалоба
Напишите нам, и мы в срочном порядке примем меры.