Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия".
Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся кратким описанием "анатомии" атаки и небольшим исследованием ее последствий.
Возможно ли было заранее "просчитать" этот риск и получить цифру "694 млн. долларов"?
Сторонники количественных оценок, для расчета Риска рекомендуют различные формулы и подходы, которые опираются на "классику":
Риск = Вероятность * Воздействие
В этот раз, сознательно, не буду даже пытаться определить Вероятность инцидента, более того, готов принять ее за «единицу» (мы то знаем, что это случится :-)), здесь мне интересно проанализировать возможность определения величины Воздействия.
То, что инциденты ИБ будут влиять на стоимость акций - очевидно. Даже очевиден характер такого влияния - акции будут падать в цене, да, но это рассуждения в сторону качественной оценки, а нас Бизнес ведь интересует оценка количественная.
На самом-то деле, проблем для такой оценки никаких нет, для этого нужно знать ответ на три простых вопроса:
1. Когда (дата) произойдет инцидент?
2. Какая будет стоимость акций компании на указанную дату?
3. Как отреагирует "биржа" на сообщение о инциденте? (т. е. на сколько "упадут" акции в цене: на 1%, или на 10%, а может на 5%).
Неужели кто-то не смог определить, что данное безобразие инцидент будет оценен падением на 1.25% в тот момент когда капитализация компании достигнет 55.55 млрд?
