вівторок, 12 квітня 2011 р.

RA: В поисках "цифры"

Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия".

Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся  кратким описанием "анатомии" атаки и небольшим исследованием ее последствий.

Возможно ли было заранее "просчитать" этот риск и получить цифру "694 млн. долларов"?

Сторонники количественных оценок, для расчета Риска рекомендуют различные формулы и подходы, которые опираются на "классику":

Риск = Вероятность * Воздействие

В этот раз, сознательно, не буду даже пытаться определить Вероятность инцидента, более того, готов принять ее за «единицу» (мы то знаем, что это случится :-)), здесь мне интересно проанализировать возможность определения  величины Воздействия.

То, что инциденты ИБ будут влиять на стоимость акций - очевидно. Даже очевиден характер такого влияния - акции будут падать в цене, да, но это рассуждения в сторону качественной оценки, а нас Бизнес ведь интересует оценка количественная.

На самом-то деле, проблем для такой оценки никаких нет, для этого нужно знать ответ на три простых вопроса:
1.       Когда (дата) произойдет инцидент?
2.       Какая будет стоимость акций компании на указанную дату?
3.       Как отреагирует "биржа"  на сообщение о инциденте?  (т. е. на сколько "упадут" акции в цене: на 1%, или на 10%, а может на 5%).


Неужели кто-то не смог определить, что данное безобразие инцидент будет оценен падением на 1.25% в тот момент когда капитализация компании достигнет 55.55 млрд?

6 коментарів:

  1. С одной стороны, не согласен. Расчет потерь в виде уменьшения спекулятивной стоимости ОАО в результате падения акций по причине (предположительно) инцидента безопасности... на этом мысль останавливается. Не уверен, что бизнес воспринял бы такую условную оценку риска, даже если бы она была количественной.

    С другой стороны, в чем-то согласен: бизнесу нужны цифры. Что будет переведено в цифры, бизнесу зачастую не очень важно. Например, диалог ИБ и Бизнеса по результатам оценки рисков:
    - Разглашение алгоритма сидирования значений, возвращаемых токенами, из их серийных номеров, вызовет СЕРЬЕЗНОЕ воздействие.
    - Насколько серьезное?
    - ОЧЕНЬ серьезное.
    - Очень это сколько?
    - А сколько мы запланировали от продажи токенов в будущие пять лет?
    - Полтора миллиарда.
    - Значит ОЧЕНЬ это полтора миллиарда.

    Где-то так.

    ВідповістиВидалити
  2. Владимир,
    Цель поста – на конкретном примере продемонстрировать невозможность проведения количественной оценки риска. Я не преследовал цель ранжирования рисков и, как следствие, анализа возможных сценариев принятия решения.

    Обстоятельства, при которых произошло изменение стоимости акций, делают вполне обоснованым решение принять данное изменение в качестве метрики для оценки репутационного риска (по одному из направлений).

    Вообще-то «спекулятивные операции» просто так не происходят, но если Вы ставится под сомнение, что причиной изменения стоимости был инцидент ИБ, то это в очередной раз доказывает абсурдность «количественной оценки риска». Если же мы наблюдаем влияние инцидента, то тогда у нас в руках «метрика»…

    Я же предпринял попытку узнать, существовала ли возможность вычисления реальной величины потерь априори: на этапе ISRA. Я не нашел такой возможности. Где я ошибся?

    ВідповістиВидалити
  3. Владимир, я не буду ввязываться в спор, пока Вы не ответите на следующий вопрос:

    > Цель поста – на конкретном примере продемонстрировать невозможность проведения количественной оценки риска.
    Вы действительно считаете, что один (десять, сто) пример может что-то доказать?

    ВідповістиВидалити
  4. Для меня это не пример «открывший глаза», а попытка аргументировано проиллюстрировать свое отношение к вопросу.

    Года четыре назад, я не видел подвоха в вопросах Quantaty ISRA. Сегодня у меня иное мнение, но при этом я хочу подчеркнуть, что я не являюсь противником риск-ориентированного подхода.

    ЗЫ: учитавая Ваш коммент в «группе», боюсь, что спор у нас не получится. А жаль ;-))

    ВідповістиВидалити
  5. Я знаю 7 способов оценки вероятности риска. И примерно столько же способов оценки размера ущерба. И считаю, что они вполне адекватно позволяют оценивать риски количественно. Главное уметь.

    На одном примере доказывать, что количественная оценка не работает, не совсем корректно.

    Никто никогда не требует точной цифры (и бизнес в том числе) - достаточно понимать диапазон с определенной веростностью. Если я буду знать, что ущерб может составить 400-700 миллионов долларов с вероятностьюю 85%, то мне это достаточно, чтобы представлять последствия и принимать решения по управлению ими.

    ВідповістиВидалити
  6. Алексей,
    А могли бы Вы назвать один-два, на Ваш взгляд, самых хороших способа определения вероятности?

    Если мы смогли дать качественную оценку (L, M, H), то поставить им в соответствие «деньги» - не проблема, но можно ли утверждать, что мы превратили «качественную» оценку в «количественную»? В чем разница между «качественной» и «количественной» оценкой?

    Я согласен, что на одном примере, что-либо доказывать не корректно, но с другой стороны любое количество примеров может быть подвергнуто критике. В данном, случае пример нашел себя сам и породил запись в блоге. Мне показался он интересным, здесь и реальные события, и реальные цифры.

    А много ли известно примеров, когда риски ИБ были просчитаны правильно? Ведь это невозможно проверить.

    Я не являюсь противником ISRA. Более того, его надо проводить искать и находить «цифры», но, что означают эти «цифры»?

    ЗЫ: Вероятность «орла» 50%. У нас выпала «решка», что выпадет после следующего броска?

    ВідповістиВидалити