Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия".
Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся кратким описанием "анатомии" атаки и небольшим исследованием ее последствий.
Возможно ли было заранее "просчитать" этот риск и получить цифру "694 млн. долларов"?
Сторонники количественных оценок, для расчета Риска рекомендуют различные формулы и подходы, которые опираются на "классику":
Риск = Вероятность * Воздействие
В этот раз, сознательно, не буду даже пытаться определить Вероятность инцидента, более того, готов принять ее за «единицу» (мы то знаем, что это случится :-)), здесь мне интересно проанализировать возможность определения величины Воздействия.
То, что инциденты ИБ будут влиять на стоимость акций - очевидно. Даже очевиден характер такого влияния - акции будут падать в цене, да, но это рассуждения в сторону качественной оценки, а нас Бизнес ведь интересует оценка количественная.
На самом-то деле, проблем для такой оценки никаких нет, для этого нужно знать ответ на три простых вопроса:
1. Когда (дата) произойдет инцидент?
2. Какая будет стоимость акций компании на указанную дату?
3. Как отреагирует "биржа" на сообщение о инциденте? (т. е. на сколько "упадут" акции в цене: на 1%, или на 10%, а может на 5%).
Неужели кто-то не смог определить, что данное безобразие инцидент будет оценен падением на 1.25% в тот момент когда капитализация компании достигнет 55.55 млрд?
С одной стороны, не согласен. Расчет потерь в виде уменьшения спекулятивной стоимости ОАО в результате падения акций по причине (предположительно) инцидента безопасности... на этом мысль останавливается. Не уверен, что бизнес воспринял бы такую условную оценку риска, даже если бы она была количественной.
ВідповістиВидалитиС другой стороны, в чем-то согласен: бизнесу нужны цифры. Что будет переведено в цифры, бизнесу зачастую не очень важно. Например, диалог ИБ и Бизнеса по результатам оценки рисков:
- Разглашение алгоритма сидирования значений, возвращаемых токенами, из их серийных номеров, вызовет СЕРЬЕЗНОЕ воздействие.
- Насколько серьезное?
- ОЧЕНЬ серьезное.
- Очень это сколько?
- А сколько мы запланировали от продажи токенов в будущие пять лет?
- Полтора миллиарда.
- Значит ОЧЕНЬ это полтора миллиарда.
Где-то так.
Владимир,
ВідповістиВидалитиЦель поста – на конкретном примере продемонстрировать невозможность проведения количественной оценки риска. Я не преследовал цель ранжирования рисков и, как следствие, анализа возможных сценариев принятия решения.
Обстоятельства, при которых произошло изменение стоимости акций, делают вполне обоснованым решение принять данное изменение в качестве метрики для оценки репутационного риска (по одному из направлений).
Вообще-то «спекулятивные операции» просто так не происходят, но если Вы ставится под сомнение, что причиной изменения стоимости был инцидент ИБ, то это в очередной раз доказывает абсурдность «количественной оценки риска». Если же мы наблюдаем влияние инцидента, то тогда у нас в руках «метрика»…
Я же предпринял попытку узнать, существовала ли возможность вычисления реальной величины потерь априори: на этапе ISRA. Я не нашел такой возможности. Где я ошибся?
Владимир, я не буду ввязываться в спор, пока Вы не ответите на следующий вопрос:
ВідповістиВидалити> Цель поста – на конкретном примере продемонстрировать невозможность проведения количественной оценки риска.
Вы действительно считаете, что один (десять, сто) пример может что-то доказать?
Для меня это не пример «открывший глаза», а попытка аргументировано проиллюстрировать свое отношение к вопросу.
ВідповістиВидалитиГода четыре назад, я не видел подвоха в вопросах Quantaty ISRA. Сегодня у меня иное мнение, но при этом я хочу подчеркнуть, что я не являюсь противником риск-ориентированного подхода.
ЗЫ: учитавая Ваш коммент в «группе», боюсь, что спор у нас не получится. А жаль ;-))
Я знаю 7 способов оценки вероятности риска. И примерно столько же способов оценки размера ущерба. И считаю, что они вполне адекватно позволяют оценивать риски количественно. Главное уметь.
ВідповістиВидалитиНа одном примере доказывать, что количественная оценка не работает, не совсем корректно.
Никто никогда не требует точной цифры (и бизнес в том числе) - достаточно понимать диапазон с определенной веростностью. Если я буду знать, что ущерб может составить 400-700 миллионов долларов с вероятностьюю 85%, то мне это достаточно, чтобы представлять последствия и принимать решения по управлению ими.
Алексей,
ВідповістиВидалитиА могли бы Вы назвать один-два, на Ваш взгляд, самых хороших способа определения вероятности?
Если мы смогли дать качественную оценку (L, M, H), то поставить им в соответствие «деньги» - не проблема, но можно ли утверждать, что мы превратили «качественную» оценку в «количественную»? В чем разница между «качественной» и «количественной» оценкой?
Я согласен, что на одном примере, что-либо доказывать не корректно, но с другой стороны любое количество примеров может быть подвергнуто критике. В данном, случае пример нашел себя сам и породил запись в блоге. Мне показался он интересным, здесь и реальные события, и реальные цифры.
А много ли известно примеров, когда риски ИБ были просчитаны правильно? Ведь это невозможно проверить.
Я не являюсь противником ISRA. Более того, его надо проводить искать и находить «цифры», но, что означают эти «цифры»?
ЗЫ: Вероятность «орла» 50%. У нас выпала «решка», что выпадет после следующего броска?