На конференции Black Hat 2020 двое исследователей — профессор Вейд Бейкер из Политехнического университета Виргинии и Дэвид Северский, старший аналитик в Cyentia Institute, представили свое видение проблемы оценки рисков. Мы решили, что их аргументы достойны внимания.
На любых курсах по кибербезопасности рассказывают, что для оценки рисков нужно учитывать два основных фактора — вероятность инцидента и средние потери в случае аналогичного инцидента. Но откуда следует брать эти данные, а главное, как их интерпретировать? Ведь неверная оценка возможного ущерба приведет к некорректным выводам и, как следствие, к неоптимальным стратегиям защиты.
Показательно ли среднее арифметическое?
Многие компании, работающие в сфере информационной безопасности (и мы тут не исключение), время от времени проводят исследования ущерба в результате инцидентов, связанных с потерей данных. В «ключевые находки» обычно попадают средние цифры — потери компаний сопоставимого размера суммируются, а затем делятся на количество учтенных инцидентов. Математически это абсолютно верно, и для громкого заголовка в прессе эта цифра вполне подходит. Но можно ли опираться на нее для расчета рисков?
Если те же данные представить в виде графика, где по горизонтальной оси учитываются суммы потерь, а по вертикальной — количество инцидентов, то становится очевидно, что среднее арифметическое тут вовсе не показатель. В результате 90% инцидентов компании теряют значительно меньше, чем показывает это самое среднее арифметическое.
Если говорить о потерях, которые понесет среднестатистический бизнес, то скорее имеет смысл смотреть на другие показатели — медиану (число, разделяющее выборку на две равные части так, чтобы половина элементов была выше этого числа, а вторая половина — ниже), а также среднее геометрическое (оно же среднее пропорциональное). Большая часть компаний несет именно такие потери. А вот среднее арифметическое может сильно сбивать с толку из-за небольшого количества инцидентов с аномально большими потерями.
Распределение потерь от инцидентов, связанных с утечками данных. Источник
Средняя стоимость утекшей записи
Еще один пример сомнительного результата от использования «среднего» — расчеты потерь от инцидентов, связанных с утечкой данных, путем перемножения количества затронутых записей и среднего ущерба от утечки одной записи. Как показывает практика, в результате применения такого метода потери в небольших инцидентах недооцениваются, а в крупных — серьезно переоцениваются.
Некоторое время назад по многим сайтам с аналитикой прошла новость о том, что неправильно сконфигурированные облачные сервисы стоили компаниям почти 5 триллионов долларов. Если изучить, откуда взялась такая астрономическая сумма, то становится понятно, что люди, насчитавшие 5 триллионов, просто перемножили количество «утекших» записей и средний ущерб от потери одной записи, полученный в результате исследования Cost of a Data Breach Study 2019, проведенного Ponemon Institute, — 150 долларов.
Но в этом исследовании, во-первых, учитывались далеко не все инциденты, а во-вторых, даже на этой выборке среднее арифметическое не дает четкого представления о потерях, поскольку там учитывались случаи с записями, потеря которых наносила ущерб и в 10 000 долларов, и в 1 цент. Более того, в методологии этого исследования подчеркивалось, что данное среднее значение неверно для инцидентов, в которых было затронуто более 100 тысяч записей. Поэтому перемножать количество всех записей, утекших из-за некорректно сконфигурированных облачных сервисов, на 150 было в корне неправильно.
Чтобы применять подобный метод для реальной оценки рисков, необходимо учитывать еще один показатель: вероятность потерь в зависимости от масштабов инцидента. Примерно так:
ALT/caption: Зависимость вероятности потерь от количества затронутых в инциденте записей. Источник
Эффект «кругов по воде»
Еще один фактор, о котором часто забывают при расчете стоимости инцидента: в современных условиях все чаще утечка данных затрагивает интересы больше чем одной компании. Во множестве инцидентов суммарный ущерб, который несут сторонние компании (партнеры, подрядчики, поставщики), превышает фактический ущерб, причиненной компании, допустившей утечку.
А количество таких инцидентов с каждым годом увеличивается, поскольку всеобщая «цифровизация экономики» ведет к увеличению взаимной зависимости бизнес-процессов разных компаний. Согласно результатам исследования Ripples Across the Risk Surface , проведенного совместными усилиями RiskRecon и Cyentia Institute, 813 инцидентов такого рода привели к потерям у 5437 организаций. То есть на каждую компанию, допустившую утечку данных, в среднем приходится более четырех компаний, пострадавших от этого инцидента.
Практические советы
Так что экспертам, работающим в сфере оценки киберрисков, имеет смысл прислушаться к следующим советам:
Не стоит доверять громким новостным заголовкам: даже если какие-то данные перепечатываются множеством сайтов, это не обязательно значит, что они не ошибочны. Стоит всегда искать источник и анализировать методологию исследователей.
Не используйте в оценке рисков результаты исследований, которые вы не понимаете.
Не забывайте, что инцидент в вашей компании может повлечь за собой потерю данных и у других организаций. Если утечка произойдет по вашей вине, то они наверняка предъявят претензии, что увеличит ущерб от инцидента.
Точно так же не следует забывать, что и ваши данные могут утечь у партнеров и подрядчиков (то есть в инцидентах, на которые вы никак не можете повлиять).
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
"Бавария" ва "Байер" Германия кубогидаги илк рақибларини билиб олишдиГермания кубогининг 2025/26 йилги мавсум биринчи босқичига қуръа ташлаш маросими бўлиб ўтди.
-
![]()
Alshaya Group O‘zbekistonda ilk savdo nuqtalarini ishga tushiradi.Investitsiyalar, sanoat va savdo vazirligi rahbari Laziz Qudratov xalqaro Alshaya Group boshqaruvi raisi Muhammad Alshaya bilan muzokaralar o‘tkazdi..
-
![]()
Давно забытый вид рака снова распространяется — в чем причина?Рак аппендикса раньше встречался так редко, что о нем практически забыли Еще совсем недавно рак аппендикса считался такой редкостью, что о...
-
![]()
В Китае впервые вживили чип в мозг человека и у него появились новые способностиОперация по вживлению чипа в мозг была проведена в марте 2025 года. Источник фотографии: english.news.cn В Китае провели первую успешную...
-
![]()
"Атлетик" бу трансферда қийинчиликларга учраши мумкин"Атлетик" Аймерик Лапортни ортга қайтариш ҳақида ўйламоқда.
-
![]()
Фабрегас: "Мартин - ажойиб фазилатларга эга футболчи"Италиянинг "Комо" клуби бош мураббийи Сеск Фабрегас Хорватия терма жамоаси футболчиси Мартин Батуринанинг ўз клубига ўтиши борасида фикр билдирди.
