26.03.2014

Когда формула "ущерб Х вероятность" не верна

Если что-то написано везде, оно от этого еще не становится правдой – только нормой.

Информационная безопасность заражена т.н. риск-ориентированным подходом, при котором выбор защитных мер базируется на оценке тяжести последствий и вероятности их наступления, а обе они берутся из опыта. Обычно это можно и нужно делать.

Но существуют ситуации, когда бороться надо с любой ненулевой вероятности угрозой, исходя из потенциально возможных последствий в самом худшем случае (т.е. полностью гипотетического worst case), а не реальной их статистики в прошлом или у коллег.

Простой и явный тому пример – промышленные системы. Представьте, что Вас ничему не учили, и ответьте непредвзято: Вы готовы мириться с получением хакерами контроля над АЭС, НПЗ и прочим Сапсаном на том только основании, что прежде им хватило здравомыслия ничего там не покрутить? А вот грамотный безопасник стал бы мириться, раз по статистике недоступность обычно в минутах, а ущербы в копейках.

Подозрительно революционно? Все уже украдено до нас: найдите в УК покушения и подумайте, что они там делают.

З.ы. В следующем посте расскажу, почему при обнаружении любой аналитики по ИБ в виде диаграмм можно сразу хвататься за пистолет. Но это я так сам себя обязываю, чтобы не профилонить, а не подписываться призываю.

8 комментариев:

Игорь Агурьянов комментирует...

Объективная вероятность и та, которую мы можем определить на основе частоты событий в прошлом - разные вещи (даже при наличие точной и всеохватывающей статистики, что, увы, недостижимо). Потому, еще до появления информационных рисков, в первой половине прошлого века американские экономисты (в частности Кейнс) были склонны считать, что мы вряд ли сможем открыть метод определения конкретной вероятности без помощи интуиции или прямого суждения... и «мы переходим от мнения теоретиков к опыту людей практики».
Таким образом интуитивные оценки опытных практиков куда ближе к объективной вероятности, нежели основанные на статистике (которую, впрочем, они не должны отбрасывать).

av-volkov комментирует...

Лукацкий в одном из выступлений на тему рисков прямо так и сказал. Вот, допустим, некая уязвимость в инфосистеме, допустим больницы (хотя мог уже подзабыть, что там за пример был придуман, но нечто достаточно серьезное). Вероятность низка и ничего в общем страшного, потому что хакер же не больной, он должен понимать, что это жизни людей и вообще, никому в голову не придет и прочее подобное. Дальше смотреть не стал.

Алексей Лукацкий комментирует...

В начале прошлого года один американский эксперт поднял вопрос по применимости оценки рисков в КВО. Он тогда прямо написал, что при риск-ориентированном подходе владельцы КВО не будут заниматься ИБ, т.к. риски маловероятны, а затраты колоссальны. Поэтому с точки зрения бизнес затрат это невыгодно. Поэтому для отдельных областей (например, КВО) необходимо явно требовать защиту на определенном уровне. Без всяких "а что если"...

Vladimir Gninyuk комментирует...

Данная формула не верна всегда, потому как она неправильная.

Ее конечно можно использовать, для определенных целей, но она точно не имеет никакого отношения к "выбор защитных мер"...

"Риск-ориентированный подход", штука хорошая и подходит для анализа любых систем, главное соблюсти полный процесс "управления риском", а не выдергивать из него отдельные элементы/фазы

Ригель комментирует...

Владимир, формула, конечно же, верна - просто между ней и выбором защитных мер кое-что опущено, что не принципиально в контексте той проблемы, которая рассматривается.

Но у нее проблемы применимости на исчезающе малых и бесконечно больших значениях. И плюс, как сказал Игорь, вероятность в будущем не есть частота в прошлом.

Vladimir Gninyuk комментирует...

Михаил, да нет в этой формуле ничего правильного.

Единственное ее возможное применение - это ранжирование рисков, причем рисков "единого контекста": когда мы для одного и того же окружения, с одними и темы же методическими ошибками, подаем что-то на вход формулы и полученное на выходе между собой сравниваем. Сам результат вычислений не несет никакой смысловой нагрузки.

Я когда-то хотел породить дискуссию на эту тему (http://vgninyuk.blogspot.com/2012/01/ra-i.html), но не получилось, читатель оказался пасивен. Поэтому тему не развил.
В рассуждениях были допущены некоторые провакационные реверансы, для затравки ;)

Vladimir Gninyuk комментирует...

Кстати, я встречал (и знаю у кого), что формула правильная, только "члены" это "функции", а операция между ними не "умножения", а "свертки". Это больше похоже на правду, но проблема определения "членов" все равно остается...

Я согласен и Игорь Агурянов, и с Талебом, и со многими другими, кто сушит себе мозг :)

А

Александр О комментирует...

так это.. Разве риск-ориентированный подход исключает экспертную оценку вероятности? Если предприятие только построили, никакой статистики еще нет. Но это никак не мешает риск-ориентированному подходу. Просто эксперт должен обладать должной степенью абстрактного мышления, чтобы проставлять значения этих вероятностей.
А вы кстати не могли бы привести пример ПОЛНОСТЬЮ гипотетической вероятности? Я задумался и не смог такого вообразить, ИМХО даже риски прилета инопланетян не могут считаться полностью гипотетическими.

Отправить комментарий