26.03.2014

Когда формула "ущерб Х вероятность" не верна

Если что-то написано везде, оно от этого еще не становится правдой – только нормой.

Информационная безопасность заражена т.н. риск-ориентированным подходом, при котором выбор защитных мер базируется на оценке тяжести последствий и вероятности их наступления, а обе они берутся из опыта. Обычно это можно и нужно делать.

Но существуют ситуации, когда бороться надо с любой ненулевой вероятности угрозой, исходя из потенциально возможных последствий в самом худшем случае (т.е. полностью гипотетического worst case), а не реальной их статистики в прошлом или у коллег.

Простой и явный тому пример – промышленные системы. Представьте, что Вас ничему не учили, и ответьте непредвзято: Вы готовы мириться с получением хакерами контроля над АЭС, НПЗ и прочим Сапсаном на том только основании, что прежде им хватило здравомыслия ничего там не покрутить? А вот грамотный безопасник стал бы мириться, раз по статистике недоступность обычно в минутах, а ущербы в копейках.

Подозрительно революционно? Все уже украдено до нас: найдите в УК покушения и подумайте, что они там делают.

З.ы. В следующем посте расскажу, почему при обнаружении любой аналитики по ИБ в виде диаграмм можно сразу хвататься за пистолет. Но это я так сам себя обязываю, чтобы не профилонить, а не подписываться призываю.

8 комментариев:

Unknown комментирует...

Объективная вероятность и та, которую мы можем определить на основе частоты событий в прошлом - разные вещи (даже при наличие точной и всеохватывающей статистики, что, увы, недостижимо). Потому, еще до появления информационных рисков, в первой половине прошлого века американские экономисты (в частности Кейнс) были склонны считать, что мы вряд ли сможем открыть метод определения конкретной вероятности без помощи интуиции или прямого суждения... и «мы переходим от мнения теоретиков к опыту людей практики».
Таким образом интуитивные оценки опытных практиков куда ближе к объективной вероятности, нежели основанные на статистике (которую, впрочем, они не должны отбрасывать).

Анонимный комментирует...

Лукацкий в одном из выступлений на тему рисков прямо так и сказал. Вот, допустим, некая уязвимость в инфосистеме, допустим больницы (хотя мог уже подзабыть, что там за пример был придуман, но нечто достаточно серьезное). Вероятность низка и ничего в общем страшного, потому что хакер же не больной, он должен понимать, что это жизни людей и вообще, никому в голову не придет и прочее подобное. Дальше смотреть не стал.

Алексей Лукацкий комментирует...

В начале прошлого года один американский эксперт поднял вопрос по применимости оценки рисков в КВО. Он тогда прямо написал, что при риск-ориентированном подходе владельцы КВО не будут заниматься ИБ, т.к. риски маловероятны, а затраты колоссальны. Поэтому с точки зрения бизнес затрат это невыгодно. Поэтому для отдельных областей (например, КВО) необходимо явно требовать защиту на определенном уровне. Без всяких "а что если"...

Vgninyuk@gmail.com комментирует...

Данная формула не верна всегда, потому как она неправильная.

Ее конечно можно использовать, для определенных целей, но она точно не имеет никакого отношения к "выбор защитных мер"...

"Риск-ориентированный подход", штука хорошая и подходит для анализа любых систем, главное соблюсти полный процесс "управления риском", а не выдергивать из него отдельные элементы/фазы

Ригель комментирует...

Владимир, формула, конечно же, верна - просто между ней и выбором защитных мер кое-что опущено, что не принципиально в контексте той проблемы, которая рассматривается.

Но у нее проблемы применимости на исчезающе малых и бесконечно больших значениях. И плюс, как сказал Игорь, вероятность в будущем не есть частота в прошлом.

Vgninyuk@gmail.com комментирует...

Михаил, да нет в этой формуле ничего правильного.

Единственное ее возможное применение - это ранжирование рисков, причем рисков "единого контекста": когда мы для одного и того же окружения, с одними и темы же методическими ошибками, подаем что-то на вход формулы и полученное на выходе между собой сравниваем. Сам результат вычислений не несет никакой смысловой нагрузки.

Я когда-то хотел породить дискуссию на эту тему (http://vgninyuk.blogspot.com/2012/01/ra-i.html), но не получилось, читатель оказался пасивен. Поэтому тему не развил.
В рассуждениях были допущены некоторые провакационные реверансы, для затравки ;)

Vgninyuk@gmail.com комментирует...

Кстати, я встречал (и знаю у кого), что формула правильная, только "члены" это "функции", а операция между ними не "умножения", а "свертки". Это больше похоже на правду, но проблема определения "членов" все равно остается...

Я согласен и Игорь Агурянов, и с Талебом, и со многими другими, кто сушит себе мозг :)

А

Unknown комментирует...

так это.. Разве риск-ориентированный подход исключает экспертную оценку вероятности? Если предприятие только построили, никакой статистики еще нет. Но это никак не мешает риск-ориентированному подходу. Просто эксперт должен обладать должной степенью абстрактного мышления, чтобы проставлять значения этих вероятностей.
А вы кстати не могли бы привести пример ПОЛНОСТЬЮ гипотетической вероятности? Я задумался и не смог такого вообразить, ИМХО даже риски прилета инопланетян не могут считаться полностью гипотетическими.

Отправить комментарий