Риски, в которые играют люди
Екатерина РудинаЕще когда я училась, на защитах дипломных работ со словом «риск» в названии почти всегда звучал один и тот же каверзный вопрос: какая единица измерения риска? Нужно было, не моргнув глазом, отвечать «деньги». В самом деле, риск — это же ущерб, умноженный на вероятность, а ущерб измеряется в деньгах.
Прошло время, и стало понятно, что не любой ущерб от кибератаки измеряется в деньгах, и не так-то легко его измерить. Есть ущерб производству, есть затраты на восстановление ИТ инфраструктуры, репутационный, а если пострадали люди – тут вообще возможность измерения упирается в этику и менталитет.
Но, предположим, мы сделали нашу сложную шкалу для каждого вида ущерба. И даже знаем, какой ущерб, в качественных или количественных попугаях, повлечет атака на ту или иную систему. Вероятность (likelihood) реализации той или иной атаки тоже посчитали. Использовали разные ухищрения для измерения: денежные шкалы на десятичных коэффициентах, логарифмические шкалы вероятностей, совместили разные параметры и уложили на прокрустово ложе качественной шкалы.
Как теперь считать риск?
Стандарт ISO 27005 (и наш гармонизованный с ним ГОСТ) предлагают очень удобную табличную форму. Например, такую:
Понятно, как заполнять верхний левый и нижний правый углы: это будут максимальный и минимальный риски
Внимание, вопрос: что в середине таблицы?
Будет ли очень вероятный риск с катастрофическими последствиями иметь такую же степень, как риск «почти наверняка» с критическими последствиями? Какая степень риска приемлема, и будет ли она располагаться в середине таблицы? Какую степень стоит приписать очень вероятному риску с незначительными последствиями?
Врожденное стремление к простым симметричным решениям, которые, кстати, почти никогда не верны, может предложить такой вариант (тут будет возникать вопрос, является ли оранжевый уровень риска приемлемым или нет, и в целом очень разные ситуации попадают в один уровень):
Может быть вот так (это консервативный подход – в нем можно было вероятности и не считать, то есть большую часть работы мы делали зазря):
Картинку с учетом вероятностей и без учета последствий вы и сами легко вообразите, рисовать ее необязательно.
И вообще, заполнить эту таблицу можно абсолютно по-разному, и примеры вы можете без труда придумать сами.
Суть в том, что тут у нас в таблице с довольно несложной шкалой ущерба и понятной шкалой вероятностей (а мы изрядно попотели, чтобы сделать эти шкалы такими линейными и простыми) будет 25 вариантов степени риска. Толерантность к риску на этом этапе определяется буквально эмпирически. Какую бы симметричную или несимметричную схему ни определил аналитик, в жизни может найтись опровергающий пример, потому что схема только в голове у аналитика. Ей нужно подкрепление из реальной жизни.
Тут мы вспоминаем годы учебы, и что единица измерения риска у нас – деньги. И что стоимость защиты не должна превосходить возможный ущерб (хорошо бы, с учетом вероятности ущерба).
А что, если в ячейки таблицы поставить стоимость компенсирующих мер и тех средств защиты, которые снижают риск до приемлемого? Понятно, что если есть атака, которая произойдет наверняка и будет иметь катастрофические последствия, то это значит, что есть серьезный просчет в архитектуре и реализации системы – такая переделка будет стоить дорого. Либо в принципе придется отказаться от реализации рискованной идеи – и тогда стоимость риска будет сравнима с упущенными возможностями. Если же такого не произойдет, то основная масса атак «средней руки», наверное, предотвращается накладными средствами (защита конечных узлов, мониторинг безопасности и предотвращение атак) и понятными мерами по частичной изоляции компонентов в архитектуре (МЭ, диоды данных, контроль устройств). Полную изоляцию мы рассматриваем как отказ от функции и можем брать или не брать в расчет. Если у нас вероятности считались с учетом сценариев, тактик и техник атак, то стоимость защиты легко посчитать и сравнить с ущербом.
Заметка на полях. Стоит понимать, что, когда вы начнете расписывать меры в ячейки таблицы, может показаться, что защита от наиболее вероятных атак со средними последствиями может, на первый взгляд, стоить дороже, чем защита от маловероятных атак с последствиями чуть выше, и это нормально. Просто вероятных атак со средними последствиями – больше, и кумулятивный риск от них окажется больше. Изощренные атаки – это черные и серые лебеди, которые будут преследовать серьезные цели, но будут менее вероятными за счет как их сложности (использование 0-day уязвимостей) и уже заложенной в систему защиты от ущерба по любым причинам. Для более нанесения серьезного ущерба нарушителю нужно, как правило, пройти все эшелоны защиты, а значит в стоимость защиты от серьезных рисков нужно закладывать весь комплекс мер защиты, в том числе от рисков первичного проникновения и развития атаки.
Таблица, например, для АСУ ТП на объекте критической информационной инфраструктуры, может выглядеть примерно так (совпадения с реальной жизнью возможны, но абсолютно случайны):
На первый взгляд, заполнять таблицу с уровнями рисков стоимостью средства защиты - очень крутая идея. Представьте, вы приходите к начальнику (или к заказчику), в общем к человеку, который за безопасность платит. Главному стейкхолдеру, в общем. Говорите: я все посчитал, если мы купим такие и такие решения и продукты и заложим определенное количество времени и денег на конструктивные изменения в инфраструктуре (или в архитектуре и фичах продукта), то риски безопасности будут приемлемыми. И вероятные атаки не смогут нанести нам значительный ущерб. Все определено, посчитано, вот табличка, давайте сюда бюджет.
Рациональный стейкхолдер (начальник, заказчик), действуя из соображений ожидаемой полезности средств защиты, должен благосклонно отнестись к такому подходу: один раз заплатить за безопасность и не платить за риски. Стоимость защиты оценили и показали, сравнили с эмпирической стоимостью риска, «заземлили» оценку риска. Это кажется очень логичным
И тут нас ожидает сюрприз.
Дело в том, как люди относятся к рискам различной природы. Эксперименты, проведенные Канеманом и Тверски и их последователями в рамках развития совокупной теории перспектив (которая пришла на замену теории ожидаемой полезности) показали, что люди по-разному относятся к риску в отношении прибылей и убытков. Затраты на безопасность, безусловно, относятся к убыткам.
Кейсы, иллюстрирующие теорию перспектив, очень любопытны и разнообразны. Например, если испытуемому (в среднем, по результатам эксперимента) предложить два варианта: гарантированно получить прибыль в размере 10 тысяч рублей или с вероятностью 70% получить 15 тысяч рублей, а с вероятностью 30% не получить ничего, то в большем количестве случаев он предпочтет гарантированную прибыль, хотя второй вариант, если посчитать, немного выгоднее. Напротив, если есть выбор между гарантированной потерей той же суммы или шансом проиграть даже немного большую сумму, то большинство испытуемых выберут игру вместо гарантированной потери. Результат выбора, как правило, определяется и текущим количеством денег у испытуемого, и абсолютными цифрами выигрышей и потерь, и соотношением гарантированной и выигранной (проигранной) суммы, и ситуацией, в которой проходит испытание. Одно неизменно: в целом в ситуациях, связанных с убытками и потерями, люди демонстрируют неприятие потерь и предпочитают риски гарантированным затратам.
Это значит, что если в нашей таблице на месте реальной оценки рисков будет стоят стоимость компенсирующих мер (особенно с учетом того, что это минимальная стоимость – каждый опытный управленец знает, что внедрение, сопровождение, поддержка потребуют дополнительных ресурсов, и даже если их уже заложили, потребуется еще), так вот, если подменить риски гарантированными затратами на безопасность, то стейкхолдер выберет риски. Так как он человек и склонен избегать гарантированных затрат. И даже если будет совет (из людей), то избегание потерь остается основной стратегией.
Конечно, при выборе уровня риска, ассоциированного с определенной вероятностью и уровнем ущерба, стоит оглядываться на стоимость защиты. Но в целом, стоимость защиты должна быть меньше (и ощутимо меньше) стоимости риска, в особенности для рисков, расположенных в центральных ячейках таблицы. Это связано с еще одним когнитивным искажением: люди склонны эмпирически переоценивать вероятности редких событий и недооценивать вероятности более частых. А значит, защита от вероятных атак со средним ущербом, даже учитывая кумулятивную стоимость повторяющихся инцидентов должна быть массовой и недорогой. И даже в этом случае не факт, что «игроки в риски» переведутся.
Се ля ви.