Коллективная тайна невозможна

Принимая решение о засекречивании информации, о наложении грифа комтайны, ином ограничении распространения, следует прикинуть вероятность того, что конфиденциальность будет соблюдена. Ещё до того, как мы станем высчитывать потенциальные убытки от разглашения, издержки на защиту и соотношение между ними.

Обратившись к статистике утечек, можно прикинуть, с какой вероятностью тот или иной тип сведений попадает в чужие руки. Часто такая вероятность известна в расчёте на один носитель, одну операцию или одного допущенного сотрудника (P₁). При увеличении числа носителей или инсайдеров вероятность утечки растёт по простому закону:

P_N  =   1 - (1-P₁)^N

Например, вероятность утери служебного смартфонасредним работником составляет 1% в год. Весьма умеренная вероятность, с ней вполне можно работать – высчитывать потенциальные убытки, стоимость мер защиты и т.д. Но если носители с одинаковым секретом розданы тысяче сотрудников, то результирующая вероятность утечки за год составит 0,999956828753. Можете проверить. С такими величинами работать нельзя. Все формулы теории рисков при такой вероятности летят к чёрту.

Даже если снижать P₁,на результат это повлияет не сильно. Показатель степени всё превозмогает. Предположим, героическими усилиями мы сумели снизить P₁вдвое. P_Nпри этом уменьшится до 0,934693031421, т.е. всего на 6,5%.

Вот поэтому системы защиты так плохо масштабируются. При переходе от мелких компаний к крупным корпорациям и далее – к общегосударственным системам желательно отказываться от конфиденциальности везде, где можно. Информационная открытость рулит на больших масштабах – там, где конфиденциальность сосёт.