Я думаю, вы видели классическую формулу, используемую при оценке рисков ИБ, которая путешествует из презентации в презентацию, из стандарта в стандарт:
РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ
Если эксперты хотят блеснуть эрудицией, то они иногда еще говорят, что эта формула определяет математическое ожидание функции потерь вследствие принятия или непринятия неких решений. И все бы ничего, но апологеты этой формулы забывают два важных момента.
Во-первых, коль скоро мы оперируем понятием математического ожидания и ссылаемся на теорию вероятности, то мы должны помнить, что:
- Оцениваемые нами события должны быть действительно случайны!
- Оцениваемые нами события должны быть равновозможны!
- Оцениваемые нами события должны быть независимы!
- Выборка по оцениваемым нами событиям должна быть достаточно репрезентативна.
И много вы можете назвать рисков ИБ, к которым применимы все эти условия?
Второй, и может быть даже более важный момент, подсказывает нам здравый смысл и окружающая реальность, которая живет не всегда по законам математики. Точнее по законам, но явно не тем, которые преподают еще в школе. Речь идет о реальном отношении реальных людей к реальным рискам. Ведь мы хотим, чтобы вполне конкретные лица, принимающие решения, оценили то, что мы (или приглашенные эксперты) им принесем в виде красивых презентаций и больших Excel’евских таблиц. А у всех этих людей свое отношение к риску и оно может отличаться — не только у разных людей, но у одного человека в отношении разных рисков, и даже в отношении одного риска в зависимости от формы его подачи.
Так вот в идеальном мире, мы бы оценивали риски, как математическое ожидание (сейчас пока не будем учитывать первый упомянутый выше нюанс). То есть нам выкладывали бы на стол реестр рисков с подсчитанными вероятностями и ущербом и мы выбирали бы, с чем мы готовы мириться (принятие рисков), от чего надо уклоняться, что надо снижать своими силами, а что можно переложить на чужие плечи.
Но мы не роботы, мы люди. Нам свойственна иррациональность при принятии решений, которая описывается теорией ожидаемой полезности и теорией перспектив (и еще рядом других теорий). То есть мы не всегда гонимся за максимизацией выгоды, выбирая максимизацию ожидаемой полезности.
Представьте, что оборот ваше компании 1 миллиард рублей. Ущерб в 100 миллионов (10%) для вас может быть катастрофическим (особенно, если он наступит в начале года, а основные деньги вы получаете в конце); При обороте в 100 миллиардов тот же самый ущерб (0,1% от оборота) вы будете «ценить» гораздо ниже. Иными словами, при одинаковом ущербе он несет для вас совершенно разную полезность.
Кстати, ровно те же самые рассуждения применимы и к ситуации, когда зарплата оценщика в разы, а то и на порядок, меньше дохода оцениваемого. У них просто разное понимание «полезности» (серьезности) потерь. И то, что для одного очень серьезно, для второго — обычная погрешность. А то, что серьезно для второго — первый вообще не учитывал.
Теория ожидаемой полезности является альтернативой матожиданию, применяемому при полностью рациональном поведении человека. В реальности же, человек часто выбирает альтернативу с меньшим матожиданием и меньшим риском. Это наблюдение было сформулировано впервые Бернулли, а потом, уже в 1947-м году, фон Нейман и Моргенштерн (не певец) в книге «Теория игр и экономическое поведение» сформулировали саму теорию с математическими выкладками. Спустя год, Сэвидж и Фридмен разработали на ее основе теорию отношения к риску.
Однако у этой теории были и свои недостатки. Допустим, у меня есть две компании, которые в результате некоего события получили 100 миллионов рублей. Но одна компания до наступления события имела 200 миллионов и потеряла половину, а вторая имела 50 миллионов и удвоила это значение. Результат (исход) один и тот же, но пришли к нему по-разному. А третья компания изначально имела 100 миллионов и вообще не захотела принимать никаких решений, приводящих к событию, которое произошло у первых двух компаний, то есть она избежала риска. Теория ожидаемой полезности не учитывала эти нюансы, хотя и лучше подходила для описания реального поведения людей, чем матожидание.
Кстати, вы обратили внимание, что в оценке рисков ИБ, как правило, вам говорят о вероятности потерь/убытков/ущерба? В жизни же, риск — это не только то, что можно потерять, но и то, что можно приобрести. И в экономике, когда мы принимаем какие-то решения, мы оцениваем любую альтернативу именно с этих двух позиций — каковая вероятность, что мы что-то потеряем, и какова вероятность, что мы что-то приобретем.
В 1979-м году Канеман и Тверски в статье «Теория перспектив: Анализ принятия решений в условиях риска» изложили свою идею, описывающую иррациональное поведение людей в реальной жизни с учетом рисков при принятии решений. В 1992-м году авторы уточнили свою теорию, а в 2002-м Канеман получил за нее Нобелевскую премию по экономике. Так вот согласно теории перспектив, люди выбирают альтернативы субъективно и переоценивают низкие вероятности возникновения события, считая их не такими уж и маленькими, и недооценивают высокие, считая их не такими уж и большими (отсюда, кстати, и вытекают такие события как «черные лебеди», «розовые фламинго» или «цветные колибри«).
Послушайте лекцию про теория принятия рисков из курса по оценке ущерба, которая чуть больше рассказывает про психологию восприятия рисков.
Некоторые выводы из теории перспектив, учитывающей не только функцию полезности, но и субъективность вероятности, которые имеют прямое отношение к оценке рисков ИБ, в принципе неучитываемых в обычной формуле на основе матожидания:
- Человеку свойственно тяжелее воспринимать потери, чем радоваться доходу на ту же абсолютную величину.
- Чем выше ценность альтернативы, тем больше ее предпочтительность в глазах лица, принимающего решение. То есть, если какой-то риск несет не только большие убытки, но и большую выгоду, оценивать будут в первую очередь по второму показателю, а не по первому.
Когда бизнес запускает проект, который будет приносить ему 10 миллионов рублей в месяц, и есть вероятность получить штраф за нарушение закона о персданных в 60 тысяч рублей, то как вы думаете, какое решение примет бизнес и человек, отвечающий за конкретный проект? И даже если потери будут такими же, то в глазах человека он по-разному будет их оценивать.
- Разные люди по разному оценивают риски — есть те, кто склонен к ним, те, кто негативно к ним относится, а есть нейтральные к рискам люди. И поэтому одни и те же расчеты могут быть совсем по-разному восприняты разными лицами, принимающими решения.
- Для человека 0,01 — это «намного больше», чем 0, но 0,4 и 0,5 оцениваются как события одинаково возможные (хотя с точки зрения формулы выше такие события будут иметь разный приоритет).
- Человек принимает решения обычно субъективно, опираясь на собственное мнение, на которое влияет ожидаемая и также субъективная ценность (полезность). То есть можно сколь угодно долго разглагольствовать о рациональном, о важности защищаться от определенных рисков ИБ и т.п., но если это не ложится на ожидания конкретного человека или если польза от принимаемого решения у него в голове перевешивает все отрицательные моменты, то он примет решение даже противоречащее «здравому смыслу».
Погуглите такое понятие как «fourfold pattern of risk attitudes«…
- Понятие «пользы» у людей тоже разное и у бизнесмена, который живет не за зарплату как CISO или рисковики или специалисты по ИБ, но и рассчитывает на бонусы, могут быть совершенно иные взгляды на то, что опасно для компании, а что нет. И уж точно они будут отличаться от взглядов специалистов по рискам, работающих за фиксированные зарплату или гонорар по договору.
Большинство бизнесменов, в отличие от специалистов по ИБ, больше внимания уделяют предполагаемой прибыли, а не преполагаемым потерям. Фокусируясь на втором и забывая про первое, вы теряете большую долю внимания к вашим выкладкам!
Все это намекает нам на то, что классическая оценка рисков ИБ, базирующееся на произведении вероятности их наступления и размера ущерба от них, разбивается о абсолютно иррациональное поведение людей, которые совсем по-другому будут смотреть на негативные ИБ-события. И не учитывать это, значит напрасно заниматься своей работой. Это в теории выглядит все красиво, а на практике увы…
Если вам будут говорить, а вот в компаниях «Большой четверки» это работало отлично, то попробуйте спросить бывших консультантов из Big4, как им живется сейчас. А еще можно запустить их к тем же заказчикам, где они были раньше, но от имени других работодателей. Я более чем уверен, что если их и пустят к топ-менеджерам, то те же самые презентации будут оцениваться совсем по-другому. А все потому, что важно не то, какие цифры и оценки показывались, а то, кто их показывал. Многие просто платили за «имя», как бы неприятно это не было читать. «Полезность» была не в презентациях, а в логотипах на этих презентациях.
Да, кстати, и последний вопрос — вы вообще знаете, как считать вероятность событий, которые еще ни разу не происходили (например, в новых проектах)? И даже если вам вероятность в первой формуле поменяют на «частоту события«, то ситуацию это изменит не сильно.
Заметка Почему не работает математика при оценке киберрисков? была впервые опубликована на Бизнес без опасности .
