Оценка риска

Стоимость системы защиты нужно оценивать по отношению к риску.

Известное всем выражение «стрельба из пушек по воробьям» утрачивает свой иронический оттенок, когда речь заходит о пушках, стоящих на страже бизнеса. Каким бы ни был калибр, он никому не покажется чрезмерным, если только не будет отпугивать клиентов, а пушка не загородит подъезд к офису для длинных белых лимузинов.

Впрочем, с точки зрения финансового директора, держать тысячедолларовое орудие для стрельбы по глупым пичугам — верх неразумия. Такая стратегия борьбы с назойливыми птичками не может быть эффективной. Но, с другой стороны, даже маленький воробей может стать источником опасной инфекции. Вполне может случиться так, что небоскреб, каким возвышается на диаграммах уровень продаж компании, окажется под угрозой настолько, что придется эвакуировать служащих, огородить его красно-белыми лентами и выставить у дверей охранников, которые не будут пропускать внутрь никого, кроме санитарной службы и системных администраторов. И так будет продолжаться до тех пор, пока зловредная птичка — или то, что от нее осталось, — не будет найдена в закоулках здания. Такое развитие событий может обернуться катастрофическими убытками, но их можно избежать. Именно поэтому необходимо тщательно взвесить риск потерять наиболее ценные активы компании и стоимость средств, способных этого не допустить.

Все сказанное в той же самой мере относится и к защите информационных систем. Никому не придет в голову, подсчитывая возможные потери, тратить на предотвращение изъянов в защите больше ресурсов, чем проблема того заслуживает. То, что на первый взгляд представляется очевидным, на деле таковым не является — специалисты часто путают элегантность и простоту решения с низкой стоимостью. Однако это разные вещи. Более того, стоимость не должна становиться самодостаточной характеристикой. Важна цена по отношению к риску, а также общая стоимость возможных потерь для информационных систем. Вот почему специалистам, отвечающим за защиту, необходимо иметь численную оценку риска в долларах. Без этого невозможно сопоставить расходы на предлагаемые превентивные меры с самими рисками. И невозможно расставить «приоритеты» для самых рисков.

УРАВНЕНИЕ ТИППЕТА ДЛЯ РИСКОВ

Главный специалист по технологиям компании TruSecure (бывшей ICSA), Питер Типпет, предложил простую и эффективную формулу для оценки рисков в денежном выражении:

Риск = Угроза х Уязвимость х Стоимость.

Угроза определяется как частота проявления проблемы в процентном выражении. Так, например, вирусы, рассылаемые по электронной почте, имеют высокий показатель угрозы, поскольку они широко распространены. Угроза успешного взлома мэйнфрейма, напротив, очень мала.

Уязвимость — это определенный уровень подверженности компании той или иной угрозе, определить который можно при помощи специальной проверки. Так, к примеру, компания, в которой нет четко разработанной системы обновления антивирусных пакетов, имеет высокий показатель уязвимости. Уязвимость изменяется в пределах от нуля до единицы. Нулевая уязвимость означает, что в компании действительно устранена всякая возможность взлома системы защиты, а уязвимость, равная единице, соответственно, характеризует компанию, не предпринимающую никаких мер безопасности.

Стоимость — это потенциальные потери, к которым может привести «событие нарушения системы безпасности». При этом учитываться должны такие факторы, как фактическое снижение оборота и производительности, потенциальная долговременная потеря доверия клиентов или утрата конкурентоспособности, а также возможное юридическое преследование — либо в форме исков, либо штрафных санкций со стороны государственных органов.

Произведение перечисленных показателей дает значение рисков в долларовом выражении. Получение этой численной оценки преследует две цели. Во-первых, она помогает администраторам систем защиты лучше прогнозировать риски, связанные с индивидуальными факторами. Во-вторых, она позволяет яснее увидеть картину рисков в целом, что крайне важно для выработки экономически состоятельного плана действий. Чем больше оценка риска в долларовом режиме, тем более важно заделать эту брешь в защите.

О ПОЛЬЗЕ МАТЕМАТИКИ

Наиболее важным свойством данной формулы можно считать то, что любой нулевой сомножитель в ней дает нулевой результат. На рассмотрение событий, которые вряд ли произойдут или при осуществлении которых не возникнет никакого ущерба, не стоит тратить времени.

Кстати говоря, кто-нибудь задумывался о реальной пользе шифрования? Какое количество номеров кредитных карт или корпоративных секретов было украдено только путем перехвата незакодированной электронной почты? Ни одного. И все же, администраторы систем защиты с упорством, заслуживающим лучшего применения, занимаются шифрованием электронной почты — не говоря уже о многих других потоках данных в информационной системе, хотя об отрицательных последствиях для бизнеса в результате перехвата ничего не известно.

В противоположность этим иллюзорным рискам опасность кражи жестких дисков намного более реальна. Почти все случаи утечки секретной информации были следствием попадания в руки злоумышенников именно жестких дисков. Высокие показатели угрозы и цены в данном случае влекут за собой и повышенное значение риска. И в скольких компаниях шифруется информация на пользовательских жестких дисках?.. Это только один пример слепого следования за рыночной модой, готовой технологией и превратно понятым здравым смыслом, вместо того чтобы действовать, полагаясь на точные оценки. Отраслевая пресса пестрит рекламой межсетевых экранов, и компании скрупулезно оценивают их, платят тысячи долларов, благодушно полагая, что приобрели лучшее решение. И, уходя домой в этом благодушном настроении, администраторы забывают запирать помещения, где стоят серверы с информацией на миллиарды долларов: ведь высокотехнологичные издания не рекламируют амбарных замков!

Компании, занимающиеся электронным бизнесом, подвержены огромному количеству рисков, и определение для них приоритетов становится непростой задачей. Денежные ресурсы компаний небезграничны, а в сутках — как ни крути — всего 24 ч. И вполне естественно, что прежде всего хочется решить задачи первостепенной важности. Применение в бизнес-практике таких формул, как формула Типпета, позволит руководителям технологических служб сосредоточиться на том, что действительно жизненно важно.