Брюс Шнайер – директор по технологиям безопасности компании BT. Его новая книга

В сфере ИТ-безопасности это тоже немаловажно. Корпоративным пользователям нужны модели ROI, чтобы они могли показать, что некие конкретные вложения в безопасность себя оправдывают. И в ответ производители предоставляют модели, демонстрирующие, как конкретная система безопасности обеспечивает наилучшую отдачу.

Теоретически это неплохая идея, но на практике чаще всего она превращается в фикцию.

Прежде чем углубляться в детали, я хотел бы отметить один важный момент. "ROI в контексте безопасности – величина неопределенная. Безопасность не относится к тем инвестициям, которые дают определенную отдачу, подобно инвестициям в новую фабрику. Это затраты, которые в лучшем случае оправдают себя за счет экономии. Безопасность ставит своей целью предотвратить ущерб, а не принести прибыль. И в этом контексте говорить об отдаче на инвестиции не имеет смысла. Инвестиции в защиту не могут давать отдачи в "традиционном" смысле, но предотвращение убытков, безусловно, влияет на финансовые показатели компании.

Впрочем, компания должна реализовать только те меры безопасности, которые позитивно скажутся на итоговых финансовых показателях. Нужно тратить больше средств на решение тех проблем безопасности, которые представляют самую серьезную угрозу. С другой стороны, не следует игнорировать проблемы, которые способны проделать дыру в бюджете, если существуют недорогие средства предотвращения этих проблем. При разумном подходе следует относиться к обеспечению безопасности так же, как и к другим решениям, связанным с ведением бизнеса: сопоставлять затраты и преимущества.

Классическая методология, которая носит название "предполагаемые годовые потери" (Annualized Loss Expectancy, ALE), довольна проста. Подсчитайте, во что вам обойдется тот или иной инцидент, связанный с нарушением защиты, с точки зрения времени и денег, а также с учетом урона для вашей репутации и конкурентных преимуществ. Умножьте это на вероятность того, что данный инцидент произойдет в течение года. В итоге вы получите сумму, которую необходимо потратить на то, чтобы снизить данный риск. Например, если ваш магазин с вероятностью 0,1 могут обокрасть и в этом случае вы понесете убытков на сумму 10 тыс. долл., значит, вам следует тратить на безопасность 1 тыс. долл. в год. Если вы выделите на это большую сумму, то впустую потратите деньги. Впрочем, если меньшую, то деньги тоже будут израсходованы зря.

Конечно, эти 1000 долл. должны уменьшить шанс быть ограбленным до нуля для того, чтобы затраты себя оправдали. Если меры безопасности снижают вероятность ограбления на 40% (вас ограбят с вероятностью 0,6), тогда на обеспечение безопасности вам следует выделить не более 400 долл. Если же другая мера безопасности снижает риск на 80%, она должна обойтись в 800 долл. А если обе меры безопасности уменьшают вероятность на 50%, причем одна стоит 300 долл., а другая – 700 долл., то первая будет экономически оправданна, а вторая – нет.

Информация решает все

Определяющую роль в этих расчетах играет так называемый "страховой след". Если вы анализируете с точки зрения показателя ALE использование камеры наблюдения в магазине круглосуточного обслуживания, необходимо знать уровень преступности в районе, где расположен данный магазин. Также, возможно, иметь определенное представление о том, какова вероятность, что наличие камеры заставит потенциальных воришек вместо вашего пойти грабить соседний магазин. Необходимо знать, во сколько обходится ограбление, учитывая затраты на рекламу, время и моральный ущерб, недополучение прибыли из-за того, что к вам перестанут ходить постоянные покупатели, моральное состояние сотрудников. С учетом всей этой информации вы можете представить, что для вас существеннее - стоимость камеры или потеря прибыли, если вы закроете магазин на ночь (при условии, конечно, что закрытый магазин не ограбят). После чего вы сможете принять окончательное решение, стоит ли ставить камеру.

Оценить безопасность ресурса в киберпространстве намного труднее, поскольку у вас не хватает достоверной информации. Вы не знаете уровень преступности в подобном пространстве, и у вас намного меньше данных о том, насколько индивидуальные меры безопасности (или специфическая конфигурация мер) снижают эти риски. Вы даже не знаете, во сколько вам обойдется инцидент.

Одна из проблем заключается в том, что угроза распространяется слишком быстро. Параметры происшествий, которые мы пытаемся предотвратить, меняются настолько быстро, что мы не в состоянии теми же темпами собирать информацию. К тому времени как мы получим какие-то данные, появляется новая модель угроз, для которой у нас не хватает информации. Это мешает создать корректную ALE-модель.

Но есть и другая проблема, и она заключается в том, что очень быстро любые вычисления теряют смысл, когда речь идет о событиях редких и чреватых крупными потерями. Предположим, что ваши убытки в результате потери репутации, утраты клиентов и т.д. после того, как имя вашей компании появится в газете в связи с нарушением безопасности, составят 20 млн долл. И предположим, что такое событие в течение одного года произойдет с вероятностью, равной одной десятитысячной. Согласно ALE, для того чтобы снизить этот, риск вы должны тратить не больше 2 тыс. долл.

Замечательно. Но, возможно, ваш генеральный директор считает, что такой инцидент будет стоить компании всего 10 млн долл. Вы не можете переубедить его, поскольку ваши данные – это не более чем оценки. Но вы уменьшаете бюджет, выделенный на обеспечение безопасности, вдвое. Производитель, пытающийся продать вам продукт, находит отчет о ситуации в Web, согласно которому вероятность того, что инцидент произойдет, на самом деле равна одной тысячной. С учетом новых данных, получается, что продукт, стоящий в десять раз больше, становится неплохой инвестицией.

Ситуация становится еще хуже, когда вы пытаетесь оценить ее в экстраординарных обстоятельствах. Представьте, что вы отвечаете за безопасность фабрики по производству хлора на случай террористического акта. Во что обойдется вашей компании с точки зрения денег и репутации масштабный и смертоносный взрыв? В 100 миллионов долларов? В один миллиард? В десять миллиардов? И какова вероятность: один к сотне тысяч, один к миллиону, один к десяти миллионам? В зависимости от того, как вы ответите на эти два вопроса (а любой ответ – это всего лишь предположение), вы можете оправдать затраты на снижение этого риска в пределах от 10 долл. до 100 тыс. долл. в год.

Или возьмем другой пример: безопасность в аэропорту. Предположим, что все новые меры безопасности в аэропорту увеличат время ожидания не меньше чем на 30 минут для каждого пассажира. В 2007 году в США авиаперевозками воспользовались 760 млн пассажиров. Это значит, что дополнительное время ожидания в аэропортах увеличится в итоге и станет равным... 43 тыс. лет. Если предположить, что средняя продолжительность жизни равна 70 годам, то увеличенное время ожидания "убьет" 620 человек в год, или 930, если вы вычисляете эти показатели исходя из того, что в день человек бодрствует в среднем 16 часов. Отсюда вопрос: если отказаться от усиления мер безопасности в аэропорту, больше или меньше людей погибнет от терроризма?

Да будет осмотрителен покупатель

Именно из-за такого рода вещей большинство моделей ROI, которые вы получаете от производителей систем безопасности, не имеют смысла. Конечно, подобная модель демонстрирует, что предлагаемый производителем продукт или сервис экономически оправдан. Производители жонглируют цифрами таким образом, чтобы приобретение их решения было финансово обосновано.

Но это вовсе не означает, что методология ALE бесполезна. Это означает, что вы должны 1) не доверять никакому анализу, предлагаемому заинтересованными людьми, 2) использовать любые результаты только как общее руководство. Поэтому, когда вы получаете от своего производителя модель ROI, возьмите его формулы и подставьте свои данные. И даже не пытайтесь сказать производителю о каких-либо поправках. Они просто отвергнут любые поправки, которые сделают их продукт или сервис менее выгодным. И используйте эти результаты как общее руководство, наряду с анализом соответствия требованиям законодательства и управления рисками, - в тот момент, когда вы принимаете решение, какие продукты и сервисы для обеспечения безопасности приобретать.

Поделитесь материалом с коллегами и друзьями