Глава 6. Разложение на составляющие
Разбор по деталям
Повседневные значения большинства терминов содержат достаточно неоднозначности, чтобы считать их неподходящими для тщательного анализа решений.
Вспомним аналитика в сфере кибербезопасности из главы 5, который оценивал убытки в диапазоне «от 0 до 500 млн долл.» и переживал, как начальство отреагирует на такие неинформативные данные. Если подобные экстремальные убытки действительно могли возникнуть, безусловно, было бы неправильно скрывать это от начальства. К счастью, есть альтернатива: просто разложите их по компонентам. При подобном риске проведение более тщательного анализа будет вполне оправданно.
Воздействие обычно изначально представлено в виде перечня неустановленных и неопределенных возможных исходов. Его уточнение зависит от понимания объекта измерения, как обсуждалось в главе 2. То есть надо понять, что именно измеряется через более конкретное определение объекта. Ниже будет рассмотрено, как разделить неоднозначную гору исходов хотя бы на несколько основных категорий воздействия.
В главе 3 описано создание простой количественной модели, в которой всего лишь воспроизводятся этапы построения привычной матрицы рисков, но с опорой на количественные методы. Это элементарный базовый вариант, который можно усовершенствовать с помощью разложения. В исследованиях, приведенных в главе 4, упоминалось, что разложение на составляющие особенно помогает при очень высокой степени неопределенности, а именно такая, как правило, и бывает в сфере кибербезопасности. Поэтому в данной главе мы разберем, как можно развить простую модель из главы 3, воспользовавшись преимуществами разложения на составляющие.
Разложение простой модели замены «один на один»
В каждой строке модели, показанной в главе 3 (см. табл. 3.2), было только два вида данных: вероятность возникновения события и диапазон убытков. И то и другое подходит для разложения. К примеру, в случае наступления события можно оценить вероятность для событий подобного типа (была ли это утечка конфиденциальных данных, отказ в обслуживании и т. д.). Эта информация позволит дополнительно уточнить вероятность. Воздействие также возможно разделить на несколько видов затрат: судебные издержки, расходы на расследование нарушений, время простоя и т. д. Каждую из этих затрат можно вычислить на основе других входных данных, простых и менее абстрактных, чем некий совокупный итог воздействия.
Теперь рассмотрим подробнее, как использовать дальнейшее разложение на составляющие для повышения значимости данных.
Простая стратегия разложения воздействия, знакомая многим специалистам по кибербезопасности, – это разложение на конфиденциальность, целостность и доступность. Как вам, вероятно, известно, под нарушением конфиденциальности подразумевается неправомерное раскрытие информации. Сюда можно отнести утечку миллионов записей или кражу корпоративных секретов и интеллектуальной собственности. Нарушение целостности означает изменение данных или поведения системы, которое может привести к несанкционированным финансовым операциям, повреждению оборудования, неверной логистике и т. д. Наконец, нарушение доступности трактуется как определенное отключение системы, приводящее к снижению производительности, продаж или другим затратам, связанным с вмешательством в бизнес-процессы. Мы не настаиваем на применении данного подхода всеми, но многие аналитики в области кибербезопасности находят такое разложение полезным при осмыслении проблемы.
Давайте еще упростим процесс по примеру одной компании, объединившей конфиденциальность и целостность. Считается, что убытки вследствие нарушения доступности встречаются чаще по сравнению с двумя другими категориями, а поэтому при ее оценке можно задействовать иную уже известную информацию о системе, например типы бизнес-процессов, которые поддерживает система, количество пользователей, влияние на производительность, возможное влияние на продажи в период недоступности системы и т. д. В табл. 6.1 показан вариант подобного небольшого разложения на примере электронной таблицы для модели замены «один на один» из главы 3. Для экономии места здесь отброшены столбцы справа с агрегированием данных. Полный вариант таблицы вместе с оригинальной моделью, описанной в главе 3, как обычно, можно найти на сайте www.howtomeasureanything.com/cybersecurity.
Обратите внимание, что начали мы с разложения события на составляющие, определив прежде всего его тип. Была задана вероятность, что событие связано только с конфиденциальностью и целостностью (КонфЦел), и вероятность, что оно касается только доступности (Дост). Вероятность того, что это могут быть оба типа, равна 1 – КонфЦел – Дост. Смоделировать определение типа события (поскольку уже установлено, что событие произошло, то не может быть результата, когда не указан ни один из типов) можно, например, применив в Excel следующую формулу:
= ЕСЛИ(СЛЧИС() < КонфЦел;1;ЕСЛИ(СЛЧИС() < (КонфЦел + Дост);2;3))
Убытки от нарушения конфиденциальности или целостности будут добавлены при получении значения функции, равного 1 (произошло событие нарушения конфиденциальности и целостности) или 3 (произошло событие нарушения как конфиденциальности с целостностью, так и доступности). Та же логика применяется к нарушению доступности, которое возникает, если результат равен 2 или 3. Кроме того, можно было бы просто оценить вероятность наступления событий по отдельности, а не определять сначала наличие события, а затем его тип. Для этого существует намного больше способов, и поэтому для оценки следует выбирать вариант разложения, который кажется вам наиболее удобным и реалистичным.
Убытки, возникшие вследствие нарушения доступности, рассчитываются путем умножения продолжительности отключения системы в часах на стоимость одного часа простоя. Как и в более простой модели в главе 3, генерируются тысячи значений для каждой строки. В каждом произвольном тесте случайным образом определяется тип события и его стоимость. Весь список затрат, вызванных событиями, суммируется для каждого из тысяч тестов, а затем строится кривая вероятности превышения потерь, как показано в главе 3. Как и раньше, у каждой строки может быть предлагаемое средство контроля, способное снизить вероятность и, возможно, воздействие события (это снижение также может быть выбрано случайным образом из заданных диапазонов).
Если событием является атака на заданную систему, то обычно имеется хоть какая-то информация о том, как эта система используется в организации. Например, приблизительное представление о количестве пользователей системы, нарушится ли их деятельность полностью без системы, или они смогут обойтись без нее какое-то время, а также влияет ли система на продажи или другие операции. А многим организациям уже приходилось сталкиваться с выходом систем из строя, и этот опыт может лечь в основу их оценки возможной длительности отключения.
Теперь, когда у вас есть общее понимание принципа разложения на составляющие, давайте обсудим другие стратегии, которые можно использовать. А чтобы разложить модель, используя более широкий спектр распределений вероятности, изучите список распределений в приложении А. И конечно, с сайта www.howtomeasureanything.com/cybersecurity можно загрузить электронную таблицу, содержащую все указанные распределения вероятностей, которые созданы с помощью обычного инструментария MS Excel (т. е. без макросов VBA или надстроек).
Каждая строка в симуляции из табл. 6.1 обозначена просто как «событие», но на практике следует указывать событие более конкретно, и тут возможны различные подходы. Подумайте, что вы обычно вносите в матрицу рисков. Если бы нужно было включить в матрицу 20 элементов, указали бы вы 20 приложений или 20 категорий угроз? А может, указали бы структурные подразделения организации или типы пользователей?
Большинство специалистов, применяющих метод матрицы рисков, похоже, начинают с проблемно ориентированного разложения. То есть, внося элемент в матрицу рисков, они думают прежде всего о его прикладной роли. Вполне неплохое начало. Опять же мы не придерживаемся конкретной позиции относительно методов разложения на составляющие, пока не получим доказательств, что какие-то из них лучше или хуже. Однако для удобства и по привычке мы начали простую модель в главе 3 с прикладного подхода к проблеме разложения. Если вам удобнее, когда список рисков содержит отдельные источники угроз, уязвимости или что-то еще, то описанный здесь подход несложно будет перенести на предпочтительную модель.
Решив, что обозначают строки таблицы, следующим шагом следует определить, насколько подробное разложение вам нужно в каждой строке. При каждом разложении на составляющие стоит по возможности опираться на уже известные сведения, можно назвать их «наблюдаемыми величинами». В табл. 6.2 приведено еще несколько примеров.
Даже после моделирования какой-то части указанных компонентов диапазон все равно может остаться достаточно широким, но тем не менее появится возможность рассуждать об относительной вероятности различных исходов. Специалист по кибербезопасности, считавший, что диапазон убытков составит от нуля до 500 млн долл., просто не учел, что следует постараться сделать выводы из известных данных вместо зацикливания на неизвестных. Небольшое разложение на составляющие покажет, что не все значения в этом огромном диапазоне одинаково вероятны. И, скорее всего, можно будет пойти к совету директоров, имея больше информации о потенциальных убытках, чем равномерное распределение от 0 до 500 млн долл. или более.
И не забывайте: все это делается, чтобы оценить альтернативы. Нужно уметь разбираться в стратегиях снижения рисков. Даже если предположить, что диапазон настолько широк и все варианты в нем одинаково вероятны, это все равно еще не означает, что такой же диапазон будет у каждой системы в списке. И очень полезно знать, у каких систем он будет. Вам известно, что у одних систем больше пользователей, а у других – меньше, что одни системы обрабатывают личную медицинскую информацию или данные индустрии платежных карт, а другие – нет, что к некоторым системам имеют доступ поставщики и т. д. Вся эта информация полезна для расстановки приоритетов в действиях, даже если вы никогда полностью не избавитесь от неопределенности.
Приведенный список лишь подсказывает еще несколько элементов, на которые можно разложить модель. До сих пор мы акцентировали внимание в большей степени на разложении воздействия, чем вероятности, поскольку воздействие многим кажется более конкретным понятием. Но таким же образом раскладывается и вероятность. Этому будут посвящены главы 8 и 9. А далее в этой главе мы еще обсудим, как выполнить оценку одного из самых сложных типов убытков – урона репутации.
Дополнительные рекомендации по разложению на составляющие: понятность, наблюдаемость, полезность
Оценивая последствия конкретного нарушения кибербезопасности в конкретной системе, специалист, возможно, думает: «Хм, произойдет отключение системы на несколько минут, а то и на час или больше. В системе 300 пользователей, и отключение затронет большинство из них. Они обрабатывают заказы и помогают службе поддержки клиентов. Значит, воздействие не ограничится тем, что придется заплатить людям зарплату за время простоя. Реальным убытком станет потеря продаж. Насколько помню, в час выручка составляет от 50 000 до 200 000 долл., но она может меняться в зависимости от сезона. Часть клиентов, которых не смогут обслужить, может быть, перезвонят позже, но некоторых мы потеряем навсегда. Плюс будут определенные затраты на экстренное устранение последствий. Итак, я оцениваю с 90 %-ным ДИ, что убытки за один инцидент составят от 1000 до 2 млн долл.».
Все мы, вероятно, понимаем, что, припоминая данные и производя подсчеты в уме, безупречных результатов не добиться (а представьте, насколько все усложнится, если в подсчетах придется учитывать различные формы распределения вероятностей). Поэтому не стоит удивляться, что исследователи, упомянутые в главе 4 (Армстронг и Мак-грегор), выяснили, что лучше разложить проблему на составляющие и выполнять расчеты явным образом. Если вы ловите себя на том, что считаете в уме, – остановитесь, проведите разложение на составляющие и (прямо как в школе) продемонстрируйте математические вычисления.
Понятно, что стратегии разложения на составляющие будут сильно отличаться в зависимости от желаемого уровня детализации и имеющейся информации об организации у разных аналитиков. Тем не менее существуют принципы разложения, которые применимы в любой ситуации. Наша задача – определить, как дальше разложить проблему таким образом, чтобы независимо от отрасли или особенностей компании разложение на составляющие действительно повышало эффективность оценки риска.
Это важный вопрос, поскольку не все стратегии разложения одинаково хороши. И хотя существуют исследования, показывающие, что неопределенные величины можно более эффективно оценить с помощью разложения на составляющие, есть также исследования, выявляющие условия, при которых разложение не помогает. Необходимо научиться различать эти случаи. Если от разложения нет пользы, то лучше обойтись без него и провести оценку на более общем уровне. Как отмечается в одной из научных статей, разложение на составляющие, выполненное «в ущерб концептуальной простоте, может привести к выводам более низкого качества, чем непосредственные самостоятельные суждения»2.
Хорошей основой для осмысления стратегий разложения на составляющие служит опубликованная в 1966 году работа Рона Ховарда, которому обычно приписывают введение термина «анализ решений»3. Для практического решения проблем, связанных с неопределенностью, Ховард и его последователи применяли несколько абстрактные области теории принятия решений и теории вероятностей. Они также выяснили, что многие трудности, сопутствующие принятию решений, в реальности не являются чисто математическими. Согласно их наблюдениям, люди, принимающие решения, часто даже не способны надлежащим образом определить, в чем заключается проблема. По мнению Ховарда, необходимо «преобразовать смятение в ясность мыслей и действий»4.
Ховард описывает три обязательных условия для проведения математических расчетов в анализе решений: решение и факторы, которые определяются для его обоснования, должны быть понятными, наблюдаемыми и полезными.
• Понятность. Все понимают, что вы имеете в виду. Вы сами понимаете, что имеете в виду.
• Наблюдаемость. Что вы увидите, когда явление возникнет? Вовсе не обязательно, что вы раньше с ним сталкивались, но как минимум его возможно наблюдать, и вы узнаете его, когда увидите.
• Полезность. Явление должно иметь значение для принятия каких-либо решений. Что бы вы сделали по-другому, если бы знали о нем заранее? Многие явления, которые стремятся измерить в области безопасности, оказываются никак не связанными с принимаемыми решениями.
Значение этих условий часто недооценивают, но если начать систематически учитывать их все при каждом разложении на составляющие, возможно, будут выбираться несколько иные стратегии. Например, вы собираетесь разложить свои риски на составляющие таким образом, что придется оценивать уровень мастерства злоумышленника. Это один из «факторов угрозы» в стандарте OWASP, и нам встречались самостоятельно разработанные версии такого подхода. Предположим, вы, согласившись с аргументами, приведенными в предыдущих главах, решили отказаться от порядковых шкал, рекомендуемых OWASP и другими, и теперь ищете способ количественно разложить на составляющие уровень мастерства злоумышленника. Попробуем применить условия Ховарда к этому фактору.
• Понятность. Можете ли вы объяснить, что подразумеваете под «уровнем мастерства»? Точно ли это однозначная единица измерения или хотя бы четко определенное дискретное состояние? Действительно ли как-то поможет фраза «мы определяем „средний“ уровень угрозы как работу специалиста, более квалифицированного, чем любитель, но менее квалифицированного, чем сотрудник хорошо финансируемой государственной организации»?
• Наблюдаемость. Как вообще это обнаружить? Какие у вас основания заявлять, что уровень мастерства исполнения одних угроз выше или ниже, чем других?
• Полезность. Даже если вы получите однозначное определение уровня мастерства и сумеете его каким-то образом увидеть, как эта информация должна повлиять на действия вашей компании?
Мы не утверждаем, что оценка уровня мастерства злоумышленника – плохой элемент стратегии разложения риска. Возможно, вы однозначно определите уровень мастерства, выявив типы применяемых методов. И можете отслеживать частоту таких атак, а также имеете доступ к информации об угрозах, где сообщается о случаях новых атак, с которыми вы еще не сталкивались. А проведение этой оценки заставит вас пересмотреть вероятность взлома конкретной системы, что, в свою очередь, позволит понять, какие средства контроля следует внедрить или даже каков будет общий бюджет на кибербезопасность. В таком случае все три условия будут выполнены. Но если это не так, а подобное, похоже, бывает очень часто, оценки уровня мастерства являются чистой спекуляцией и не привносят никакой ценности в процесс принятия решений.
Только что разобранный пример с уровнем мастерства злоумышленника как угрозы в зависимости от ситуации может служить хорошим или плохим примером разложения на составляющие. Если разложение соответствует критериям Ховарда и действительно снижает неопределенность, его можно назвать информативным. В ином случае разложение является неинформативным, и лучше придерживаться более простой модели.
Представьте, что перед вами стоит человек с ящиком в руках и просит вас оценить с 90 %-ным ДИ вес ящика только по виду. Размер ящика – примерно 60 см в длину и 30 см в высоту и ширину. Человек не похож на профессионального тяжелоатлета, поэтому ящик явно весит меньше, скажем, 160 кг. Вы также замечаете, что человек немного отклонился назад, чтобы сбалансировать свой вес, и переминается с ноги на ногу, как будто ему неудобно стоять. В итоге вы называете 90 %-ный ДИ от 9 до 45 кг. Диапазон кажется большим, поэтому вы решаете разложить задачу на составляющие, оценив количество предметов в ящике и вес каждого предмета. Или, возможно, в ящике лежат предметы нескольких категорий, поэтому вы оцениваете количество категорий предметов, число предметов каждой категории и вес каждого предмета в данной категории. Повысится ли качество оценки? В действительности оно вполне может понизиться. Вы разложили проблему на множество чисто теоретических вопросов, ответы на которые затем попробуете использовать для математических расчетов. Это пример неинформативного разложения.
Разница между ним и информативным разложением заключается в том, описывается ли проблема с помощью количественных величин, о которых вы более осведомлены, чем о самой исходной проблеме. Информативное разложение – это разложение, использующее конкретные знания эксперта по кибербезопасности о его сфере деятельности. Например, у эксперта могут быть подробные сведения о типах систем в организации и типах записей, хранящихся в них. Он может располагать информацией о внутренних бизнес-процессах, чтобы, скажем, оценить воздействие атак типа «отказ в обслуживании», или способен такую информацию получить. А также ему известно, какие виды средств контроля уже имеются. Разложение на составляющие рисков кибербезопасности с учетом подобных конкретных сведений, скорее всего, окажется целесообразным.
Однако предположим, что эксперт по кибербезопасности попытается построить модель, где требуется оценить численность и уровень мастерства спонсируемых государством кибервзломщиков или даже хакерской группировки Anonymous (о которой, как следует из названия, очень сложно узнать что-то определенное). Приведет ли результат действительно к снижению неопределенности по сравнению с изначальным ее уровнем?
Компоненты разложения должны выглядеть для эксперта менее абстрактными, чем общая их сумма. Если воздействие в долларах раскладывается на такие факторы, как уровень мастерства злоумышленника, значит, неопределенность относительно этих нововведенных факторов должна быть ниже, чем в отношении первоначальной прямой оценки денежных потерь.
Разложение может считаться информативным и в случае, когда в результате его проведения диапазон расширяется, но только при условии, что это ставит под сомнение предполагаемый изначальный диапазон. Например, пусть требуется оценить воздействие нарушения работоспособности системы, при котором в течение ограниченного времени будет недоступно приложение, задействованное в каком-либо ключевом процессе (скажем, принятии заказов). Допустим, изначально воздействие оценили в диапазоне от 150 000 до 7 млн долл., что показалось слишком неопределенным, и было решено разложить его дальше на длительность отключения системы и стоимость одного часа простоя. Предположим, что, согласно оценкам, отключение продлится от 15 минут до 4 часов, а стоимость одного часа простоя составляет от 200 000 до 5 млн долл. Укажем также, что речь идет о логнормальном распределении для каждого фактора (как отмечалось в главе 3, оно часто применяется в тех случаях, когда значение не может быть меньше нуля, но может оказаться очень большим). Снизится ли в итоге неопределенность? Удивительно, но нет, если под «снижением неопределенности» понималось сужение диапазона воздействия, поскольку при произведении этих двух логнормальных распределений получается более широкий 90 %-ный ДИ от 100 000 до 8 млн долл. Но, даже несмотря на это, новый диапазон может считаться полезным, так как, вероятно, будет точнее отражать возможное воздействие, чем первоначальный диапазон.
Здесь стоит добавить небольшое примечание: если вы решили, что диапазон произведений находится путем перемножения нижних пределов и перемножения верхних пределов, то нет, для получения двух независимых случайных величин расчеты проводятся иначе. А если сделать, как указано, то получится диапазон от 50 000 до 20 млн долл. (0,25 часа умножить на 200 000 долл. в час для нижнего предела и 4 часа умножить на 5 млн в час для верхнего предела). Такой вариант мог быть верным, только если бы две переменные идеально коррелировали друг с другом, а это очевидно не наш случай.
Итак, разложение на составляющие может пригодиться хотя бы просто в качестве проверки реалистичности начального диапазона. Оно также может потребоваться при выполнении симуляций со множеством отдельных событий, складывающихся в риск на уровне портфеля, как показано в табл. 6.1. Когда аналитики оценивают большое количество отдельных событий, не всегда понятно, каковы последствия этих отдельных оценок на уровне портфеля. В нашей практике однажды был случай, когда профильные специалисты оценили вероятности примерно сотни отдельных событий в диапазоне от 2 до 35 %. После чего выяснилось, что, согласно симуляции, в год происходит около дюжины значимых событий. Одному из менеджеров подобные риски показались нереалистичными, ведь ни одно из этих значимых событий не случалось ни разу за последние пять лет. Все бы встало на свои места, если бы эксперты предположили, что стоит ожидать резкого увеличения частоты событий (оценка проводилась более двух лет назад, и мы можем уверенно сказать, что роста не произошло). Но вместо этого оценщики решили иначе взглянуть на вероятности, чтобы они не так сильно расходились с наблюдаемой реальностью.
Суть разобранных примеров можно свести к двум фундаментальным правилам разложения на составляющие.
• Правило разложения № 1. Для разложения следует использовать факторы, которые лучше поддаются оценке, или данные, которые можно получить (т. е. не выделять величины еще более умозрительные, чем исходные).
• Правило разложения № 2. Результат разложения стоит сравнивать с прямой оценкой, выполняя симуляцию, как только что было показано в примере с отключением. Возможно, это приведет к отказу от разложения, если полученные результаты покажутся абсурдными, или же к решению скорректировать первоначальный диапазон.
На практике, чтобы применяемая стратегия разложения на составляющие оставалась информативной, нужно помнить еще несколько моментов. Разложение имеет определенные математические последствия, которые необходимо учитывать, чтобы определить, стал ли уровень неопределенности меньше, чем раньше.
• Если вы рассчитываете уменьшить неопределенность, перемножив две переменные, полученные при разложении, то эти переменные должны обладать не просто меньшей неопределенностью, чем начальный диапазон, а желательно намного меньшей. Как правило, соотношение верхнего и нижнего пределов переменных должно быть намного меньше трети соотношения между верхним и нижним пределами исходного диапазона. В примере из предыдущего раздела отношение пределов исходного диапазона было около 47 (7 млн долл. / 150 000 долл.), в то время как два других диапазона имели соотношения пределов 16 и 25 соответственно.
• Когда неопределенность в основном связана с какой-то одной из полученных при разложении переменных, отношение верхнего и нижнего пределов этой переменной должно быть меньше, чем у исходного диапазона. Например, пусть, по первоначальной оценке, стоимость отключения системы составляет от 1 до 5 млн долл. Если главным источником неопределенности для стоимости является продолжительность отключения, то соотношение верхнего и нижнего пределов ожидаемого времени простоя должно быть меньше соотношения верхнего и нижнего пределов первоначальной оценки (5 к 1). В ином случае от разложения не будет особого толка, и если есть основания доверять изначальному диапазону, то лучше использовать его. С другой стороны, это может означать и то, что изначальный диапазон был слишком узким, и тогда стоит присмотреться к результатам разложения.
• В некоторых случаях перемножаемые переменные связаны между собой таким образом, что от разложения не будет пользы, если только не задать модель этой взаимосвязи. Например, пусть нужно умножить A на B, чтобы получить C, при этом, когда значение A велико, значение B мало, а при большом значении B значение A маленькое. При оценке отдельных независимых диапазонов для A и B диапазон получившейся величины C может оказаться сильно завышенным. Так может произойти в случае с продолжительностью отключения системы и стоимостью часа простоя. А именно, чем важнее система, тем активнее будет вестись работа по ее возвращению в строй. Раскладывая событие на подобные составляющие, следует также моделировать их обратную зависимость. Или можно просто указать один общий диапазон воздействия, вместо того чтобы его раскладывать.
• Если у вас достаточно эмпирических данных для оценки распределения, то дальнейшее разложение на составляющие, вероятно, не принесет особой пользы.
Трудное разложение на составляющие: ущерб репутации
В ходе опроса, упомянутого в главе 5, некоторые специалисты по кибербезопасности (14 %) согласились с утверждением «невозможно рассчитать диапазон нематериальных последствий крупных рисков, таких как ущерб репутации». Несмотря на то что большинство не согласны с этим утверждением и на тему ведется немало дискуссий, нам редко доводилось наблюдать попытки смоделировать данный риск в сфере кибербезопасности. Обычно его приводят в качестве примера проблемы, которую очень сложно измерить. Поэтому мы хотим более подробно остановиться на этом конкретном виде убытков и показать, как с помощью эффективного разложения на составляющие можно решить даже такую, казалось бы, нематериальную проблему. В конце концов, считается, что репутация – это категория убытков, к которой специалисты в сфере кибербезопасности обращаются, когда хотят посеять как можно больше страха, неуверенности и сомнений. Ее потеря считается невосполнимой. Но повторим вопрос, заданный в главе 2 применительно к объекту измерения, а также ранее в этой главе применительно к критерию наблюдаемости Ховарда: «Что мы видим, когда сталкиваемся с потерей репутации?»
Многие сразу же скажут, что наблюдаемым количеством станет долгосрочная потеря продаж, а затем, возможно, добавят, что также упадут цены на акции. Конечно, эти два фактора взаимосвязаны. Если бы инвесторы (особенно институциональные, рассчитывающие влияние продаж на оценку рыночной стоимости) посчитали, что продажи сократятся, то цены на акции упали бы уже по этой одной причине. Таким образом, если бы наблюдались изменения в продажах или ценах на акции сразу после крупных событий, связанных с кибербезопасностью, это позволило бы выявить эффект ущерба репутации или по крайней мере эффекты, влияющие на принятие решений.
Логично предположить, что существует связь между крупной утечкой данных и потерей репутации, приводящей к изменениям объема продаж, цен на акции или обоих показателей. В статьях вроде «Target заявляет: взлом нанес ущерб продажам и имиджу. Совокупный ущерб еще не ясен» (Target Says Data Breach Hurt Sales, Image; Final Toll Isn’t Clear)5 выдвигаются предположения о наличии прямой связи между утечкой данных и репутацией. В сентябре 2014 года в журнале Forbes вышла статья аналитического агентства Trefis с Уолл-стрит, в которой отмечалось падение акций компании Target на 14 % в течение двух месяцев после взлома, и подразумевалось, что эти два события связаны6. В статье Trefis ссылается на Poneman Institute (ведущий исследовательский центр в сфере кибербезопасности, опирающийся в основном на данные опросов), согласно прогнозу которого ожидался 6 %-ный отток покупателей после крупной утечки данных. Исходя из этой информации, кажется очевидным, что крупная утечка данных ведет к значительному снижению продаж и рыночной стоимости акций.
И все же стоит относиться к таким заявлениям скептически. Несколько исследований, проводившихся до 2008 года, показали, что в день утечки наблюдалось незначительное изменение цены акций, но не было никакого долгосрочного эффекта7,8,9. Правда, эти исследования можно счесть устаревшими, поскольку они были опубликованы задолго до крупных утечек данных, таких как в компаниях Target и Anthem. Но так как эти компании торгуются на бирже, мы подумали, что достаточно будет найти и сравнить данные о продажах до и после взлома.
Естественно, изменения могут быть вызваны многими факторами, и некоторая волатильность ожидалась бы даже в случае отсутствия взломов. Поэтому при рассмотрении такого рода событий следует учитывать, насколько велики изменения по сравнению с исторической волатильностью продаж и цен на акции. На рис. 6.1 показаны изменения (относительно времени взлома) квартальных продаж трех крупных компаний розничной торговли, в которых произошли утечки данных, получившие широкую огласку: Home Depot, JCPenney и Target. На рис. 6.3 показаны изменения цен на акции этих компаний и компании Anthem.
Рис. 6.1. Поквартальное изменение объема продаж компаний розничной торговли, пострадавших от крупных утечек данных, относительно квартала, в котором произошла утечка
Рис. 6.2. Ежедневные изменения цены на акции компаний, пострадавших от крупных утечек данных, относительно дня, когда произошла утечка
На рис. 6.1 и 6.2 не заметно значительных изменений после утечки данных по сравнению с волатильностью до утечки. Для лучшего понимания рассмотрим изменения относительно исторической волатильности.
Рис. 6.3. Изменение цен на акции трех компаний розничной торговли после крупной утечки данных в сравнении с исторической волатильностью
Рис. 6.4. Изменения в скорректированных с учетом сезонности квартальных продажах после утечки данных в сравнении с исторической волатильностью
На рис. 6.3 и 6.4 историческая волатильность продаж и цен на акции показана в течение трех лет до утечки данных в виде интервала с пятого по 95-й процентиль изменений. Маркерами отмечены изменения после утечки данных в сравнении с диапазоном исторической волатильности (вертикальные пунктирные линии). Изменения продаж и цен на акции после утечки данных показаны относительно их исторической волатильности.
Как видно, любая связь между крупной утечкой данных и продажами или ценой на акции в лучшем случае является слабой, даже при таких масштабных утечках, что произошли в Home Depot и Target. И хотя создается впечатление, что утечки данных могли привести к некоторому снижению в среднем, подобное снижение можно объяснить историческим «шумом» ежедневных или квартальных изменений. В марте 2015 года в журнале Forbes были опубликованы результаты еще одного анализа агентства Trefis, из которых следовало, что хотя у Home Depot не было фактических потерь в кварталах после утечки данных, но, по заявлению руководства, компания понесла из-за случившегося другие убытки, в том числе связанные с «юридической помощью, мошенничеством с платежными картами и расходами на перевыпуск карт»10.
Что же касается падения стоимости акций на 14 %, которое наблюдалось у компании Target в течение двух месяцев после утечки данных, то его тоже следует рассматривать в контексте. Так, ранее в том же году, когда произошла утечка, имело место схожее снижение цен акций Target на 14 % за двухмесячный период с августа по сентябрь. А к ноябрю 2014 года цена оказалась даже выше, чем непосредственно перед утечкой данных.
А как же опросы, показывающие, что потребители перестанут покупать товары в розничных магазинах, пострадавших от крупной утечки данных? Тут можно лишь сказать, что показатели продаж не соответствуют заявлениям респондентов. Это вполне согласуется с фактом, что, по-видимому, выражаемая в вопросе позиция относительно ценности частной жизни и безопасности не отражается на реальных поступках, как показано в одном австралийском исследовании11. Trefis даже было добавлено примечание по поводу наблюдаемого снижения продаж у Target, указывающее, что «клиентопоток в данной отрасли продаж в целом снижается из-за постепенного перехода покупателей в онлайн, где присутствие компании Target ничтожно мало»12. В Trefis также отметили следующее касательно компании Home Depot:
Несмотря на то что речь идет о проблеме более масштабной, чем утечка данных в компании Target в конце 2013 года, маловероятно, что Home Depot потеряет значительную часть прибыли. Отчасти это объясняется в целом благоприятной ситуацией в экономике США, и на рынке жилья в частности. Более того, если от Target клиенты перешли к таким компаниям, как Costco или Kohl's, то в случае, когда речь идет о покупке фанеры, пил, цемента и тому подобного, конкуренция почти отсутствует13.
Таким образом, становится понятно, что существуют и другие факторы, влияющие на возникновение у компании розничной торговли трудностей с удержанием клиентов. Поэтому, вероятно, в ситуации реальной «потери репутации» также многое будет зависеть от того, куда клиенты компании могут обратиться, чтобы получить те же продукты и услуги. Но даже при наличии всех этих факторов, как было в случае с компанией Target, все равно трудно отделить их влияние от обычных колебаний рынка.
Наконец, если обратиться к прошлым сообщениям о суммах затрат, вызванных утечками данных, кое-что не сходится. Убытки от утечки данных в компании T.J. Maxx в 2007 году оценивались в более чем 1,7 млрд долл.14 Прошло достаточно времени, чтобы проявились даже отдаленные последствия. Но если какие-то убытки, приближенные к этой сумме, и были, то они, похоже, хорошо скрыты в финансовых отчетах компании. До утечки данных годовой доход от операций T.J. Maxx составлял около 700 млн долл., а в какой-то момент после утечки вырос до примерно 1,2 млрд долл. В годовых отчетах представлены весьма обобщенные данные, однако воздействие, даже вполовину менее серьезное, чем предсказывалось, должно было явственно отразиться хоть в одном году. Тем не менее подобного влияния не видно ни по прибыли, ни по расходам, ни по денежным средствам или новым займам. Безусловно, компания T.J. Maxx понесла убытки, но нет никаких доказательств, что их сумма была хоть сколько-нибудь приближена к 1,7 млрд долл.
Потерять бизнес в результате утечки данных возможно, но тот факт, что эффект такого воздействия трудно отделить от обычных ежедневных или поквартальных колебаний, помогает определить практический подход к моделированию данного типа убытков. Маршалл Кюперс, кандидат наук в области управления и инженерии из Стэнфорда, посвятил свое исследование изучению этих вопросов. Вот что рассказал Кюперс авторам данной книги:
В ходе научных исследований рассматривалось влияние сообщений об утечке данных на цену акций организаций, и раз за разом не находилось достаточных доказательств связи этих двух явлений между собой. Установить взаимосвязь сложно, поскольку сигналы быстро рассеиваются, а статистически значимая корреляция исчезает примерно через три дня.
Мы не утверждаем, что крупные утечки данных не приносят убытки. С ними связаны реальные затраты, но следует подумать, как моделировать их иначе, без туманных отсылок на репутацию. Фактические «репутационные» убытки можно более реалистично смоделировать как ряд вполне материальных затрат, называемых нами «проекты по искуплению», а также других внутренних и юридических обязательств. Проекты по искуплению – расходы компании, направленные на сокращение долгосрочных последствий потери репутации. Другими словами, компании, похоже, стараются контролировать ущерб, наносимый их репутации, а не принимают последствия как есть, что, возможно, приводило бы к гораздо большему урону. Подобные усилия, по-видимому, оказывают достаточный сдерживающий эффект на реальные репутационные потери, раз их влияние на продажи или цены на акции малозаметно. К таким сдерживающим мерам относятся:
• крупные новые инвестиции в системы и политику кибербезопасности для исправления потенциальных уязвимостей;
• замена значительной части руководителей высшего звена, отвечающих за кибербезопасность (они могут оказаться козлами отпущения, но такой шаг может быть необходим для репутации);
• активизация взаимодействия с общественностью с целью убедить клиентов и акционеров, что проблема решается (это помогает донести до аудитории, что усилия из предыдущих пунктов позволят решить проблему);
• маркетинговые и рекламные кампании (помимо распространения информации о том, как была решена проблема) для компенсации возможных потерь в бизнесе.
По всей видимости, именно эти действия по минимизации негативного воздействия на репутацию, а не сам ущерб репутации и требуют реальных затрат. Каждое из них представляет собой удобный конкретный показатель, для которого у нас есть множество примеров в прошлом. Безусловно, если, на ваш взгляд, ущерб репутации связан с иными затратами, то следует смоделировать их. Но что в действительности значит для бизнеса ущерб репутации, если невозможно обнаружить его влияние ни на продажи, ни на цены акций? Поэтому главное – убедитесь, что ваше предположение подкреплено эмпирической базой. В противном случае, возможно, будет проще придерживаться стратегии расходов на проекты по искуплению.
Итак, если потратить чуть больше времени и усилий на анализ, можно получить разумную оценку даже такого вроде бы «неосязаемого» явления, как потеря репутации.
Заключение
Разложение на составляющие может быть в определенной мере очень полезным, что было нами продемонстрировано на простом дополнительном разложении, которое можно использовать для развития примера из главы 3. Кроме того, загружаемая электронная таблица-образец и описание распределений в приложении А познакомят вас еще с некоторыми инструментами, полезными при разложении.
Мы также отметили, что разложения на составляющие бывают неинформативными. Необходимо строить разложение таким образом, чтобы в нем применялись известные фактические данные – какими бы ограниченными они ни были, – а не суждения о суждениях. Стоит проверять свои разложения на составляющие с помощью симуляций и сравнивать результаты с первоначальной оценкой до разложения. Это покажет, удалось ли в результате разложения на составляющие сузить диапазон оценки ущерба, или, наоборот, его придется расширить. В конце мы проработали особенно сложное для количественной оценки воздействие – потерю репутации – и показали, что даже в таких случаях есть конкретные наблюдаемые последствия, которые можно оценить.
Пока еще не затрагивалась тема разложения на составляющие вероятности событий, за исключением определения вероятности наступления двух типов событий (нарушение доступности в сравнении с нарушением конфиденциальности и целостности). Вероятность часто является бóльшим источником неопределенности для аналитика и беспокойства для руководства, чем воздействие. К счастью, ее тоже можно разложить на составляющие, данный вопрос будет рассмотрен позже в этой части.
Еще необходимо выяснить, откуда берутся первоначальные оценки диапазонов и вероятности. Как обсуждалось в предыдущих главах, экспертов, которые раньше присваивали произвольные баллы в матрицах рисков, можно научить присваивать субъективные вероятности, причем так, что это само по себе уже приведет к измеримым улучшениям оценки. Затем такую первоначально заданную неопределенность можно скорректировать с помощью очень полезных математических методов, даже если кажется, что данных мало. Мы рассмотрим эти темы в двух последующих главах: «Калиброванные оценки» и «Уменьшение неопределенности с помощью байесовских методов».
1. Ronald A. Howard and Ali E. Abbas, Foundations of Decision Analysis (New York: Prentice Hall, 2015), 62.
2. Michael Burns and Judea Pearl. “Causal and Diagnostic Inferences: A Comparison of Validity,” Organizational Behavior and Human Performance 28, no. 3 (1981): 379–394.
3. Ronald A. Howard, “Decision Analysis: Applied Decision Theory,” Proceedings of the Fourth International Conference on Operational Research (New York: Wiley-Interscience, 1966).
4. Ronald A. Howard and Ali E. Abbas, Foundations of Decision Analysis (New York: Prentice Hall, 2015), xix.
5. “Target Says Data Breach Hurt Sales, Image; Final Toll Isn’t Clear,” Dallas Morning News, March 14, 2014.
6. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” Forbes, March 30, 2015, www.forbes.com/sites/greatspeculations/2015/03/30/home-depot-will-the-impact-of-the-data-breach-besignificant/#1e882f7e69ab.
7. Karthik Kannan, Jackie Rees, and Sanjay Sridhar, “Market Reactions to Information Security Breach Announcements: An Empirical Analysis,” International Journal of Electronic Commerce 12, no. 1 (2007): 69–91.
8. Alessandro Acquisti, Allan Friedman, and Rahul Telang, “Is There a Cost to Privacy Breaches? An Event Study,” ICIS 2006 Proceedings (2006): 94.
9. Huseyin Cavusoglu, Birendra Mishra, and Srinivasan Raghunathan, “The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers,” International Journal of Electronic Commerce 9, no. 1 (2004): 70–104.
10. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” March 27, 2015, www.trefis.com/stock/hd/articles/286689/home-depot-will-the-impact-of-the-data-breach-be-significant/2015-03-27.
11. Wallis Consulting Group, Community Attitudes to Privacy 2007, prepared for the Office of the Privacy Commissioner, Australia, August 2007, www.privacy.gov.au/materials/types/download/8820/6616.
12. Trefis Team, “Data Breach Repercussions and Falling Traffic to Subdue Target’s Results,” August 18, 2014, www.trefis.com/stock/tgt/articles/251553/aug-20data-breach-repercussions-and-falling-traffic-tosupdue-targets-results/2014-08-18.
13. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” March 27, 2015, www.trefis.com/stock/hd/articles/286689/home-depot-will-the-impact-of-the-data-breach-be-significant/2015-03-27.
14. Ryan Singel, “Data Breach Will Cost TJX 1.7B, Security Firm Estimates,” Wired, March 30, 2007, www.wired.com/2007/03/data_breach_wil/.