साइबर जोखिमों से होने वाले संभावित नुकसान की गणना करते समय, सांख्यिकीय डेटा उतना ही महत्वपूर्ण होता है जितना कि इसकी व्याख्या करना। Kaspersky विशेषज्ञ Black Hat 2020 सम्मेलन की एक पोस्ट पर टिप्पणी करते हैं।
कोई भी कंपनी की सुरक्षा के लिए लाखों खर्च नहीं करना चाहता है अगर किसी घटना की स्थिति में वास्तविक नुकसान हजारों से अधिक नहीं होगा। जब डेटा लीक से संभावित नुकसान सैकड़ों हजारों में हो सकता है, तो कोनों को काटने से लागत में कटौती समान रूप से व्यर्थ है। लेकिन किसी कंपनी को साइबर घटना से होने वाली अनुमानित क्षति की गणना करने के लिए किस जानकारी का उपयोग करना चाहिए? और आप ऐसी घटना की वास्तविक संभावना का आकलन कैसे करते हैं? ब्लैक हैट 2020 सम्मेलन में, दो शोधकर्ताओं, वर्जीनिया टेक के प्रोफेसर वेड बेकर और साइएंटिया इंस्टीट्यूट के एक वरिष्ठ विश्लेषक डेविड सेवरस्की ने जोखिम मूल्यांकन पर अपना दृष्टिकोण प्रस्तुत किया। आपके तर्क जांच के लायक हैं।
कोई भी गुणवत्ता वाला साइबर सुरक्षा पाठ्यक्रम सिखाता है कि जोखिम मूल्यांकन दो मुख्य कारकों पर निर्भर करता है: किसी घटना की संभावना और उसके संभावित नुकसान। लेकिन यह डेटा कहां से आता है और इससे भी महत्वपूर्ण बात यह है कि इसकी व्याख्या कैसे की जानी चाहिए? आखिरकार, संभावित नुकसान का आकलन गलत तरीके से गलत निष्कर्ष की ओर ले जाता है, जिसके परिणामस्वरूप गैर-अनुकूलित सुरक्षा रणनीतियां होती हैं।
क्या समांतर माध्य एक उपयोगी संकेतक है?
कई कंपनियां डेटा उल्लंघनों के कारण संभावित वित्तीय नुकसान का अध्ययन करती हैं। उनके "मुख्य परिणाम" आमतौर पर तुलनीय आकार की कंपनियों के घाटे का औसत होते हैं। परिणाम गणितीय रूप से मान्य है और आकर्षक सुर्खियों में संख्या बहुत अच्छी लग सकती है, लेकिन क्या वास्तव में जोखिम की गणना करने के लिए इस पर भरोसा किया जा सकता है?
एक ही डेटा को ग्राफ़ में प्लॉट करना (क्षैतिज अक्ष के साथ कुल नुकसान; ऊर्ध्वाधर अक्ष के साथ घटनाओं की संख्या) दर्शाता है कि अंकगणितीय माध्य सही संकेतक नहीं है। 90% घटनाओं में, औसत नुकसान अंकगणितीय माध्य से कम है।
विभिन्न संकेतकों द्वारा नुकसान का आकलन
जब नुकसान के बारे में बात की जाती है जो एक औसत कंपनी उठा सकती है, तो यह अन्य संकेतकों को देखने के लिए अधिक समझ में आता है, विशेष रूप से माध्यिका (वह संख्या जो नमूने को दो बराबर भागों में विभाजित करती है, जैसे कि रिपोर्ट की गई संख्या का आधा अधिक है और आधा कम है) और ज्यामितीय माध्य (एक आनुपातिक औसत)। ज्यादातर कंपनियों को सिर्फ इतना ही नुकसान होता है। असामान्य रूप से उच्च नुकसान के साथ घटनाओं की एक छोटी संख्या के कारण अंकगणितीय माध्य बहुत भ्रमित करने वाली संख्या हो सकती है।
डेटा उल्लंघन की औसत लागत
एक संदिग्ध "औसत" का एक और उदाहरण डेटा ब्रीच लॉस कैलकुलेशन मेथड से आता है, जो रिकॉर्ड के नुकसान से होने वाली क्षति की औसत मात्रा से प्रभावित रिकॉर्ड की संख्या को गुणा करता है। अभ्यास से पता चला है कि यह विधि छोटी घटनाओं के नुकसान को कम आंकती है, और बड़ी घटनाओं के नुकसान को बहुत कम आंकती है।
एक उदाहरण: कुछ समय पहले, कई एनालिटिक्स साइटों पर एक कहानी प्रसारित की गई थी जिसमें दावा किया गया था कि गलत कॉन्फ़िगर की गई क्लाउड सेवाओं से व्यवसायों को लगभग $5 ट्रिलियन का नुकसान हुआ है। शोध करने पर कि यह खगोलीय राशि कहां से आई, यह स्पष्ट हो जाता है कि $5 ट्रिलियन का आंकड़ा "लीक" रिकॉर्ड की संख्या को एक रिकॉर्ड के नुकसान ($150) के कारण होने वाले औसत नुकसान से गुणा करके प्राप्त किया गया था। बाद वाला नंबर 2019 पोमॉन इंस्टीट्यूट के डेटा ब्रीच की लागत पर किए गए अध्ययन से आया है।
अंकगणित के साधन हमेशा नुकसान के बारे में स्पष्ट जानकारी नहीं देते हैं
हालाँकि, कहानी को कुछ आपत्तियों के साथ देखा जाना चाहिए। सबसे पहले, अध्ययन ने सभी घटनाओं पर विचार नहीं किया। दूसरा, अंकगणितीय माध्य नुकसान का स्पष्ट संकेत नहीं देता है, भले ही केवल इस्तेमाल किए गए नमूने को देखते हुए। केवल ऐसे मामलों पर विचार किया गया जिनके नुकसान से $10.000 से कम और 1 प्रतिशत से अधिक का नुकसान होगा। इसके अतिरिक्त, अध्ययन पद्धति यह स्पष्ट करती है कि माध्य 100.000 से अधिक रिकॉर्ड वाली घटनाओं के लिए मान्य नहीं है। इसलिए, गलत कॉन्फ़िगर की गई क्लाउड सेवाओं के कारण लीक हुए रिकॉर्ड की कुल संख्या को 150 से गुणा करना मौलिक रूप से गलत था।
यदि इस पद्धति का परिणाम सही जोखिम मूल्यांकन में होना है, तो इसमें घटना की भयावहता के आधार पर नुकसान की संभावना का एक अन्य संकेतक शामिल होना चाहिए।
डोमिनोज़ प्रभाव
एक अन्य कारक जिसे किसी घटना से होने वाले नुकसान की गणना करते समय अक्सर अनदेखा किया जाता है, ऐसे आधुनिक डेटा उल्लंघनों की श्रृंखला प्रतिक्रिया होती है, जो केवल एक संगठन से अधिक को प्रभावित करती है। कई मामलों में, तृतीय-पक्ष कंपनियों (भागीदारों, ठेकेदारों और आपूर्तिकर्ताओं) द्वारा होने वाली समग्र क्षति उस कंपनी को हुई क्षति से अधिक होती है जिससे डेटा लीक हुआ था।
इस तरह की घटनाओं की संख्या हर साल बढ़ रही है क्योंकि "डिजिटलीकरण" की ओर सामान्य रुझान विभिन्न कंपनियों में व्यावसायिक प्रक्रियाओं की अन्योन्याश्रितता की डिग्री को बढ़ाता है। रिस्करेकॉन और साइएंटिया द्वारा किए गए अध्ययन के परिणामों के अनुसार, इस प्रकार की 813 घटनाओं के परिणामस्वरूप 5.437 संगठनों और कंपनियों को नुकसान हुआ। इसका मतलब यह है कि प्रत्येक कंपनी जो डेटा उल्लंघन का शिकार होती है, औसतन चार से अधिक कंपनियां इस घटना से प्रभावित होती हैं।
व्यावहारिक सुझाव
संक्षेप में, साइबर जोखिमों का आकलन करने वाले समझदार विशेषज्ञों को निम्नलिखित सलाह पर ध्यान देना चाहिए:
- भड़कीली सुर्खियों पर विश्वास न करें। भले ही कई वेबसाइटों में कुछ जानकारी होती है, यह जरूरी नहीं है कि यह सही हो। हमेशा दावे का समर्थन करने वाले स्रोत को देखें और स्वयं शोधकर्ताओं की कार्यप्रणाली का विश्लेषण करें।
- केवल उन शोध परिणामों का उपयोग करें जिन्हें आप सामग्री के संदर्भ में समझ सकते हैं और आपके जोखिम मूल्यांकन के अनुरूप हैं।
- याद रखें कि आपकी कंपनी में कोई घटना अन्य कंपनियों के डेटा उल्लंघन का कारण बन सकती है। यदि कोई रिसाव होता है जिसके लिए आपकी कंपनी जिम्मेदार है, तो संभावना है कि अन्य पक्ष आपके खिलाफ कानूनी कार्रवाई करेंगे, जिससे घटना से आपकी क्षति बढ़ जाएगी।
- विपरीत स्थिति को भी न भूलें। भागीदारों, आपूर्तिकर्ताओं और ठेकेदारों पर डेटा का उल्लंघन, जिन पर आपका कोई नियंत्रण नहीं है, वे भी आपके डेटा को लीक कर सकते हैं।
Kaspersky.com पर ब्लॉग पर और पढ़ें
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी