サイバー リスクによる潜在的な損失を計算する場合、統計データはそれを解釈することと同じくらい重要です。 Kaspersky の専門家が、Black Hat 2020 カンファレンスの投稿にコメントしています。
インシデントが発生した場合の実際の損害が数千を超えないのであれば、企業を保護するために数百万ドルを費やすことを誰も望んでいません。 同様に無意味なのは、データ漏えいによる潜在的な損害が数十万に上る可能性がある場合に手抜きをしてコストを削減することです。 しかし、サイバーインシデントによって企業が被るおおよその損害を計算するには、どのような情報を使用すればよいでしょうか? そして、そのような事件の実際の確率をどのように評価しますか? Black Hat 2020 カンファレンスで、バージニア工科大学の Wade Baker 教授と Cyentia Institute の上級アナリストである David Seversky という XNUMX 人の研究者が、リスク評価に関する彼らの見解を発表しました。 あなたの議論は検討する価値があります。
質の高いサイバーセキュリティ コースでは、リスク評価は、インシデントの可能性と潜在的な損失という XNUMX つの主な要因に依存することを教えています。 しかし、このデータはどこから来て、さらに重要なことに、どのように解釈すべきなのでしょうか? 結局のところ、潜在的な損失の評価は誤った結論につながり、その結果、最適化されていない保護戦略がもたらされます。
算術平均は有用な指標ですか?
多くの企業は、データ侵害による経済的損失の可能性について調査を行っています。 彼らの「主な結果」は通常、同等の規模の企業の損失の平均です。 結果は数学的に有効であり、その数字はキャッチーな見出しで見栄えがよくなりますが、リスクを計算するために本当に信頼できるのでしょうか?
同じデータをグラフにプロットすると (横軸は総損失、縦軸はインシデント数)、算術平均が適切な指標ではないことがわかります。 インシデントの 90% で、平均損失は算術平均を下回っています。
各種指標による損失査定
平均的な企業が被る可能性のある損失について話すときは、他の指標、特に中央値 (サンプルを XNUMX つの等しい部分に分割する数値で、報告された数値の半分がより高く、残りの半分がより高くなるようにする数値) を見ることがより理にかなっています。より低い) および幾何平均 (比例平均)。 ほとんどの企業はまさにそのような損失を被っています。 算術平均は、異常に高い損失を伴うインシデントの数が少ないため、非常に紛らわしい数値になる可能性があります。
データ侵害損失の分布。 出典: cyentia.com の調査「Information Risk Insights Study – IRIS 2020」
データ侵害の平均コスト
疑わしい「平均」のもう XNUMX つの例は、データ漏えい損失の計算方法に由来します。この方法では、レコードの損失に起因する損害の平均量によって影響を受けるレコードの数を掛けます。 実践では、この方法は小さなインシデントの損失を過小評価し、大きなインシデントの損失を大幅に過大評価することが示されています。
例: 少し前に、クラウド サービスの構成ミスにより企業に 5 兆ドル近くの損失が発生したと主張する記事が、多くの分析サイトに広まりました。 この天文学的な金額がどこから来たのかを調査すると、「漏洩した」レコードの数に、レコードの損失によって引き起こされた平均損害額 (5 ドル) を掛けるだけで、150 兆ドルという数字が得られたことが明らかになります。 後者の数値は、データ侵害のコストに関する 2019 年の Ponemon Institute の調査に基づいています。
算術手段は、損失に関する明確な情報を常に提供するとは限りません
ただし、このストーリーは、いくつかの留保を付けて表示する必要があります。 まず第一に、この調査ではすべてのインシデントが考慮されていません。 第二に、算術平均は、使用したサンプルだけを見ても、損失を明確に示しません。 損失が 10.000 ドル未満で 1 セントを超える損害をもたらすケースのみが考慮されました。 さらに、調査方法論は、平均が 100.000 を超えるレコードを含むインシデントには有効でないことを明らかにしています。 したがって、クラウド サービスの構成ミスによって漏洩したレコードの総数に 150 を掛けることは、根本的に間違っていました。
この方法で真のリスク評価を行う場合は、インシデントの規模に応じて損失の可能性を示す別の指標を含める必要があります。
ドミノ効果
インシデントによる損害を計算する際に見落とされがちなもう XNUMX つの要因は、このような最新のデータ侵害の連鎖反応であり、複数の組織に影響を及ぼします。 多くの場合、第三者企業 (パートナー、請負業者、サプライヤー) によって引き起こされた全体的な損害は、データが漏洩した企業の損害を上回ります。
このようなインシデントの数は、「デジタル化」に向かう一般的な傾向により、さまざまな企業のビジネス プロセスの相互依存度が高まるにつれて、毎年増加しています。 RiskRecon と Cyentia が実施した調査の結果によると、この種の 813 件のインシデントにより、5.437 の組織と企業が損失を被りました。 これは、データ漏えいに苦しむすべての企業について、平均して XNUMX 社以上がインシデントの影響を受けることを意味します。
プラクシスティプス
要約すると、サイバーリスクを評価する賢明な専門家は、次のアドバイスに注意する必要があります。
- 派手な見出しを信用しないでください。 多くの Web サイトには特定の情報が含まれていますが、必ずしも正しいとは限りません。 常に主張を裏付ける情報源に目を向け、研究者自身の方法論を分析してください。
- 内容に関して理解でき、リスク評価と一致する調査結果のみを使用してください。
- あなたの会社で発生したインシデントは、他の会社のデータ侵害につながる可能性があることを忘れないでください。 あなたの会社が責任を負うリークが発生した場合、他の当事者はあなたに対して法的措置を講じる可能性が高く、インシデントによる被害が増加します.
- 逆の場合も忘れないでください。 あなたが制御できないパートナー、サプライヤー、および請負業者でのデータ侵害も、あなたのデータを漏らす可能性があります。
Kaspersky.com のブログで詳細を読む
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。