Під час розрахунку потенційних втрат від кіберризиків статистичні дані так само важливі, як і їх інтерпретація. Фахівці Kaspersky коментують пост з конференції Black Hat 2020.
Ніхто не хоче витрачати мільйони на захист компанії, якщо реальний збиток у разі інциденту не перевищить тисячі. Настільки ж безглуздим є скорочення витрат, коли потенційна шкода від витоку даних може обчислюватися сотнями тисяч. Але яку інформацію потрібно використовувати, щоб розрахувати приблизний збиток, якого компанія зазнає від кіберінциденту? А як ви оцінюєте реальну ймовірність такого інциденту? На конференції Black Hat 2020 двоє дослідників, професор Уейд Бейкер з Технічного університету Вірджинії та Девід Северскі, старший аналітик Інституту Сентія, представили свою точку зору на оцінку ризиків. Ваші аргументи варті перевірки.
Будь-який якісний курс з кібербезпеки вчить, що оцінка ризику залежить від двох основних факторів: ймовірності інциденту та потенційних втрат. Але звідки беруться ці дані і, що важливіше, як їх інтерпретувати? Адже некоректна оцінка можливих втрат призводить до помилкових висновків, які в свою чергу призводять до неоптимізованих стратегій захисту.
Чи є середнє арифметичне корисним показником?
Багато компаній проводять дослідження можливих фінансових втрат через витік даних. Їх «основні результати» зазвичай є середніми значеннями збитків компаній порівнянного розміру. Результат є математично дійсним, і число може виглядати чудово в помітних заголовках, але чи справді на нього можна покладатися для розрахунку ризику?
Нанесення тих самих даних на графік (загальні збитки по горизонтальній осі; кількість інцидентів по вертикальній осі) показує, що середнє арифметичне не є правильним показником. У 90% інцидентів середні втрати нижчі середнього арифметичного.
Оцінка збитків за різними показниками
Якщо говорити про збитки, яких може зазнати середня компанія, то доцільніше буде розглянути інші показники, зокрема медіану (число, яке ділить вибірку на дві рівні частини, так що половина звітних чисел є вищою, а половина менше) і середнє геометричне (пропорційне середнє). Більшість компаній зазнають саме таких збитків. Середнє арифметичне може бути дуже заплутаним числом через невелику кількість інцидентів із надзвичайно високими втратами.
Розподіл збитків від порушення даних. Джерело: дослідження cyentia.com “Information Risk Insights Study – IRIS 2020”
Середня вартість витоку даних
Іншим прикладом сумнівного «середнього» є метод розрахунку втрати від порушення даних, який множить кількість постраждалих записів на середню суму збитку в результаті втрати запису. Практика показала, що цей метод недооцінює збитки від малих інцидентів і значно завищує збитки від великих інцидентів.
Наприклад: Нещодавно на багатьох аналітичних сайтах поширювалася історія про те, що неправильно налаштовані хмарні служби обійшлися компаніям у майже 5 трильйонів доларів. Досліджуючи, звідки взялася ця астрономічна сума, стає зрозуміло, що цифра в 5 трильйонів доларів була отримана простим множенням кількості «витоку» записів на середній збиток, завданий втратою запису (150 доларів). Остання цифра отримана з дослідження Ponemon Institute 2019 року про вартість витоку даних.
Середні арифметичні не завжди дають чітку інформацію про втрати
Однак цю історію слід розглядати з деякими застереженнями. По-перше, дослідження врахувало не всі інциденти. По-друге, середнє арифметичне не дає чіткої індикації втрат, навіть якщо розглядати лише використану пробу. Розглядалися лише випадки, втрата яких призвела б до збитків менше 10.000 1 доларів США та більше 100.000 цента. Крім того, методологія дослідження чітко визначає, що середнє значення недійсне для інцидентів, пов’язаних із понад 150 XNUMX записів. Тому множити загальну кількість записів, витоку через неправильно налаштовані хмарні сервіси, на XNUMX було принципово неправильним.
Якщо цей метод має привести до справжньої оцінки ризику, він повинен включати інший показник ймовірності збитків залежно від масштабу інциденту.
Ефект доміно
Іншим фактором, який часто не враховують при підрахунку збитку від інциденту, є ланцюгова реакція таких сучасних витоків даних, яка впливає не лише на одну організацію. У багатьох випадках загальна шкода, заподіяна сторонніми компаніями (партнерами, підрядниками та постачальниками), перевищує шкоду компанії, з якої стався витік даних.
Кількість таких інцидентів зростає з кожним роком, оскільки загальна тенденція до «цифровізації» збільшує ступінь взаємозалежності бізнес-процесів у різних компаніях. Згідно з результатами дослідження, проведеного RiskRecon і Cyentia, 813 інцидентів такого типу призвели до збитків для 5.437 організацій і компаній. Це означає, що на кожну компанію, яка постраждала від витоку даних, у середньому більше чотирьох компаній постраждали від інциденту.
практичні поради
Таким чином, розумні експерти, які оцінюють кіберризики, повинні прислухатися до наступних порад:
- Не довіряйте яскравим заголовкам. Незважаючи на те, що багато веб-сайтів містять певну інформацію, вона не обов’язково є правильною. Завжди дивіться на джерело, яке підтверджує твердження, і самостійно аналізуйте методологію дослідників.
- Використовуйте лише ті результати досліджень, які вам зрозумілі з точки зору змісту та відповідають вашій оцінці ризику.
- Пам’ятайте, що інцидент у вашій компанії може призвести до витоку даних інших компаній. Якщо станеться витік, за який несе відповідальність ваша компанія, інші сторони, ймовірно, подадуть проти вас судовий позов, збільшивши ваші збитки від інциденту.
- Не забувайте і про протилежний випадок. Порушення даних у партнерів, постачальників і підрядників, які ви не контролюєте, також може призвести до витоку ваших даних.
Докладніше читайте в блозі на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/