Оценка инвестиций в ИБ

При оценке эффективности ИБ (в т.ч. и с точки зрения экономики) обычно используют подход из теории принятия решения, аналогичный анализу рисков (в России используют только его). Идея проста — оцениваем риск в терминах вероятности его реализации и ущерба от него. Затем выбираем методы снижения риска (или принятия, или перекладывания), стоимость которых должна быть ниже потенциального ущерба. Эту классическую идею применительно к экономике ИБ впервые развили Гордон и Леб. Потом ее многие крутили так и эдак (например, иерархическая голографическая модель Лонгстаффа или работы Ху), не сильно отклоняясь от первоначальной идеи.

В 2003-м году появились первые серьезные наработки, использующие совершенно иной подход в оценке эффективности вложений в ИБ, основанный на теории игр. Их автором является Кавузоглы. Как нам говорит Википедия, «теория игр — математический метод изучения оптимальных стратегий в играх. Под игрой понимается процесс, в котором участвуют две и более сторон, ведущих борьбу за реализацию своих интересов. Каждая из сторон имеет свою цель и использует некоторую стратегию, которая может вести к выигрышу или проигрышу — в зависимости от поведения других игроков. Теория игр помогает выбрать лучшие стратегии с учётом представлений о других участниках, их ресурсах и их возможных поступках«. Кто помнит фильм «Игры разума», тот поймет о чем идет речь.
Очевидно, что противоборство безопасника и нарушителя может быть отлично описано теорией игр. Но применяется она в первую очередь в экономике. К рынку ИБ ее можно применять по-разному.

Кавузоглы применил ее к оценке оптимального объема инвестиций в ИБ. Из интересных особенностей этой модели можно назвать возможность оценки вклада отдельных технологий (IPS, МСЭ и т.д.) в инвестиционную привлекательность проектов по ИБ, а также влияние одной технологии ИБ на другую. Например, полное отсутствие защиты периметра делает применение МСЭ Cisco ASA с модулем IPS вполне оправданным, а при наличии уже имеющейся IPS выбор в пользу ASA может быть не такой очевидный — возможно проще будет возложить решение задачи межсетевого экранирования на встроенный в каждый маршрутизатор Cisco IOS Firewall. Модель Кавузоглы позволяет делать обоснованные решения в пользу того или иного решения.

В своих работах Кавузоглы с коллегами показал, что теория игр применительно к ИБ более предпочтительна, чем классическая теория принятия  решений, т.к. позволяет делать более оптимальные инвестиции.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Александр Бодрик

    Не уверен что сравнение рынка ИБ и рынка подержанных автомобилей корректно, т.к. у каждого автомобиля есть владелец который не производит свой товар и соответственно не может влиять на себестоимость, ну а себестоимость и маржа в производстве ПО вообще может быть космической — стоит только посмотреть на темпы роста некоторых софтверных компаний.

    А вот сама теория игр штука перспективная, но кто ее будет применять? Современный безопасник и так напоминает туго набитую знаниями сумку..Нужны утилиты и гайдлайны:)

    Ответить
  2. Ригель

    Алексею Лукацкому:

    На счет большей перспективности это сгоряча: есть угрозы, связанные с действием источника, не имеющего умысла (интереса) и не следующего стратегии. Если к визиту уполномоченного органа пригоднее теория игр, то к падению метеорита принятия решений 😉

    Ответить
  3. Алексей Лукацкий

    Александру: Применимость — это ключевой вопрос ;-( Ну так у нас многие неплохие вещи не применяются. Но как минимум знать о них стоит.

    Ригелю: Почему сгоряча? Многие актуальные вещи этой теорией закроются. Именно актуальные. Та же угроза прихода регулятора. Она сейчас ключевая для многих. В отличие от падающего метеорита 😉 Если уж вдаваться в детали, то среди источников угроз ИБ основное их число попадет в умышленные. Неуправляемые источники навроде стихийных бедствий важны, но скорее в контексте близкого тебе BCP, а не ИБ 😉

    Ответить
  4. Ригель

    Почти. Не все антропогенные источники являются умышленными, иные можно за стохастические принимать. Я поэтому и настаиваю, что для _части_ рисков ТИ перспективнее. Но это мы уже за %% долей торгуемся, а не в принципе.

    Ответить
  5. Алексей Лукацкий

    Для части согласен 😉 Универсального рецепта же все равно нет

    Ответить
  6. Unknown

    Я так понял, что работы Кавузоглы достойны внимания и изучения. А можно ссылочку? Потому, как в кирилице найти не удается и поиск после транслитерации в латиницу закончился неудачей (подозреваю, что что-то делаю не так)

    Ответить
  7. Алексей Лукацкий

    Cavusoglu

    Ответить
  8. Unknown

    Спасибо.
    Быстро нашел только http://people.commerce.ubc.ca/faculty/cavusoglu/huseyin/paper/ids.pdf

    ИМХО модель достаточно сложна, даже с учетом принятых допущений. Слабо верится в практическую реализацию.

    А иллюстрация практического применения модели кому-то попадалась?

    Ответить
  9. Unknown

    А касательно «теория игр» vs «теории принятия решений» не думаю, что на данном историческом отрезке первая уж так хороша : принимая во внимание фактически не ограниченные ресурсы атакующего и скорость изменения его стратегии, затраты на анализ выбора оптимального сценария защиты и его последующая эффективность данного сценария ИМХО представляются не оправданными.

    Ответить