Почему риск-ориентированный подход не работает в промышленной кибербезопасности

Рефлексия
Вчера (28 сентября) я выступал на пленарной дискуссии конференции по промышленной кибербезопасности, устроенной Лабораторией Касперского в Санкт-Петербурге, и по ее результатам мне хотелось бы описать мысль, которую я пытался донести на мероприятии.

Идея моего пятиминутного выступления была очень простой — риск-ориентированный подход в промышленной кибербезопасности не работает. И причина тому проста — у нас отсутствует один из ключевых элементов формулы риска — вероятность его наступления. Как обычная она оценивается? Два классических подхода — оценка по фактам или оценка по ощущениям (она же экспертная). Первый метод, базирующийся на статистике, активно применяется в «офисной» ИБ, но не работает в промышленности, так как статистика инцидентов почти отсутствует или стремится к нулю. Да, у нас есть репозиторий инцидентов RISI, но даже в нем число примеров несравнимо с тем, что происходит и известно по обычным сетям. И строить на них адекватную картину не получается. Отсюда первый вывод — классическая оценка рисков по статистике (она же активно применяется и страховыми компаниями) в промышленной ИБ не работает. Пока не работает. Возможно, со временем ситуация изменится, число инцидентов будет расти (не хотелось бы), и тогда появится адекватная оценка вероятности происходящего.

Второй подход, экспертный, работает тоже из рук вон плохо, так как согласно психологии восприятия рисков человеку свойственно принижать проблемы, с которыми он не сталкивался. А мы, как уже видели выше, почти не сталкиваемся с серьезными инцидентами ИБ в своей практике, а если они и происходят, то мы считаем их случайностью. Если же инциденты случаются у наших коллег, то вступает в игру другое следствие из психологии восприятия рисков — предубеждение оптимизма, то есть классическое «с нами такого не случится» (достаточно вспомнить, сколько людей страхует свою жизнь, квартиру и т.п.). Второй вывод тоже прост — пока экспертная оценка работает тоже не очень хорошо. А тут еще и страшилки про сталелитейный завод к Германии (на конференции так никто и не назвал имени пострадавшей компании, но один человек по секрету на ушко мне сообщил, что он знает людей, которые точно знают, что произошло и где, но сам он этого не знает :-), которые только усиливает мнение бизнеса, что их стращают на пустом месте.

И вот тут мы подходим к неожиданному выводу — государство должно вмешаться и немножко порегулировать эту тему, так как бизнес сам не готов вкладывать в то, что может никогда не произойти или произойти с очень малой вероятностью. Но… не просто вмешаться, а сделать это грамотно и осмысленно. Для этого надо:

  • привлекать экспертное сообщество (из разных отраслей) до принятия каких-то управленческих решений
  • разработать понятные и дифференцированные критерии категорирования критических инфраструктур
  • разработать решения, которые учитывают отраслевую специфику
  • (самое главное) предоставить переходный период на реализацию разработанных требований (с этим у нас основная проблема и не только в промышленной ИБ). 
То есть задача государства в данном случае помочь бизнесу «войти в реку», а не бояться, толкаясь на берегу в ожидании когда «накроет». Именно помочь, а не кошмарить угрозами введения уголовной ответственности с 1-го января 2018 года (а она же вступает в силу уже через 3 месяца). И это именно тот редкий случай, когда государство должно «вмешиваться». В остальных случаях такое вмешательство с обязательными требованиями только вредит. В конце концов задача государственного регулирования заключается в том, чтобы найти баланс между интересами бизнеса, общества, граждан и государства и помочь в тех случаях, когда эти сущности не могут договориться между собой без участия властей. Поскольку пока в области промышленной ИБ бизнес не всегда видит необходимость инвестировать в защиту от того, что никогда не случалось, то государство должно предвосхитить эти инциденты, которые могут иметь катастрофические последствия, внедрив свое регулирование.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Александр Германович

    А по-моему, бизнес примерно одинаково относится ко всем видам рисков. А когда тонут теплоходы, горят ночные клубы или разоряются авиакомпании, владелец бизнеса рассчитывает просто удрать в одну из свободных, демократических стран, где его никто не обидит.
    Государство, конечно, регулирует, но… не всегда успевает.

    Ответить
  2. Unknown

    Согласен с тем, что государству надо вмешиваться: последствия инцидентов в данном случае еще более печальны, чем в случае теплоходов. Я бы в качестве взноса государства добавил бы и ту самую оценку рисков вместе с формированием переченя инцидентов. Вероятности событий, для которых сложно собрать выборку из генеральной совокупности можно оценивать по результатам моделирования. А тут карты в руки как раз государевым НИИ: строить математические модели, генерировать массивы событий, вычислять оценки веррятностей и т.п. Этим бизнес точно заниматься не будет.

    Ответить