Перейти к содержанию

Типичные ошибки при оценке киберрисков


Рекомендуемые сообщения

Никто не захочет тратить миллионы долларов на защиту компании, если ущерб в случае инцидента не превысит несколько тысяч. Столь же глупо экономить сотню долларов, если в случае утечки данных счет пойдет на сотни тысяч. Но на основании какой информации можно рассчитать примерный ущерб, который понесет компания в результате киберинцидента? А также саму вероятность такого инцидента?
На конференции Black Hat 2020 двое исследователей — профессор Вейд Бейкер из Политехнического университета Виргинии и Дэвид Северский, старший аналитик в Cyentia Institute, представили свое видение проблемы оценки рисков. Мы решили, что их аргументы достойны внимания.

На любых курсах по кибербезопасности рассказывают, что для оценки рисков нужно учитывать два основных фактора — вероятность инцидента и средние потери в случае аналогичного инцидента. Но откуда следует брать эти данные, а главное, как их интерпретировать? Ведь неверная оценка возможного ущерба приведет к некорректным выводам и, как следствие, к неоптимальным стратегиям защиты.

Показательно ли среднее арифметическое?

Многие компании, работающие в сфере информационной безопасности (и мы тут не исключение), время от времени проводят исследования ущерба в результате инцидентов, связанных с потерей данных. В «ключевые находки» обычно попадают средние цифры — потери компаний сопоставимого размера суммируются, а затем делятся на количество учтенных инцидентов. Математически это абсолютно верно, и для громкого заголовка в прессе эта цифра вполне подходит. Но можно ли опираться на нее для расчета рисков?

Если те же данные представить в виде графика, где по горизонтальной оси учитываются суммы потерь, а по вертикальной — количество инцидентов, то становится очевидно, что среднее арифметическое тут вовсе не показатель. В результате 90% инцидентов компании теряют значительно меньше, чем показывает это самое среднее арифметическое.

Если говорить о потерях, которые понесет среднестатистический бизнес, то скорее имеет смысл смотреть на другие показатели — медиану (число, разделяющее выборку на две равные части так, чтобы половина элементов была выше этого числа, а вторая половина — ниже), а также среднее геометрическое (оно же среднее пропорциональное). Большая часть компаний несет именно такие потери. А вот среднее арифметическое может сильно сбивать с толку из-за небольшого количества инцидентов с аномально большими потерями.

Распределение потерь от инцидентов, связанных с утечками данных.

Распределение потерь от инцидентов, связанных с утечками данных. Источник

Средняя стоимость утекшей записи

Еще один пример сомнительного результата от использования «среднего» — расчеты потерь от инцидентов, связанных с утечкой данных, путем перемножения количества затронутых записей и среднего ущерба от утечки одной записи. Как показывает практика, в результате применения такого метода потери в небольших инцидентах недооцениваются, а в крупных — серьезно переоцениваются.

Некоторое время назад по многим сайтам с аналитикой прошла новость о том, что неправильно сконфигурированные облачные сервисы стоили компаниям почти 5 триллионов долларов. Если изучить, откуда взялась такая астрономическая сумма, то становится понятно, что люди, насчитавшие 5 триллионов, просто перемножили количество «утекших» записей и средний ущерб от потери одной записи, полученный в результате исследования Cost of a Data Breach Study 2019, проведенного Ponemon Institute, — 150 долларов.

Но в этом исследовании, во-первых, учитывались далеко не все инциденты, а во-вторых, даже на этой выборке среднее арифметическое не дает четкого представления о потерях, поскольку там учитывались случаи с записями, потеря которых наносила ущерб и в 10 000 долларов, и в 1 цент. Более того, в методологии этого исследования подчеркивалось, что данное среднее значение неверно для инцидентов, в которых было затронуто более 100 тысяч записей. Поэтому перемножать количество всех записей, утекших из-за некорректно сконфигурированных облачных сервисов, на 150 было в корне неправильно.

Чтобы применять подобный метод для реальной оценки рисков, необходимо учитывать еще один показатель: вероятность потерь в зависимости от масштабов инцидента. Примерно так:

ALT/caption: Зависимость вероятности потерь от количества затронутых в инциденте записей.

ALT/caption: Зависимость вероятности потерь от количества затронутых в инциденте записей. Источник

Эффект «кругов по воде»

Еще один фактор, о котором часто забывают при расчете стоимости инцидента: в современных условиях все чаще утечка данных затрагивает интересы больше чем одной компании. Во множестве инцидентов суммарный ущерб, который несут сторонние компании (партнеры, подрядчики, поставщики), превышает фактический ущерб, причиненной компании, допустившей утечку.

А количество таких инцидентов с каждым годом увеличивается, поскольку всеобщая «цифровизация экономики» ведет к увеличению взаимной зависимости бизнес-процессов разных компаний. Согласно результатам исследования Ripples Across the Risk Surface, проведенного совместными усилиями RiskRecon и Cyentia Institute, 813 инцидентов такого рода привели к потерям у 5437 организаций. То есть на каждую компанию, допустившую утечку данных, в среднем приходится более четырех компаний, пострадавших от этого инцидента.

Практические советы

Так что экспертам, работающим в сфере оценки киберрисков, имеет смысл прислушаться к следующим советам:

  • Не стоит доверять громким новостным заголовкам: даже если какие-то данные перепечатываются множеством сайтов, это не обязательно значит, что они не ошибочны. Стоит всегда искать источник и анализировать методологию исследователей.
  • Не используйте в оценке рисков результаты исследований, которые вы не понимаете.
  • Не забывайте, что инцидент в вашей компании может повлечь за собой потерю данных и у других организаций. Если утечка произойдет по вашей вине, то они наверняка предъявят претензии, что увеличит ущерб от инцидента.
  • Точно так же не следует забывать, что и ваши данные могут утечь у партнеров и подрядчиков (то есть в инцидентах, на которые вы никак не можете повлиять).

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kaneki_kek
      Автор Kaneki_kek
      Здраствуйте, столкнулся с такой проблемой, что начало слетать время, а при попытке его вернуть автоматически выдает такую ошибку.Как я преполагаю данная проблема произошла из за использования обхода. Так же не получается после установки запустить касперский.

      CollectionLog-2025.06.30-09.02.zip
    • jimmi
      Автор jimmi
      Ошибка появляется во время: попытки обновить время, при попытке откатить систему (восстановить) и далее по списку, не дает установить касперский, другие антивирусы проблем не нашли. 
      Проблема появилась вчера, после запуска файла обхода блокировки дискорда. Раньше юзал обход блокировки - zapret, пару дней назад он перестал фиксить обход дискорда (ют продолжнал обходить), стал искать решение проблемы и скачал якобы более раннюю версию zapret, по итогу там оказался немного другой набор файлов, меня немного насторожил exe который назывался - winws.exe которого раньше не было в пакете zapret. Как только я его увидел, то сразу потер, но он все равно отобразился в диспетчере при последующем запуске. После поиска в реестрах, он перестал отображаться и стала появляться ошибка. Видимо нужно было время ему, я не знаю. Пожалуйста помогите с решением. 
      CollectionLog-2025.06.14-23.09.zip
    • alex_01_02_03
      Автор alex_01_02_03
      Здравствуйте, я уже видел несколько решений данной проблемы. но мне они не помогли уже два дня пытаюсь её решить. Сначала просканировал систему нашёл пару троянов и разные ошибки. Устранил их. Перезагрузил пк не помогло. Далее следовал указаниям изложенным по данной проблеме на вашем сайте. Ничего не помогало. Редактор реестров не запускается, в командной строке, при выполнении команд, возникает данная ошибка. Итак же многие другие службы не запускаются, например не могу даже восстановить систему, появляется эта ошибка. Появилась она когда я захотел обойти блокировку discord м Youtube.
       Farbar Recovery Scan Tool вообще запускается и сразу закрывается, тоже самое с браузером яндекс, чтобы его запустить Farbar Recovery Scan Tool мне нужно выключить пк и включить и как только он включится запустить сканирование в течении 10-15 секунду, при сканировании вылетает ошибка 0xc0000017  раза три, но продолжает сканировать.

      CollectionLog-2025.04.24-22.39.zip
    • Chugunyi
      Автор Chugunyi
      ошибка 0xc0000017 при попытке запуска regedit gpedit.msc , не могу так же сбросить винду, скорее всего после установки доступа дискорд+ютуб
    • biden
      Автор biden
      Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который понарастающе нагружает память на 99%, если отключить этот процесс, он запускается снова, потом не включается до определенного момента, потом снова запускается. Я так понимаю, что в процессе работы в компьютере при открытии определенных вещей (каких не выяснил) инициализируется запуск этого процесса, но что то идет не так и он просто нагружает мне память и компьютер умирает. Если компьютер просто включен или на нем работает одна определённая программа, в которой не запускается этот процесс, то и сам процесс соответственно тоже не запускается. Сначала думал, что это майнер поэтому обратился на другую тему, просматривал в журнале событий, вроде чего то критического, из-за чего это может быть, не наблюдал. Можно ли определить из-за чего это всё происходит и как это можно устранить?
×
×
  • Создать...