Инструментарий оценки рисков в кибербезопасности и стратегия антихрупкости (Часть 2)

В первой части статьи мы заложили фундамент: определили ключевые понятия, рассмотрели взаимодействие команд ИТ и ИБ и описали этапы процесса управления рисками. Мы выяснили, что оценка рисков — это связующее звено, превращающее сырые данные об угрозах в решения для бизнеса. Теперь перейдем к практике. Выбор методики оценки — критический этап, который определяет точность ваших выводов и возможность обосновать бюджет на безопасность. Ниже мы подробно разберем основные подходы к оценке рисков, от экспертных суждений до сложных математических моделей.

Существуют три основных подхода к оценке рисков информационной безопасности — каждый со своими преимуществами, ограничениями и сферами применения:

Выбор подхода зависит от зрелости системы управления рисками, доступных данных, регуляторных требований и стратегических целей организации. На практике многие компании используют гибридный подход как наиболее сбалансированный и адаптивный.

Качественный подход позволяет «нарисовать карту угроз» — визуально выявить и обозначить потенциальные опасности, не прибегая к сложным расчётам. Вместо формул используются опыт, логика и экспертные суждения специалистов.

Качественные методы можно условно разделить на три группы по их роли в процессе оценке рисков.

1. Для идентификации рисков, когда мы ищем ответ на вопрос: «Что может пойти не так?», чтобы сформировать максимальный список угроз, можем применять:

● мозговой штурм;

● интервью с ключевыми сотрудниками;

● фокус-группы;

● сценарное прогнозирование через «Что, если…».

2. Для оценки вероятности и последствий, для определения, какие из выявленных угроз действительно значимы для бизнеса, используем:

· экспертные оценки;

· SWOT-анализ (анализ сильных и слабых сторон, возможностей и угроз);

· метод Дельфи — итерационные анонимные опросы экспертов для достижения консенсуса.

3. Для приоритизации рисков, чтобы определить, «С чего начинать?», основным инструментом является матрица рисков, где каждый риск позиционируется по двум осям: вероятность наступления и масштаб последствий. Это позволяет наглядно выделить критические зоны.

Однако, матрица рисков не отвечает на вопрос «Почему этот риск вообще существует?». Здесь на помощь приходит метод анализа первопричин, который помогает отличить симптомы (например, «сервер упал») от корневых проблем («перегрев из-за неисправной вентиляции»). Этот метод имеет особую ценность, ведь устранение одной первопричины часто нейтрализует сразу несколько связанных рисков, позволяя воздействовать на систему в целом. Анализ первопричин добавляет объективности матрице рисков, обогащает её данными из истории инцидентов и деревьями решений, которые показывают, как одна и та же корневая причина влияет на несколько бизнес-процессов.

● Простота и скорость: мозговой штурм или интервью можно провести за час, без сложных расчётов.

● Универсальность: применимы в любой сфере — от сельского хозяйства до информационной безопасности.

● Вовлечение команды: участники ощущают личную ответственность и с большей готовностью соблюдают и транслируют необходимость соблюдения мер безопасности.

● Выявление «невидимых» рисков: качественные методы помогают обнаружить угрозы, которые упускаются формальными моделями — например, действия недобросовестного, но доверенного сотрудника.

● Эффективная визуализация: матрицы и схемы делают риски понятными для топ-менеджмента, не обладающего технической экспертизой.

● Субъективность: оценки зависят от мнений, опыта и даже настроения участников.

● Отсутствие количественных метрик: сложно объективно сравнивать риски или обосновывать бюджетные решения.

● Риск пробелов: в обсуждении могут быть упущены незаметные, но важные угрозы.

● Сложность масштабирования: в крупных организациях качественные методы трудно применять системно — требуются значительные трудозатраты для систематизации данных.

● Зависимость от экспертов: авторитет или узкая специализация отдельных участников может исказить общий результат.

Качественные методы — как фонарик в темноте: они не освещают всё пространство, но позволяют избежать самых очевидных ошибок, сэкономить время на старте, вовлечь команду и напомнить, что за каждой технологией стоит человеческий взгляд на риск. В сочетании с другими подходами они становятся мощным элементом зрелой системы управления рисками.

В основе количественного подхода — работа с числами, формулами и математическими моделями. Он требует достоверных данных: статистики прошлых инцидентов, вероятностей наступления событий, финансовых показателей. Это требование одновременно является как главным достоинством, так и ключевым ограничением таких методов: чем точнее и полнее данные, тем надёжнее результат, но собрать их бывает сложно или даже невозможно.

Количественные методы условно делятся на две группы: вероятностные, сосредоточенные на расчёте частоты и вероятности событий (но не всегда включающие денежную оценку), и стоимостные, которые конвертируют риски в финансовые величины — размер ущерба, ожидаемые потери, возврат инвестиций.

К вероятностным методам относятся:

Статистический анализ, использующий исторические данные — число сбоев, длительность простоев, убытки — для построения распределений частоты и масштаба потерь и последующего прогнозирования рисков.

Метод Монте-Карло, который многократно имитирует работу системы, случайным образом подбирая входные параметры из заданных диапазонов. Результат — гистограмма возможных исходов (убытков, нарушений сроков, падения выручки), позволяющая оценить, насколько часто организация выходит за допустимые границы риска.

Байесовские сети, строящие графическую модель зависимостей между событиями (угрозами, уязвимостями, последствиями), где стрелки отражают условные вероятности. Такая сеть динамически пересчитывает риски по мере поступления новой информации, формируя актуальную картину угроз.

Стоимостные методы выражают риски в деньгах. Среди них можно выделить:

Single Loss Expectancy (SLE) и Annual Loss Expectancy (ALE) — базовые метрики для оценки финансового ущерба. SLE показывает потери от одного инцидента, ALE — ожидаемые годовые потери, рассчитываемые как произведение частоты события в год (Annual Rate of Occurrence, ARO) на SLE. Например, если сервер выходит из строя раз в год (ARO = 1), а восстановление обходится в 500 000 рублей (SLE), то ALE = 500 000 рублей.

Expected Monetary Value (EMV) обобщает ALE для множества сценариев с учётом их вероятностей, а Value at Risk (VaR) показывает максимальный ущерб, который с заданной вероятностью (например, 95%) не будет превышен за определённый период.

Эти метрики относятся к этапу оценки рисков. Другие стоимостные методы применяются на этапе обработки рисков, помогая оценить экономическую целесообразность контрмер.

К таким методам относится, например, расчёт возврата инвестиций (ROI) от внедрения средств защиты. Сравниваются затраты на меры безопасности (установка СЗИ, обучение персонала и тому подобное) с экономией, достигнутой за счёт снижения частоты или тяжести инцидентов. Например, без защиты ежегодно происходит четыре DDoS-атаки по 100 000 рублей ущерба от каждой — EMV до внедрения (EMV_pre) = 400 000 рублей. После внедрения СЗИ число атак сокращается вдвое, а ущерб от каждой — до 60 000 рублей, что даёт EMV_post = 120 000 рублей. Экономия — 280 000 рублей. При годовой стоимости эксплуатации СЗИ в 200 000 рублей ROI составит (280 000 / 200 000) × 100 % = 140 % — то есть на каждом вложенном рубле организация «зарабатывает» 1 рубль 40 копеек.

Total Cost of Ownership (TCO) — совокупная стоимость владения — помогает увидеть полную картину затрат на актив или контрмеру за весь жизненный цикл: закупка, эксплуатация, поддержка, обучение, обновления. Сравнивая TCO с ожидаемыми потерями (с мерами и без них), можно объективно решить, оправданы ли инвестиции.

Анализ чувствительности позволяет протестировать устойчивость выводов к изменениям ключевых параметров: «Что, если время реакции на инцидент увеличится?», «Как изменится ущерб, если вероятность атаки вырастет на 20%?». Такой подход помогает понять, где вложение бюджета даст наибольший эффект — например, в автоматизацию реагирования или в повышение квалификации аналитиков SOC.

Наконец, анализ безубыточности — определяет точку, при которой затраты на защиту равны ущербу, которого удалось избежать. С его помощью можно сравнивать альтернативные решения, например, дорогую SIEM-платформу и более простую систему резервного копирования, и выбрать тот вариант, который быстрее окупится при заданной интенсивности инцидентов.

В совокупности количественные методы превращают управление рисками из интуитивного процесса в обоснованное, прозрачное и экономически выверенное решение — особенно там, где требуется убедить руководство или инвесторов в необходимости вложений в безопасность.

Среди методов оценки рисков выделяется группа условно-количественных методов, к которым относятся сценарные, полуколичественные и гибридные.

Стресс-тестирование — это проверка устойчивости системы или компании к экстремальным, но реалистичным событиям: масштабным кибератакам, отказам критической инфраструктуры, сбоям в цепочках поставок. Цель — выяснить, выдержит ли организация подобный «шок». Для этого моделируются критические сценарии, способные нарушить работу ИБ-систем, и оценивается их потенциальное воздействие на безопасность данных, финансовые показатели или репутацию. Полученные результаты используются для укрепления защиты, доработки планов непрерывности бизнеса и улучшения процедур восстановления.

Деревья решений помогают выбрать оптимальную стратегию, визуально отображая возможные варианты действий, их вероятности и последствия. На основе этих данных рассчитывается ожидаемая полезность каждого пути и принимается решение в пользу наиболее выгодного — с точки зрения как снижения рисков, так и максимизации пользы.

Event Tree Analysis (ETA) — метод, моделирующий цепочки событий, развивающихся после одного инициирующего инцидента. Например, можно пошагово проследить, как отказ межсетевого экрана может привести к несанкционированному доступу и последующей утечке данных. Анализ начинается с исходного события, от которого «растут» ветви возможных исходов — срабатывание резервных механизмов, остановка системы, эскалация инцидента. Для каждой ветви оцениваются вероятность и масштаб ущерба, что позволяет выявить слабые звенья и усилить их.

Матрицы рисков, которые упоминались выше, часто используют не словесные категории («низкий», «средний», «высокий»), а числовые шкалы (например, 1–3 или 1–5). Это превращает качественную оценку в частично количественную, упрощая сравнение и приоритизацию результатов оценки.

Risk-Based Inspection (RBI) — метод, количественно оценивающий вероятность и последствия отказа оборудования или ИТ-систем с целью оптимизации частоты и глубины аудитов информационной безопасности. Вместо равномерной проверки всех компонентов ресурсы фокусируются на зонах с наибольшим риском.

Bow-tie-анализ визуализирует риск в форме «галстука-бабочки»: в центре — нежелательное событие, слева — его потенциальные причины и меры предотвращения, справа — возможные последствия и меры смягчения. Базовая версия метода качественная, но при наличии статистических данных (частоты инцидентов, эффективности контрмер и других) становится полуколичественной и позволяет проводить более точную оценку угроз и мер защиты.

Failure Mode and Effects Analysis (FMEA) — пошаговый метод выявления и анализа потенциальных отказов компонентов или процессов. Для каждой уязвимости оцениваются тяжесть последствий, вероятность возникновения и вероятность своевременного обнаружения. На основе этих параметров рассчитывается приоритетный показатель риска, который определяет, какие уязвимости требуют немедленного вмешательства.

Factor Analysis of Information Risk (FAIR) объединяет экспертные оценки, статистические данные и математические модели для количественной оценки ИБ-рисков. Например, для риска утечки данных могут быть определены вероятность (20% в год), потенциальный ущерб (5 млн рублей), ожидаемый годовой убыток (1 млн рублей) и критичность (8 из 10). На основе этого вырабатывается рекомендация: внедрение шифрования за 200 тыс. рублей в год снизит вероятность до 5%, что даст экономию 800 тыс. рублей — и обоснованный ROI.

Машинное обучение + экспертные правила — синергия автоматизированного анализа и человеческой экспертизы. ML-модели обрабатывают терабайты логов, выявляя скрытые паттерны и аномалии, а специалисты по ИБ интерпретируют результаты с учётом бизнес-контекста, исключая ложные срабатывания и уточняя приоритеты.

Системная динамика применяет дифференциальные уравнения и агентные модели для имитации сложных взаимодействий в ИТ- и ИБ-средах. Такой подход позволяет прогнозировать распространение кибератак, эволюцию угроз или эффект от внедрения новых контрмер. Однако из-за высокой сложности и требований к данным пока остаётся скорее экспериментальным, чем массовым инструментом.

● Объективность и прозрачность. Количественные оценки переводят дискуссию в плоскость чисел, снижая влияние субъективных мнений.

● Обоснование бюджетов. Числовые метрики понятны руководству и помогают аргументировать расходы на контрмеры и ожидаемый эффект инвестиций, что особенно актуально для ИБ.

● Гибкость и масштабируемость. Методы адаптируются под задачи любой сложности — от простых сценариев до многомерных моделей.

● Надежность при достаточности данных. При наличии качественной статистики и экспертных оценок обеспечивается высокая точность прогнозов, а гибридные подходы корректируют статистику мнениями специалистов.

● Единообразие и повторяемость. Чёткие алгоритмы обеспечивают воспроизводимость результатов при одинаковых входных данных.

● Высокие требования к данным. Без надёжной статистики и точных оценок потерь расчёты теряют смысл.

● Сложность и ресурсоёмкость. Методы вроде Монте-Карло и Байесовских сетей требуют времени, вычислительных мощностей и специальных навыков.

● Субъективность полуколичественных методов. Несмотря на цифры, они зависят от экспертных мнений и упрощённых шкал.

● Ограниченность сценариев. Фокус на выбранных сценариях может скрыть реальные риски.

● Трудности интеграции и интерпретации. Гибридные модели сложно трактовать и сопоставлять без глубокого знания подходов.

● Риск переусложнения. Попытка учесть всё приводит к чрезмерно сложным и трудноверифицируемым моделям.

● Иллюзия точности. Цифры могут создавать ложное ощущение достоверности, особенно при неточных исходных допущениях, которые искажают выводы.

Недостатки количественных методов возвращают нас к теме неопределённости. Очевидно, что любые базовые модели оценки рисков — в ИБ, финансах или других областях — неизбежно формируют как верные, так и ошибочные результаты, особенно в моменты радикальных изменений: технологических прорывов, возникновения новых угроз или в моменты кризисов.

Это поднимает закономерный вопрос: если все методы оценки рисков несовершенны, имеет ли деятельность по управлению рисками смысл?

Ответ — да, формальная оценка рисков крайне важна, и вот почему:

· Во-первых, человеческая память и интуиция подвержены шаблонному мышлению, когнитивным искажениям и забывчивости. Формальный процесс идентификации активов, угроз и уязвимостей помогает не упустить критически важные сценарии, которые легко проглядеть в потоке повседневных задач.

· Во-вторых, личный опыт бесценен, но его нельзя использовать как формальное доказательство. Как убедить аудиторов, регуляторов, руководство или новых коллег, что вы действительно учли всё? Оценка рисков формирует прослеживаемый результат: становится ясно, кто, когда и на каком основании принимал решения, какие угрозы рассматривались и почему выбраны именно эти меры реагирования.

· В-третьих, киберугрозы постоянно эволюционируют. Без регулярной переоценки рисков легко пропустить новые векторы атак — особенно те, которые ещё не успели проявить себя в статистике.

· В-четвёртых, когда произойдёт инцидент ИБ — а он почти неизбежен — вас могут спросить: «Почему вы не предвидели эту угрозу?». Наличие документированного процесса оценки рисков станет вашей защитой. Вы сможете показать, что задали критерии, собрали данные, провели анализ, согласовали сценарии и приняли обоснованные меры в рамках установленной процедуры.

· В-пятых, при ограниченном бюджете и сжатых сроках оценка рисков помогает объективно сравнить альтернативы и сосредоточиться на тех мерах, которые дают наибольший эффект. Вместо того чтобы тонуть в сотне мелких задач, вы фокусируетесь на том, что действительно важно.

· В-шестых, всё больше клиентов, партнёров и, конечно, регуляторов требуют доказательств зрелого подхода к безопасности — не «мы просто защищаемся», а «мы следуем признанным лучшим практикам, формируя и поддерживая актуальность состава применимых для компании рисков ИБ, на основе которой построена архитектура нашей безопасности».

Наконец, требования к наличию метрик, мониторингу и регулярному пересмотру превращают управление рисками из разового проекта или формальности в непрерывный цикл, в результате которого защитные меры постоянно адаптируются к новым вызовам. Это именно тот ключевой результат в области обеспечения безопасности, к которому стремится любая организация, и которого невозможно добиться, выстраивая защиту «на глаз».

Необходимость управления рисками ИБ можно наглядно проиллюстрировать на примере аналогии с покером: чтобы не проиграть всё, игрок должен постоянно «прикидывать шансы» — следить за действиями соперников и рассчитывать вероятности. Оценка рисков — это и есть такой «расчёт шансов», но выполняемый на уровне организации. Она не устраняет неопределённость полностью, но преобразует её в набор понятных, измеримых и управляемых задач. Благодаря ей мы можем заблаговременно выявлять уязвимости и угрозы, анализировать их последствия и принимать решения, опираясь не на догадки, а на структурированное понимание текущей ситуации — при всех неизбежных ограничениях имеющихся методов.

При выборе метода оценки рисков необходимо учитывать несколько ключевых факторов, среди которых: объём выделенных ресурсов, доступность данных и основная цель оценки.

Очевидно, что для небольшой компании с ограниченным бюджетом и временем разумно выбрать качественные или простые условно-количественные методы — они быстры, наглядны и не требуют сложной аналитики. В то же время крупная организация, обладающая достаточными ресурсами, данными и экспертизой, может позволить себе применение более сложных количественных подходов, дающих относительно точные финансовые оценки для обоснования инвестиций в ИБ.

Однако важно понимать границы применимости любого подхода, факт проведения оценки рисков не должен создавать иллюзию полного контроля над ними. Даже самая точная модель, использующая данные прошлых периодов, может оказаться бессильной перед редкими, но разрушительными инцидентами — «чёрным лебедями ИБ», событиями, которые нельзя спрогнозировать, используя классические статистические методы.

Эффективно противостоять таким событиям позволяет не идеальный расчёт, а опора на принципы антихрупкой архитектуры. Её практический каркас составляют передовые подходы к обеспечению непрерывности бизнеса, охватывающие все уровни защиты: от проактивного поиска угроз и кризисного реагирования до управления киберустойчивой архитектурой и реализации модели нулевого доверия. В этом контексте оценка рисков перестаёт быть формальностью, она становится фундаментом, объединяющим разрозненные технические меры в единую систему защиты.

В современном мире, где цифровая инфраструктура стала кровеносной системой бизнеса, конкурентное преимущество сохраняет не тот, кто пытается построить полностью защищённый периметр, а тот, кто способен восстановить работоспособность критических бизнес-процессов в кратчайшие сроки. Киберустойчивость сегодня — это не просто способность «пережить» инцидент, это умение стать после него сильнее. Смена парадигмы ИБ — от попыток избежать неизбежного к готовности работать в условиях кризиса — становится единственно возможной стратегией долгосрочного развития в условиях агрессивной цифровой среды.