Поэтому, когда кто-то из специалистов по кибербезопасности говорит, что им не хватает данных для определения вероятности, это звучит крайне иронично. Мы используем вероятность потому, что у нас нет полной информации, а не вопреки этому. Лучше всего данная позиция была сформулирована общепризнанным основоположником области анализа решений, профессором Роном Ховардом из Стэнфордского университета. Во время подкаста с интервью журналу Harvard Business Review корреспондент спросил Ховарда, как решить проблему анализа «когда вероятность неизвестна». Ховард ответил:
Видите ли, вся идея вероятности заключается в том, чтобы иметь возможность описать с помощью чисел вашу неосведомленность или, в равной степени, ваше знание. Поэтому неважно, насколько вы информированы или несведущи, определяется, какая степень вероятности соответствует этому5.
Бывают случаи, когда вероятность является вычисляемой величиной, но, как утверждают великие умы Ховард и Джеймс Клерк Максвелл (из более ранней цитаты), вероятность также используется для обозначения нашего состояния неопределенности относительно чего-либо в данный момент, независимо от того, насколько велика эта неопределенность. Имейте в виду, однако, что хоть вероятность, о которой здесь говорится, и субъективна, она не является иррациональной и непредсказуемой. Необходимо, чтобы субъективная неопределенность была по крайней мере математически последовательной и не противоречила многократным последующим наблюдениям. Здравомыслящий человек не может просто сказать, например, что есть 25 %-ная вероятность, что его организация пострадает от определенной кибератаки, и 90 %-ная вероятность, что ее не будет (конечно же, в сумме эти шансы должны давать вероятность 100 %). Кроме того, если кто-то продолжает утверждать, что он на 100 % уверен в своих прогнозах, и постоянно ошибается, то можно не учитывать его субъективную неопределенность на объективных основаниях, так же как не берут в расчет показания сломанных электронных весов или амперметра. В главе 7 вы узнаете, как вероятность может быть субъективной и в то же время рациональной.
Наконец, следует помнить, что существует еще одна грань уменьшения неопределенности. Полное устранение неопределенности не является необходимым для измерения, но она должна сколько-нибудь снизиться. Если те, кто принимает решения, или аналитики считают, что проводят измерения, а эффективность их оценок и решений на самом деле не повышается или даже снижается, значит, они не сокращают число ошибок и не проводят измерения, как они понимаются в нашем определении.
Получается, чтобы определить, подходят ли для измерений порядковые шкалы, столь часто применяемые в области кибербезопасности, надо по меньшей мере выяснить, действительно ли эти шкалы уменьшают неопределенность (эти тонкости будут подробнее рассмотрены в главе 5).
Объект измерений
Хорошо сформулированная проблема – наполовину решенная проблема.
Нет большего препятствия для продвижения знаний, чем двусмысленность слов.
Даже после принятия более удобной формулировки понятия «измерение» (как наблюдения, уменьшающего неопределенность) некоторые вещи кажутся неизмеримыми, из-за того что мы просто не понимаем, что имеем в виду, когда впервые задаемся вопросом об их измерении. То есть мы не можем однозначно определить объект измерения. Если кто-то интересуется, как измерить «ущерб репутации», или «угрозу», или «срыв рабочего процесса», то достаточно спросить: «Что вы имеете в виду?» Любопытно, как часто люди затем уточняют термин, так что он сам по себе уже почти отвечает на вопрос об измерении.
Как только становится ясно, что имеется в виду и почему это важно, проблема начинает казаться гораздо более измеримой. На этом первом уровне анализа один из авторов, Хаббард, обычно проводит так называемые семинары по разъяснению. Они сводятся к тому, что клиенты заявляют конкретный, но изначально двусмысленный предмет, который требуется измерить. А затем им просто задаются вопросы: «Что вы имеете в виду под [указать нужное]?» и «Почему вас это волнует?»