Самым простым решением здесь для специалиста, использующего метод Монте-Карло, которому не хочется слишком утруждаться, станет проведение большего числа испытаний. Разброс значений от симуляции к симуляции уменьшится, если провести 100 000 тестов или 1 млн. Вы удивитесь, как мало времени это занимает в Excel на достаточно быстром компьютере. У нас заняло несколько секунд проведение 100 000 тестов, так что затрачиваемое время не кажется серьезным ограничением. Мы даже выполнили в старом добром Excel миллион сценариев с несколькими крупными вычислениями, и на это потребовалось не более 15 минут. Однако, по мере того как события становятся все более редкими и значимыми, применяются более эффективные методы, чем увеличение числа испытаний в разы. Но пока не будем усложнять задачу и просто бросим дешевые вычислительные мощности на решение проблемы.

Теперь у нас есть способ генерации тысяч результатов в симуляции по методу Монте-Карло с помощью стандартного Excel (без каких-либо надстроек или кода Visual Basic для выполнения расчетов). Учитывая, насколько широко используется Excel, почти наверняка у любого аналитика из сферы кибербезопасности есть инструменты для его применения. А полученные данные можно использовать для другого важного элемента анализа риска – количественной визуализации риска.

Популярность матриц рисков, знакомых каждому, кто занимается кибербезопасностью, объясняется тем, что они доступно иллюстрируют вероятности и воздействия на одной схеме. В предложенном нами несложном решении шкала для вероятности заменена вероятностью в явном виде, а для воздействия – 90 %-ным ДИ, представляющим диапазон потенциальных убытков.

В нашем варианте вертикальная ось по-прежнему может быть представлена одной точкой – только вероятностью, а не балльной оценкой, зато воздействие теперь представлено более чем одной точкой. Заявляя, что вероятность наступления события составляет 5 %, мы не можем утверждать, что его воздействие составит ровно 10 млн долл. На деле существует вероятность 5 %, что у нас будут некоторые убытки, при этом есть 2 %-ная вероятность потерять больше 5 млн долл., вероятность потери более 15 млн долл. составляет 1 % и т. д.

Такой объем информации невозможно отобразить простой точкой на двухмерной диаграмме. Но можно представить его с помощью графика, называемого кривой вероятности превышения потерь. Нам не требуется заново изобретать велосипед (хотя риск-менеджеры во многих отраслях регулярно именно этим и занимаются), ведь эту концепцию также используют в оценке риска финансового портфеля, актуарной науке, в так называемой вероятностной оценке риска в ядерной энергетике и других технических науках. Наименование может меняться в зависимости от области: где-то это будет «вероятность превышения», а где-то «дополнительная функция кумулятивных вероятностей». На рис. 3.2 показан пример кривой вероятности превышения потерь.

Рис. 3.2. Пример кривой вероятности превышения потерь

На рис. 3.2 показана вероятность того, что данная сумма будет потеряна за некоторый период времени (например, год) из-за определенной категории рисков. Подобную кривую можно полностью построить на основе информации, полученной в предыдущем примере таблицы данных (табл. 3.3). Строить такие кривые риска можно как для конкретной уязвимости, так и для системы, структурной единицы или предприятия. По кривой вероятности превышения потерь хорошо видно, какой диапазон убытков возможен (а не просто точечное значение), а еще что бóльшие потери менее вероятны, чем меньшие. В примере на рис. 3.2 (который, судя по размерам сумм, вероятно, описывает риски в области кибербезопасности на уровне всего предприятия, причем весьма крупного) существует вероятность 40 %, что убытки составят 10 млн долл. в год или больше, а также вероятность примерно 15 % потерять 100 млн долл. или больше. Для удобства отображения более широкого диапазона потерь на горизонтальной оси используется логарифмическая шкала, но это лишь вопрос предпочтений, годится и линейная.