Безусловно, важную роль здесь играет профессиональное чутье, что не редкость в управленческой деятельности. Но при более систематическом подходе подавляющее большинство организаций, озабоченных проблемой кибербезопасности, прибегает к определенному методу подсчета, при котором риски отображаются на «матрице». Так работают и с проблемами тактического уровня, и со стратегическими, суммарными рисками. Например, если у приложения множество уязвимостей, все они объединяются в одну оценку. Затем аналогичными методами группы приложений объединяются в портфель, и строится матрица для него и других портфелей. Процесс агрегирования при этом, как правило, представляет собой некую форму выдуманной математики, неведомой ни актуариям, ни статистикам, ни математикам.

В одном широко применяемом подходе «вероятность» и «воздействие» оценивают субъективно, скажем по шкале от 1 до 5, и эти два значения используются для указания конкретного риска на матрице (называют ее по-разному: матрицей рисков, тепловой картой, картой рисков и т. д.). После матрицу часто дополнительно делят на секции низкого, среднего и высокого риска, подобно тому как показано на рис. 1.1. События, характеризующиеся высокой вероятностью и высокой степенью воздействия, окажутся в правом верхнем углу «высокого риска», в то время как события с низкой вероятностью и слабым воздействием будут в противоположном углу «низкого риска». Идея в том, что чем больше число, тем важнее событие и тем раньше нужно обратить на него внимание. Возможно, интуитивно такой подход кажется вам разумным, если так, то вы не одиноки.

Рис. 1.1. Знакомая матрица риска (она же тепловая карта или карта риска)

Различные варианты подсчета и карт риска одобрены и продвигаются в стандартах и руководящих документах несколькими крупными организациями, среди которых Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST), Международная организация по стандартизации (International Standards Organization, ISO), MITRE.org и сообщество «Открытый проект по обеспечению безопасности веб-приложений» (Open Web Application Security Project, OWASP). Большинство организаций, занимающихся кибербезопасностью, утверждают, что по меньшей мере один из продвигаемых вариантов является частью их основной концепции оценки риска. На самом деле большинство крупных компаний, занимающихся разработкой программного обеспечения, включая Oracle, Microsoft и Adobe, оценивают собственные уязвимости с помощью поддерживаемого NIST стандарта оценок под названием «Общая система оценки уязвимостей» (Common Vulnerability Scoring System, CVSS). Кроме того, множество существующих решений по безопасности также используют показатели CVSS как для оценки уязвимостей, так и в связи с атаками. Несмотря на то что во многих подобных руководящих документах содержатся хорошие рекомендации по управлению, то, как они используются для расстановки приоритетов в управлении рисками в масштабах предприятия, лишь усиливает риски.

Буквально сотням производителей систем безопасности и даже органам по стандартизации пришлось принять ту или иную форму системы оценки. Фактически концепции балльных оценок и матрицы рисков лежат в основе подходов к управлению рисками в индустрии безопасности.

Во всех случаях подходы строятся на идее, что такие методы приносят значительную пользу, то есть предполагается, что с ними лучше, чем без них. По мнению представителей одной из организаций по стандартизации, подобное ранжирование рисков вполне приемлемо:

Стоит ли верить последней фразе? Учитывая, в основе каких критически важных решений могут лежать подобные методы, мы утверждаем, что не стоит. Это проверяемое утверждение, и оно реально проверялось множеством различных способов. Рост атак в области кибербезопасности сам по себе уже намекает на то, что, возможно, настало время попробовать иной подход.