Если что-то написано везде, оно от этого еще не становится правдой – только нормой.
Информационная безопасность заражена т.н. риск-ориентированным подходом, при котором выбор защитных мер базируется на оценке тяжести последствий и вероятности их наступления, а обе они берутся из опыта. Обычно это можно и нужно делать.
Но существуют ситуации, когда бороться надо с любой ненулевой вероятности угрозой, исходя из потенциально возможных последствий в самом худшем случае (т.е. полностью гипотетического worst case), а не реальной их статистики в прошлом или у коллег.
Простой и явный тому пример – промышленные системы. Представьте, что Вас ничему не учили, и ответьте непредвзято: Вы готовы мириться с получением хакерами контроля над АЭС, НПЗ и прочим Сапсаном на том только основании, что прежде им хватило здравомыслия ничего там не покрутить? А вот грамотный безопасник стал бы мириться, раз по статистике недоступность обычно в минутах, а ущербы в копейках.
Подозрительно революционно? Все уже украдено до нас: найдите в УК покушения и подумайте, что они там делают.
З.ы. В следующем посте расскажу, почему при обнаружении любой аналитики по ИБ в виде диаграмм можно сразу хвататься за пистолет. Но это я так сам себя обязываю, чтобы не профилонить, а не подписываться призываю.
Информационная безопасность заражена т.н. риск-ориентированным подходом, при котором выбор защитных мер базируется на оценке тяжести последствий и вероятности их наступления, а обе они берутся из опыта. Обычно это можно и нужно делать.
Но существуют ситуации, когда бороться надо с любой ненулевой вероятности угрозой, исходя из потенциально возможных последствий в самом худшем случае (т.е. полностью гипотетического worst case), а не реальной их статистики в прошлом или у коллег.
Простой и явный тому пример – промышленные системы. Представьте, что Вас ничему не учили, и ответьте непредвзято: Вы готовы мириться с получением хакерами контроля над АЭС, НПЗ и прочим Сапсаном на том только основании, что прежде им хватило здравомыслия ничего там не покрутить? А вот грамотный безопасник стал бы мириться, раз по статистике недоступность обычно в минутах, а ущербы в копейках.
Подозрительно революционно? Все уже украдено до нас: найдите в УК покушения и подумайте, что они там делают.
З.ы. В следующем посте расскажу, почему при обнаружении любой аналитики по ИБ в виде диаграмм можно сразу хвататься за пистолет. Но это я так сам себя обязываю, чтобы не профилонить, а не подписываться призываю.
