 |
Обратившись к статистике утечек, можно прикинуть, с какой вероятностью тот или иной тип сведений попадает в чужие руки. Часто такая вероятность известна в расчёте на один носитель, одну операцию или одного допущенного сотрудника (P1). При увеличении числа носителей или инсайдеров вероятность утечки растёт по простому закону:
Например, вероятность утери служебного смартфона средним работником составляет 1% в год. Весьма умеренная вероятность, с ней вполне можно работать – высчитывать потенциальные убытки, стоимость мер защиты и т.д. Но если носители с одинаковым секретом розданы тысяче сотрудников, то результирующая вероятность утечки за год составит 0,999956828753. Можете проверить. С такими величинами работать нельзя. Все формулы теории рисков при такой вероятности летят к чёрту.
Даже если снижать P1,на результат это повлияет не сильно. Показатель степени всё превозмогает. Предположим, героическими усилиями мы сумели снизить P1вдвое. PNпри этом уменьшится до 0,934693031421, т.е. всего на 6,5%.
Вот поэтому системы защиты так плохо масштабируются. При переходе от мелких компаний к крупным корпорациям и далее – к общегосударственным системам желательно отказываться от конфиденциальности везде, где можно. Информационная открытость рулит на больших масштабах – там, где конфиденциальность сосёт.
