Почему термин «риск ИБ» некорректен по своей сути

Почему термин «риск ИБ» некорректен по своей сути

Знаете ли вы, что такое риск информационной безопасности? Если посмотреть на один из документов в области, а именно на ГОСТ 57580.3 «Управление риском реализации информационных угроз и обеспечение операционной надежности», то это:

Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены недостатками процессов обеспечения операционной надежности и защиты информации, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности финансовой организации.

Не путайте с киберриском, который входит в риск ИБ и который, согласно Банку России, представляет собой:

риск преднамеренных действий со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информатизации финансовой организации в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа.

Есть еще и такое определение:

Риск информационной безопасности — это вероятность возникновения негативного события, которое нанесет ущерб организации или физическому лицу.

В любом случае, эти, а также множество иных, определения опираются на тот факт, что «риск» несет только негативное значение, как ненулевая вероятность возникновения плохих последствий (отрицательного исхода). Однако, это очень однобокий взгляд на термин, который давно уже претерпел изменения, лучше отражающие природу описываемого явления. Уже в середине 20-го века Дмитрий Ушаков в своем известнейшем словаре русского языка привел следующее определение «риска»:

Действие наудачу в надежде на счастливую случайность.

Аналогичная история в словаре Даля, который использовал для слова «рисковать» следующие определения:

действовать смело, предприимчиво, надеясь на счастье или пускаться наудачу.

И ровно тот же самый смысл вкладывает в термин «риск» любой бизнесмен. Это:

потенциальная возможность возникновения события в условиях неопределенности среды функционирования предприятия, которое в случае возникновения имеет позитивное или негативное воздействие на репутацию компании.

Иными словами, риск может привести как к отрицательным, так и к положительным последствиям. Об этом же нам говорить и Гражданский кодекс, который исходит из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли. Тут тоже риск — это состояние неопределенности, которое может привести к прибыли, а может к потерям.

Для любого бизнесмена риск имеет двойственную природу, в то время как риск ИБ рассматривается всегда и только как что-то негативное, не имеющее положительного исхода. Для специалистов по ИБ риск относится скорее к некой теоретической категории, а для бизнесмена — к экономической.

Поэтому, когда ИБшники рассказывают про риски ИБ, беря за основу только возможные потери, они забывают про то, что бизнес смотрит обязательно и с позиции получения прибыли (даже при наличии вероятности получения убытков). И когда бизнес не слышит в словах ИБшников ничего про положительный исход от принятия того или иного решения, то он охладевает к теме. Ровно об этом и говорят теория ожидаемой полезности, теория отношения к риску, теория перспектив, которые я упоминал пару заметок назад.

Поэтому, упоминая слово «риск» в контексте ИБ, мы обязательно должны упоминать и то, что мы можем получить. А если мы говорим только о негативном исходе, то лучше использовать иной термин при общении с бизнесом (при общении между ИБшниками «риски ИБ» вполне допустимы). Отсюда и возник термин «недопустимые события», который говорит только о потерях.

Когда Cisco уходила из России я столкнулся с дилеммой — остаться или уехать. У каждого из сценариев были как отрицательные, так и положительные стороны. И каждый из сценариев представлял собой риск. Уволившись из Cisco, у меня был шанс не найти устраивающую меня работу, но была и возможность выйти за рамки привычного и получить то, чего у меня еще не было. И этот риск закончился для меня позитивом (в обоих смыслах). А кто-то из бывших коллег уехал и сейчас прозябает в Португалии, жалея о принятом решении, но и боясь возвращаться в страну.

Я выступаю на публичном мероприятии и постоянно рискую — я могу потерять лицо из-за хренового доклада или поехавших шрифтов в PowerPoint на компьютере организаторов, но и могу получить приглашение в новый проект или новых подписчиков в Telegram-канал или приглашение на работу. То есть мое действие имеет альтернативы с положительным и отрицательным исходом и я не знаю, чем оно завершится. Я рискую в расчете на прибыль, но может быть и ущерб же.

Еще до выхода в Positive Technologies я инвестировал в акции этой компании (она была и остается единственной ИБ-компанией на Московской бирже). Рисковал ли я? Безусловно. Я мог как потерять свои деньги, так и преумножить их. Мне повезло — рост составил почти 100%. И опять мы видим дуализм риска, а не только одну, негативную сторону.

Риск — это монета с двумя сторонами. Всегда. И если там нет второй, то это не риск.

Но и это еще не все. Вчера я проснулся и утром и на завтрак съел творог с просроченным сроком годности на сутки. Это могло для меня закончиться тем, что я бы просидел половину дня на белом друге и пропустил бы мероприятие, на которое ехал. Риск? Безусловно.

Кстати, у меня была в жизни история, когда мы поехали в конце 90-х годов выступать в Казахстан с коллегами. На завтрак, перед выступлением на нашем семинаре для пару сотен человек, два из четырех спикера решили выпить свежего айрана и… их желудки не справились с новым для них молочным напитком. В итоге они оседлали белого верблюда фаянсового коня, а мы за них читали их презентации 🙁

Выйдя на улицу у меня был шанс получить сосулей по голове. Садясь в маршрутку, при той манере езды, что была у водителя, я мог попасть в аварию. Подходя к метро у меня могла возникнуть ситуация, что у турникет не считывает платежный стикер и я не мог бы оплатить проезд на транспорте. На мероприятии я ругал регулятора и это тоже могло закончится печально для меня или моего работодателя… И этот ряд я мог бы продолжать очень долго, но и этого списка достаточно, чтобы понять, что это все проявления риска. Я рискую постоянно. И вы рискуете. И ваши друзья и родственники рискуют. И так каждый день и час. Возможно, мы ежедневно сталкиваемся с сотнями и тысячами рисков, что приводит к тому, что мы перестаем их воспринимать всерьез. Они превратились в обыденность.

Что мне с этими рисками делать? Приоритизировать? Но как? Я не считаю их вероятность, это малореально при их количестве и динамичности проявления. Я просто их принимаю или действую ситуативно. То есть в обычной жизни у любого ИБшника сплошь и рядом происходят риски (ну а как их еще назвать), но мы не используем для их оценки то, что мы «продаем» бизнесу — измерение вероятности и ущерба.

Какая-то политика двойных стандартов…

Третий гвоздь в крышку гроба с термином «риск» забил американский экономист Фрэнк Найт, который в 1921-м году опубликовал две, ставших классикой, работы «Понятие риска и неопределенности» и «Риск, неопределенность и прибыль». Если вкратце, то когда мы можем посчитать вероятность наступления какого-либо исхода события (положительного или отрицательного) мы говорим о риске, а когда такой подсчет невозможен, мы должны говорить о неопределенности. А мы помним из прошлой заметки , что посчитать вероятность риска в абсолютном большинстве случаев мы не в состоянии.

Кстати, если уж погружаться в измерение рисков (не ИБ, а вообще), то в этой области существуют не только вероятностные подходы, которые так любят ИБшники, но и подходы с точки зрения теория принятия решений, а также с точки зрения теории игр (они ближе к иррациональному поведению людей, чем по привычке используемая, но неработающая в ИБ математика).

Давайте подытожим. Риск — это то:

  1. что несет как отрицательный, так и положительный исход
  2. что управляемо
  3. вероятность чего может быть измерена.

Удовлетворяет ли «риск ИБ» этим условиям? Увы, но нет! Поэтому и не стоит использовать этот термин при общении с теми, кто термин «риск» использует правильно. В своем кругу, в среде ИБшников, можно. За его границами не надо. Он не имеет того эффекта, какой должен был бы иметь.

Заметка Почему термин «риск ИБ» некорректен по своей сути была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину