Когда мы говорим про анонимность в сети, мы, как правило, говорим про различные проекты для построения анонимности в сети: TOR, VPN, i2P, Whonix, Tails, Qubes и многие, многие другие проекты.
Обычно, когда мы планируем, как атакующий может атаковать нашу систему, как он может нас взломать, что может достать, что отследить, что запросить от третьих лиц и т.д. Мы заботимся о том, чтобы наш трафик был зашифрован, ОС имела только свободное ПО, а IP был строго спрятан за связкой очень серьёзных анонимайзеров. Но есть кое-что ещё, о чём знает очень мало спецов по этой теме, кое-что, что может разрушить любую схему анонимности, в которой данная атака не была учтена.
Причём моментально! И даже не понадобится никаких огромных бюджетов и годы времени на расследование.
Коспирология? Бред автора статьи? Вброс?
Нет - подтверждённый и очень эффективный метод деанонимизации пользователей сети.
Встречайте:
Кросс-девайс трекинг
Что это?
Отслеживание устройств, находящихся рядом с устройством при помощи ультразвука.
Звучит как что-то из фильмов. Рассказываю принцип действия:
Допустим, берёте вы смартфон и открываете сайт, при открытии сайт воспроизводит звук и ваш ноутбук улавливает его с помощью микрофона.
Ноутбук уловил звук и определил, что данный смартфон находится рядом с ноутбуком. И наоборот. На сколько далеко это действует - скорее зависит от условий, это может быть тихое кафе (радиус действия ~10 метров), так и шумное метро (вряд ли будет работать вообще).
Кстати, динамик может исполнять функцию микрофона, поэтому всем, заклеившим и отключившим микрофон, можете делать то же самое и с динамиком.
Кстати, есть возможность прослушки даже через гироскоп, если устройство лежит на твердой поверхности, вы говорите, а гироскоп считывает колебания. Это не фантастика, это реальные исследования.
Даже если вы установите полностью открытое ПО на ваше устройство, звук на сайте всё равно сработает, а небезопасные устройства, которые находятся рядом с вашим устройством (ну, например, смартфон ваших соседей или смартфон другого посетителя кафе), передают информацию об этом на серверы какой-нибудь организации, передают своё местоположение, дальше уже деанонимизация.
Что это за звук такой?
Когда вы открываете сайт, он может воспроизводить звук. Этот звук может быть уникальным для конкретного сайта и устройства.
А теперь внимание: этот звук вы можете даже не услышать - динамик может произвести около ультразвуковой или ультразвуковой формат звука, а такой формат ухом человека воспринимается очень плохо или вообще не воспринимается.
Часто такие штуки стоят даже на простых сайтах, не говоря уже про криптообменники и т.д. И более того, если вы выключите звук на телефоне (многие, если не большинство андроидов), выключите все звуки и поставите телефон на вибрацию - звук всё равно будет проигран.
Также возможна такая комбинация - сначала будет громкий, слышимый для вас звук, а далее, когда громкий звук обнаружило какое-то из устройств неподалёку - данные передаются по ультразвуку.
А хотите ощутить это на себе?
Вот ссылка на сайт криптообменника с применением технологии кросс-девайс трекинга: https://banka.exchange/
Там кросс-девайс трекинг, я предупредил.
Немного побыв на сайте, вы услышите пиликанье (но далеко не во всех браузерах, зависит от вашего браузера. К слову, если в вашем браузере на вашем устройстве звук не проиграл, это далеко не значит, что его не было. Скорее всего, он был в формате ультразвука и вы его просто не услышали. А вот устройства неподалёку - услышали), потом попробуйте выключить звук на вашем устройстве и перезайдите на сайт, предварительно очистив куки-файлы - у многих, даже со включённым звуком на устройстве, звук всё равно будет проигран.
Зачем это придумали?
Маркетологам нужно было отслеживать все устройства людей для более персонализированной рекламы и удобного перехода между устройствами для человека. Мне кажется, что данная технология используется далеко не только маркетологами, но и хакерами и спецслужбами.
Какие устройства могут быть использованы для деанонимизации для помощи кросс-девайс трекинга?
Телефоны, компьютеры, телевизоры, умные колонки, умные часы, беспроводные наушники и так далее.
Насколько данная технология распространена?
Почти на всех популярных сайтах присутствует данная технология. Это массовая слежка, а не единичные случаи.
При запросе в поисковик "Кросс-девайс трекинг" выдаёт кучу курсов для маркетологов, попробуйте сделать такой запрос сами и убедитесь самостоятельно.
Возможно, вам покажется, что это работает только при каких-то суперразрешениях у приложений, доступе браузера к микрофону и т.д. Но это вообще не так. В большинстве андроидов, iOS устройств, стандартных прошивках Smart TV, стандартных прошивках умных часов и так далее - ПО для функционирования кросс-девайс трекинга предустановлено. И более того, скажу вам, что многие устройства слушают звук для принятия кросс-девайс трекинга даже в выключенном состоянии. Конечно, при полном выключении - вряд ли, но в режиме ожидания - вполне.
Реклама в ТЦ.
Казалось бы, причём здесь это вообще? А при том, что телефон слушает вас всегда и если вы находитесь в ТЦ, то бывает так, что колонки в ТЦ также используются для кросс-девайс трекинга, чтобы подбирать вам более релевантную рекламу.
Если без фанатизма - сидеть постоянно в наушниках.
Если же подходить основательно:
В интернете сидеть только далеко от других устройств. В том числе не забывайте про свой смартфон в кармане и про соседские устройства тоже.
Вырезать динамики, микрофоны и гироскопы на программном, а лучше физическом уровне. Динамики тоже могут использоваться как микрофон, как и гироскоп.
Звуки только в наушниках, желательно небольших и проводных. Бывают такие наушники, которые орут громче динамика некоторых смартфонов, нам такие не надо.
Про такие вещи на русском рассказывали очень мало кто, более-менее раскрывать тему - ещё меньше.
Рост и рост искусственного интеллекта в 2024 году привели к новым проблемам кибербезопасности среди мирового бизнеса и правительств. Похоже, что у Израиля уже есть ответы благодаря динамичной экосистеме Startup Nation, движимой амбициозными стартапами , ориентированными на безопасность .
Стартапы Израиля в сфере кибербезопасности привлекали значительное внимание во всем мире в течение года. К августу 2024 года киберэкосистема страны уже успешно привлекла более 2,9 млрд долларов финансирования, что превышает общий объем средств, привлеченных за весь 2023 год.
Эти впечатляющие цифры отражают общенациональный рост финансирования. В первой половине 2024 года мы увидели 31%-ный рост частного финансирования в Израиле по сравнению со второй половиной 2023 года.
В целом объем финансирования вырос до 5,1 млрд долларов США по 322 раундам в первой половине года, при этом, по оценкам, эта цифра составит 6,7 млрд долларов США, если включить неучтенные раунды и нераскрытые объемы платежей.
Кибербезопасность останется в авангарде восстановления частного финансирования в Израиле в 2024 году, а ведущие отечественные компании, такие как Pentera, стали движущей силой всей отрасли.
Базирующаяся в Петах-Тикве (Израиль) фирма по автоматизированной безопасности в настоящее время входит в десятку самых быстрорастущих компаний по разработке программного обеспечения для кибербезопасности по версии Inc. 5000 и представляет собой лишь вершину айсберга в бурно развивающемся киберпространстве страны.
Решение уникальных задач ИИ
Одна из причин возобновления финансирования кибербезопасности в Израиле связана с уникальными проблемами, возникающими в связи с развитием искусственного интеллекта.
Мошенничество с использованием искусственного интеллекта создает новые угрозы для лиц, принимающих решения в бизнесе, и экосистема стартапов Израиля хорошо подготовлена к противодействию этим новым проблемам.
В распоряжении киберпреступников ИИ может масштабировать создание поддельных бизнес-аккаунтов для совершения мошеннических действий против реальных компаний на беспрецедентном уровне. Это может быть использовано для открытия счетов в финансовых учреждениях по всему миру, отмывания денег или обмана ничего не подозревающих целей.
В 2023 году финансового работника из Гонконга обманом заставили отправить преступникам 25 миллионов долларов с помощью видео, в котором использовалась технология искусственного интеллекта с дипфейком. Это доказывает, что угроза искусственного интеллекта не является проблемой для будущих компаний и весьма актуальна уже сегодня.
Создание надежной киберзащиты
Лидерами борьбы с киберпреступностью с использованием искусственного интеллекта являются израильские компании, занимающиеся облачной кибербезопасностью, такие как Coro, которые недавно объявили о завершении раунда финансирования серии D на сумму 100 миллионов долларов .
Компания предлагает пакет услуг по кибербезопасности, включающий безопасность серверов и облаков, безопасность конечных устройств и мониторинг угроз.
Для розничных торговцев утечки данных могут происходить во многих формах. Наряду с мошеннической деятельностью, вредоносное ПО, фишинговые атаки, взломы методом подбора и фальсификация могут раскрыть уязвимости предприятий и ценных данных точек продаж.
В результате усилий Израиля по созданию надежной структуры защиты от кибератак такие ключевые отраслевые компании, как Imperva, стали объектом приобретения французской компанией Thales за 3,6 млрд долларов в 2023 году.
Эта история инноваций в сфере кибербезопасности берет свое начало в инициативе Израиля по включению этой темы в качестве основного компонента своей учебной программы .
Поскольку обучение кибербезопасности начинается в средней школе, а страна является единственной в мире, где этот предмет предлагается в качестве отдельного предмета на вступительных экзаменах, стартап-нация активно пожинает плоды повышения квалификации учащихся в области мер безопасности с раннего возраста.
Учитывая статус страны как мирового лидера в области кибербезопасности, неудивительно, что некоторые из самых ярких израильских новаторов в области кибербезопасности в 2024 году будут набирать обороты, поскольку глобальный спрос на более эффективные решения помогает большему количеству отечественных стартапов расширяться.
Расширение кибербезопасности
Израиль можно назвать страной стартапов, но в его бурно развивающемся секторе кибербезопасности есть достаточно доказательств того, что его самые яркие игроки демонстрируют впечатляющие масштабы.
Прибыль компании Check Point из Тель-Авива за первый квартал 2024 года превзошла ожидания благодаря платформе безопасности на базе искусственного интеллекта. Компания объявила о прибыли в размере 2,04 долл. США на разводненную акцию, что на 13% больше, чем годом ранее.
В результате компания сообщила о выручке в размере 599 миллионов долларов, что на 6% больше, чем годом ранее.
Дополнительные свидетельства масштабирования экосистемы кибербезопасности Израиля можно найти в Wiz, где совместное предприятие с Соединенными Штатами недавно объявило о намерении к 2025 году увеличить штат на 400 сотрудников , стремясь достичь своей цели — ежегодного дохода в размере 1 млрд долларов США.
Прокладывая путь к удаленной работе
По данным Upwork, к 2028 году 73% всех отделов будут иметь удаленных сотрудников, а опыт Израиля в области кибербезопасности должен стать краеугольным камнем этого конкретного направления цифровой трансформации.
Масштабные израильские компании по кибербезопасности могут помочь обеспечить более надежную защиту от случаев мошенничества с использованием искусственного интеллекта для удаленных сотрудников, гарантируя при этом, что распределенные по всему миру команды смогут продолжать эффективную работу без угрозы утечки данных, влияющей на производительность.
Мастерство израильских компаний может помочь сделать текущую цифровую трансформацию более безопасной в глобальном масштабе, а динамичная экосистема стартапов страны обещает вновь стать движущей силой инноваций , которые откроют путь к большей безопасности и защищенности для предприятий в масштабах всего мира.
Есть много разных сервис Пробива (поиск информации о человеке, автомобиле, сотовом номере) в виде всяких приложений, ботов, сайтов и т.д. Кто-то как ОСИНТеры, ищет доступную в сети информацию через интернет-поисковики по методу Гугл-дорк.
Даже если сам сервис не мошеннический, то даже он может отображать неверный данные, и на это есть много разных причин. Профессиональные ОСИНТеры и ДОКСеры, тоже могут стать жертвой ложных данный.
ПРИЧИНЫ НЕВЕРНЫХ ДАННЫХ ВЫДАВАЕМЫХ ПРИ ПОИСКЕ
1. Сим-карты или недвижимость, автомобиль и т.п могут сменить владельца. В итоге, вводя в поиск ФИО человека вы можете получить старые данные о нем. Или пробивая чей-то номер телефона, вам покажут данные предыдущих владельцев сим-карты.
2. Часть сим-карт, автомобилей и т.п, оформляется не на самого пользователя, а на его родных, близких, знакомых, друзей, коллег. На это есть разные причины-случайные, намеренные, или для служебного пользования на работе. Потому не стоит удивляться, что номер подписан под двумя ФИО, или десяток человек.
3. Случайная ошибка из-за неверного ввода данных в самой оригинальной базе. Пример-работник магазина может при оформлении скидочной карты клиента, допустить опечатку.
Эта опечатка будет в базе магазина. А при утечке базы данных магазина в открытый доступ, утекшую базу, будут использовать сервисы по пробиву информации. В итоге опечатку/ошибку будет показывать и сервис по поиску/пробиву информации.
4. Поисковому сервису попалась муляж/кукла вместо настоящей базы данных. Бывают случаи, когда в сеть сливают якобы базу данных пользователей оператора мобильной связи.
В базе данных, вроде есть номера телефонов, но остальные данные типа ФИО и т.д, которые прикреплены к номеру - оказываются вообще не совпадающими с данными реального владельца номера телефона. Т.е к номеру приписаны абсолютно левые, чужие данные.
Причин для выкладывания муляжа базы данных с ложными данными, может быть много, помимо цели самопиара, или в рамках борьбы с поисковыми сервисами которые показывают личные данные людей, чтобы запутать тех, кто ищет информацию о людях
5. Намеренный ввод искаженных и ложных данных.
Пример: Один сервис, который по введенному в него номеру телефона, показывает как подписан владелец номера, всю информацию получает из контактов/телефонной книги смартфонов пользователей, которые пользуются этим сервисом.
В итоге, если кто-то у себя в смартфоне подпишет номер человека как "мошенник" , "путана", " проф.фотограф" "владелец вип-кафе", "главный на районе", а затем синхронизирует свою записную книгу с "сервисом", то остальные пользователи сервиса, при введении данного номера телефона, будут видеть эти подписи.
Намеренное искажение может вестись в разных целях.
-улучшить свою репутацию ( начинающий фотограф может подписаться как "семейный/проверенный фотограф")
-выдать себя за другое лицо ( мошенники подписывает себя как "владелец кафе" " поставщик кирпичей", чтобы обмануть проверяющих).
-ухудшить репутацию другого человека (подписать человека как "путана", "мошенник"
-запутать сервис и тех, кто ищет его номер телефона (сантехник Василий подписывает себя как "Ольга кондитер").
Есть много разных способов, внести ложные/искаженные данные, чтобы сервисы пробивов, не могли по запросу найти информацию о человеке.
6. В сервисах поиска информации/пробива, есть иногда платная опция в стиле "скрыть данные о пользователе/удалить данные о пользователе".
Вдобавок может присутствовать опция "показать данные пользователей, кто запрашивал данные о человеке"
В случае утечки баз данных какой-то организации или интернет-ресурса, защитить свои данные практически невозможно. Потому следует изначально быть готовым к тому, что в каком-то интернет сервисе, могут оказаться ваши данные.
Приветствую форумчане! У меня такой вопрос: есть ли возможность поставит вторую ОС Win10 так, чтобы она видела только выбранные локальные диски и была полностью изолирована от основной ОС?
Зачем? Безопасность основной ОС и информации на определенных локальных дисках. Вместо использования виртуальной машины, которая использует не все мощности пк и дает задержку инпута.
Или может подскажите другие варианты изоляции от основной ОС?
Еще важное уточнение: установки и данные должны сохраняться в изолированной среде.
1) танцевать с бубном вокруг chrome\других браузеров, на каждом девайсе копаться в настройках, которые предлагают.
2) купить готовое решение на VPN, ты будешь зависим от его работы, ты не знаешь сколько людей им пользуется, когда он перестанет работать, не изменят ли там настройки\плату за пользование, не ограничат ли доступ куда-либо тебе, ты не будешь уверен на 100% на счёт защиты своих данных, т.к не ты отвечаешь за это вот всё
3) арендовать сервер, сделать свой vpn чтоб уже раз и навсегда избавиться от блокировок РКН и самостоятельно отвечать и за защиту информации и за настройки и за устройства
Руководители нуждаются в измерении рисков и выражении в денежном эквиваленте снижения рисков. Этой цели и посвящен описываемый ниже метод.
Введение
Немного общих слов, для понимания ситуации.
Причины резкого увеличения числа кибератак и почему ожидается дальнейший рост.
Дело в поверхности атаки (attack surface). Под поверхностью атаки понимают совокупность уязвимостей информационной системы. Поверхность атаки раскрывает информацию ненадежным источникам. У дома, банковского счета, семьи, личности имеется поверхность атаки. Мы пользуемся цифровыми сервисами, а они, в свою очередь, помещают цифровые сведения о нас в зону досягаемости преступников. Перемены произошли быстро и без ведома заинтересованных сторон (организаций, сотрудников, клиентов, граждан).
Отдельно выделим поверхность атаки предприятия, которая включает не только системы и сети в организации, но и воздействие третьих лиц. Речь идет в целом об экосистеме предприятия, в том числе - клиентах, поставщиках и, возможно, государственных учреждениях.
Поверхность атаки, охватывающая граждан, потребителей и государство - глобальная поверхностью атаки: набор рисков кибербезопасности в системах, сетях и организациях. И с этим набором рисков люди сталкиваются постоянно:
при оплате покупок банковской картой;
просмотре сайтов в интернете;
получении медицинских услуг;
выполняя обязанности на работе.
Эта глобальная поверхность атаки – макроуровневое явление, возникновение которого обусловлено по меньшей мере четырьмя макроуровневыми причинами:
увеличением числа пользователей по всему миру;
разнообразием пользователей в мире;
ростом числа обнаруженных и эксплуатируемых уязвимостей из расчета на каждый визит в сеть каждого пользователя;
тесным сетевым взаимодействием между организациями, что приводит к риску «каскадного отказа»..
Из этого следует - поверхность атаки и взломы коррелируют. Если это так, рост атак еще впереди, идет движение к глобальному росту поверхности атаки и, следовательно, взломам, которые переплюнут случавшееся до сих пор.
Как ответ на эту тенденцию должность CISO в компании – уже не редкость. А бюджеты, выделяемые на кибербезопасность, растут в два раза быстрее, чем бюджеты сферы информационных технологий в целом.
И как же организации используют новую руководящую должность и приток денег на кибербезопасность... ищут уязвимости, выявляют атаки и устраняют нарушения.
В отношении уязвимостей это привело к появлению "управления уязвимостями", а в плане атак – к "управлению событиями", связанными с безопасностью, которое еще обобщенно называют "управлением безопасностью". Недавно добавилась «разведка угроз» и, соответственно, новое словосочетание «управление угрозами». Все они относятся к сфере тактических действий в области безопасности, в то время как руководству необходимо получить дорожную карту как принимать решения по кибербезопасности, связанные с распределением ограниченных ресурсов для борьбы с такими неопределенными и растущими рисками. О профессиональном чутье здесь не будем писать.
Частый подход
Сегодня используют подход, в котором степень вероятности и уровень воздействия оценивают субъективно по шкале от 1 до 5 (см. Таблицу 1). Идея в том, что чем больше число, тем важнее событие и тем раньше обратить на него внимание. Различные варианты подсчета и карт риска одобрены и продвигаются в стандартах и руководящих документах несколькими крупными организациями, среди которых Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST), Международная организация по стандартизации (International Standards Organization, ISO), MITRE.org и сообщество «Открытый проект по обеспечению безопасности веб-приложений» (Open Web Application Security Project, OWASP).
Таблица 1. Матрица риска (карта риска)
Возможно, интуитивно такой подход кажется разумным, однако рост атак в области кибербезопасности сам по себе уже намекает на то, что, возможно, настало время попробовать иной подход.
Изучение исследований, посвященных интуитивным методам, так и методам принятия решений, указывает на следующее:
Нет доказательств, что типы балльных оценок и методы построения матриц рисков, используемые в кибербезопасности, повышают эффективность суждений.
Напротив, имеются доказательства, что эти методы вносят искажения и ошибки в процесс оценивания. Тони Кокс – даже утверждает, что эти методы «хуже, чем действия наугад» (исследование Кокса и будут подробно описаны в следующих статьях).
Мнимая «работа» методов, вероятно - разновидность эффекта плацебо. То есть метод заставляет почувствовать себя лучше, даже если применение не приводит к ощутимому улучшению в оценке рисков (или вовсе увеличивает число ошибок).
В опубликованных исследованиях огромное количество доказательств эффективности количественных, вероятностных методов.
К счастью, большинство экспертов по кибербезопасности, похоже, готовы и способны использовать количественные решения. Однако распространенные заблуждения (в том числе неправильные представления о базовой статистике), которых придерживаются часть людей, создают ряд препятствий для внедрения количественных методов.
Новый количественный подход строится на следующих принципах:
Многие аспекты существующих методов были оценены и признаны непродуктивными. Подобное неприемлемо в масштабах проблем, с которыми сталкивается сфера кибербезопасности.
В кибербезопасности можно применять тот же количественный язык анализа рисков, что и в других сферах. Существует множество областей, в которых риск огромен, данные минимальны, а участники хаотичны, и для этих областей регулярно строятся модели с помощью традиционных математических методов. Не нужно заново изобретать терминологию или методы, когда они уже есть в других сферах, где также сталкиваются со сложными проблемами анализа рисков.
Существуют методы, которые уже показали себя результативнее по сравнению с профессиональным чутьем. И это верно даже для используемых методов, основывающихся только на субъективных суждениях экспертов по кибербезопасности.
Усовершенствованные методы применимы. Об этом известно, поскольку их уже применяли. Каждый из описанных методов применялся в реальных условиях в корпоративной среде. Этими методами пользуются руководители по информационной безопасности (CISO) из самых различных отраслей.
Описываемые модели можно усовершенствовать с помощью эмпирических данных. Данные доступны как из уже имеющихся, так и новых, только появляющихся источников. Но даже при ограниченных данных математические методы полезнее субъективных суждений. Кроме того, сами методы анализа рисков также измеримы для дальнейшего совершенствования.
Что мы будем изменять
В процессе принятия практических решений следует рассматривать измерения как наблюдения, количественно уменьшающие неопределенность.
Измерения, соответствующие основным стандартам научной достоверности, будут сообщать о результатах с некоторой долей неопределенности, например: «Существует 90 %-ная вероятность того, что атака на систему приведет к сбою в ее работе на период от 1 до 8 часов».
Шеннон предложил математическое определение информации как степени уменьшения неопределенности в сигнале, которую он рассматривал с точки зрения энтропии, устраняемой сигналом. По Шеннону, адресат информации находится в некотором изначальном состоянии неопределенности, иными словами, ему уже что-то известно, а новая информация просто устраняет хотя бы часть неопределенности (т. е. необязательно полностью).
Такая концепция «снижения неопределенности» крайне важна для бизнеса. Продуктивность значимых решений, принимаемых в состоянии неопределенности (например, связанных с утверждением крупных IT-проектов или новых средств контроля безопасности), можно повысить, пусть даже совсем немного, за счет снижения неопределенности. Иногда даже небольшое снижение неопределенности может сберечь миллионы рублей.
Даже после принятия более удобной формулировки понятия «измерение» (как наблюдения, уменьшающего неопределенность) некоторые вещи кажутся неизмеримыми, из-за того что мы просто не понимаем, что имеем в виду, когда впервые задаемся вопросом об их измерении. То есть мы не можем однозначно определить объект измерения. Если кто-то интересуется, как измерить «ущерб репутации», или «угрозу», или «срыв рабочего процесса», то достаточно спросить: «Что вы имеете в виду?» Любопытно, как часто люди затем уточняют термин, так что он сам по себе уже почти отвечает на вопрос об измерении.
Как только становится ясно, что имеется в виду и почему это важно, проблема начинает казаться гораздо более измеримой. Так проводятся так называемые семинары по разъяснению. Они сводятся к тому, что клиенты заявляют конкретный, но изначально двусмысленный предмет, который требуется измерить. А затем им просто задаются вопросы: «Что вы имеете в виду под [указать нужное]?» и «Почему вас это волнует?»
Такой подход применим к широкому спектру проблем измерения, и кибербезопасность не исключение. «Что вы подразумеваете под IT-безопасностью?» В ходе двух или трех семинаров сотрудники дали точное определение: выяснилось, что под IT-безопасностью они понимали такие параметры, как снижение числа проникновений и заражений вирусами. Далее они пояснили, что подобные вещи влияют на министерство через мошенничество, потерю производительности или даже потенциальную юридическую ответственность. Все выявленные в итоге воздействия почти в каждом случае оказались явно измеряемыми. Понятие «безопасность» было расплывчатым, пока его не разложили на компоненты, которые на самом деле хотели изучить.
Цепочка разъяснений
Если объект имеет значение, то он выявляем/наблюдаем.
Если он выявляем, то его можно обнаружить в каком-то количестве (или диапазоне возможных вариантов количества).
Если его можно определить как диапазон возможных вариантов количества, то его можно измерить.
Также важно знать, зачем надо что-то измерить, чтобы понять, что именно измеряется. Цель измерения часто является ключом к пониманию того, каким оно на самом деле должно быть. Измерения всегда должны подкреплять какое-то решение, неважно, принимается ли оно единожды или регулярно. В случае измерения рисков кибербезопасности измерения, скорее всего, проводятся, чтобы лучше распределить ресурсы для снижения рисков.
Если уровень безопасности повышается, то некоторые риски должны понижаться. В таком случае необходимо понять, что подразумевается под риском. Для прояснения этой проблемы требуется уточнить понятия «неопределенность» и «риск». Они не только поддаются измерению, но и являются ключевыми для понимания измерений в целом. Итак, давайте определим значения этих терминов и их измерений:
Значения неопределенности, риска и их измерений
Неопределенность – отсутствие полной уверенности, т.е. существование более чем одной возможности. Истинные итог/состояние/результат/значение не известны.
Измерение неопределенности – набор вероятностей, приписываемых набору возможностей. Например: «Существует 20 % вероятность, что в течение следующих пяти лет у нас произойдет утечка данных».
Риск – состояние неопределенности, когда некоторые из возможностей связаны с убытками, катастрофой или другими нежелательными последствиями.
Измерение риска – набор возможностей, каждая из которых имеет количественную оценку вероятности и количественно выраженные потери. Например: «Существует 10 % вероятность, что утечка данных повлечет за собой судебные иски на более чем 10 млн долл.».
Метод Монте-Карло, или простая замена «один на один»
Путь к более точной оценке риска можно начать, всего лишь заменив элементы, используемые в методе, с которым большинство экспертов по кибербезопасности уже знакомы, – матрице рисков. Как и в случае с матрицей рисков, мы будем полагаться только на суждение экспертов в области кибербезопасности. Они продолжат выносить субъективные экспертные суждения о вероятности и воздействии точно так же, как делают это сейчас при составлении матриц риска. Не потребуется никаких иных данных, кроме информации, которую, возможно, уже и так используют аналитики в сфере кибербезопасности для обоснования своих суждений с помощью матрицы риска. Как и прежде, эксперты смогут использовать столько данных, сколько посчитают нужным, для вынесения, по сути, все того же субъективного суждения.
Единственное предлагаемое нами изменение в том, чтобы вместо использования шкал типа «высокий, средний, низкий» или «от 1 до 5» эксперты научились субъективно оценивать фактические величины, стоящие за такими шкалами, т. е. вероятность и воздействие в денежном выражении.
Порядок работы экспертов
В любой проблеме измерения важной отправной точкой является фиксирование текущего состояния неопределенности. Нужно лишь задать базовую структуру, выполнив следующие действия.
Определить список рисков. Классифицировать риски можно по‑разному, но сейчас только укажем, что для обычной матрицы рисков составляется такой же список;
Определить конкретный период времени, в течение которого может возникнуть несущее риск событие (например: «Утечка данных из приложения Х произойдет в ближайшие 12 месяцев», «Потеря доступа к системе Х достаточно продолжительная, чтобы привести к снижению производительности в ближайшие пять лет» и т. д.);
Для каждого риска субъективно определить вероятность (от 0 до 100 %), с которой заявленное событие произойдет в указанное время (например: «Существует вероятность 10 %, что утечка данных из системы X произойдет в ближайшие 12 месяцев»);
Для каждого риска субъективно определить диапазон финансовых потерь в случае наступления события в виде 90 % доверительного интервала (ДИ). Это достаточно широкий диапазон, позволяющий быть на 90 % уверенными, что фактические потери окажутся в его пределах (например: «Если произойдет утечка данных из приложения X, то с вероятностью 90 % можно предположить, что потери составят от 1 до 10 млн долл.»);
Если есть возможность, то получить оценки нескольких экспертов, но не проводить при этом общее совещание в попытке достичь консенсуса. Просто предоставьте список определенных событий, и пусть люди отвечают по отдельности. Если ответы некоторых экспертов сильно отличаются от остальных, выясните, не интерпретируют ли они иначе проблему. Например, если один человек называет вероятность наступления какого‑либо события равной 5 % в течение года, а другой говорит, что оно с вероятностью 100 % происходит каждый день, тогда они, судя по всему, по‑разному поняли вопрос (авторы лично сталкивались именно с таким вариантом). Однако, если эксперты понимают вопрос одинаково, просто усредните их ответы. То есть вычислите среднее арифметическое значение всех вероятностей наступления события, чтобы получить одно значение вероятности, а затем вычислите среднее арифметическое всех наименьших значений вероятностей для получения одного нижнего предела и наибольших значений для получения одного верхнего предела.
В таблице заложен просчет 1000 вариантов вероятностей, и выведение прогнозируемого неотъемлемого убытка и остаточного (убытка с учетом вложения в средства ИБ).
Откуда берется кривая рискоустойчивости?
Речь идет о закладке "Кривая убытков" таблицы, График «Неотъемлемые убытки и рискоустойчивость»
В идеале информация для кривой рискоустойчивости собирается на встрече с руководителями, обладающими компетенцией заявлять, насколько большой риск организация готова принять в соответствии с ее политикой. Такая встреча обычно длится около полутора часов. Предполагается, что в ходе нее вы просто объясняете саму концепцию руководству, а затем просите их установить несколько точек на кривой. Также в процессе необходимо определить, какая именно кривая рискоустойчивости вас интересует (например, ежегодный риск для отдельной системы, риск на десятилетие для всего предприятия и т. д.). Как только суть дела объяснена, можно начинать задавать вопросы, оттолкнувшись от какой‑то произвольной точки.
Специалист: Согласны ли вы принять вероятность десять процентов того, что в год из‑за рисков кибербезопасности убытки составят более пяти миллионов?
Руководитель: По‑моему, лучше бы обойтись вообще без рисков.
Специалист: По‑моему, тоже, но сейчас вы уже рискуете во многих областях. Очевидно, что, сколько ни вкладывай в снижение рисков, полностью они не исчезнут.
Руководитель: Верно. Полагаю, я могу согласиться с вероятностью десять процентов, что убытки составят пять миллионов или более.
Специалист: Как насчет вероятности двадцать процентов потерять более пяти миллионов в год?
Руководитель: Кажется, это перебор. Давайте остановимся на десяти процентах.
Аналитик: Отлично, тогда десять процентов. Итак, какую вероятность гораздо бóльших убытков, например пятьдесят миллионов или больше, вы готовы назвать? Может быть, хотя бы один процент?
Руководитель: Полагаю, я не люблю рисковать. Считаю допустимой однопроцентную вероятность для убытков в размере двадцать пять миллионов или более за год…
И так далее. Отметив три или четыре точки, можно интерполировать остальные и передать результат руководству на окончательное утверждение. Технически процесс не сложный, но важно знать, как реагировать на некоторые потенциальные вопросы или возражения. Кто‑то из руководителей может указать, что процедура кажется весьма абстрактной. В таком случае стоит привести примеры из практики их компании или других предприятий, касающиеся выбранных убытков и того, как часто они возникают.
Принятие решений
В конечном счете смысл анализа рисков – даже с матрицей рисков, которую мы заменяем, – это поддержка решений.
Руководителю отдела информационной безопасности необходимы расчеты «рентабельности средств контроля», представляющей собой отношение снижения ожидаемых убытков в денежном выражении к стоимости средств контроля. Если рассматривать только выгоду в течение одного года (и игнорировать прочие соображения об изменении стоимости со временем), формула может быть такой:
Рентабельность средств контроля = снижение ожидаемых убытков/ стоимость средств контроля -1
Термин «ожидаемый» в контексте проектных расчетов обычно относится к средневзвешенному по вероятности значению некоторой суммы. Таким образом, ожидаемые убытки – это среднее значение убытков в симуляции по методу Монте Карло, связанное с конкретной причиной.
Если применить средства контроля для снижения рисков, а затем смоделировать новый набор убытков, среднее значение этих убытков станет меньше (за счет уменьшения вероятности любого из убытков, или уменьшения воздействия от наступления события, влекущего за собой убытки, или и того и другого). Разница убытков до и после применения средств контроля – это и есть параметр «снижение ожидаемых убытков» в формуле выше. Если снижение ожидаемых убытков равно затратам, то, согласно формуле, рентабельность средств контроля составит 0 %. Это верно и для других форм инвестиций.
Также необходимо будет определить, в течение какого периода времени ожидается снижение убытков. Если средства контроля – это текущие расходы, которые можно начать и прекратить в любое время, то приведенная выше формула будет применяться к годовой выгоде (снижению убытков) и годовым затратам. Если же средства контроля – разовая инвестиция, выгода от которой может проявляться в течение длительного периода времени, то следует придерживаться финансовых правил компании, касающихся капиталовложений.
В заключении хочу отметить, что это самый простой из количественных методов измерения рисков, однако действенный.
Коллеги, ни в коем случае не претендую на первоисточник, применение метода подсмотрено у Ричард Сирсен Дуглас и У. Хаббард, ну а сам метод возник в 1944, автор Станислав Улам. Приключения математика. – Ижевск: НИЦ «Регулярная и хаотическая динамика», 2001.
