Powszechne błędy w szacowaniu cyberzagrożeń

Podczas obliczania potencjalnych strat wynikających z cyberincydentów dane statystyczne są równie ważne jak ich interpretacja.

Nikt nie chce wydawać milionów złotych na zabezpieczenie firmy, jeśli rzeczywiste szkody wynikające z incydentu nie przekroczą kilku tysięcy. Nikt mądry nie pokusi się na zaoszczędzenie 100 złotych na bezpieczeństwie, jeśli potencjalne szkody będące efektem wycieku danych mogą wynieść setki tysięcy złotych. Jakich informacji należy użyć, aby obliczyć przybliżone szkody, jakie firma może ponieść w wyniku cyberincydentów? Jak ocenić rzeczywiste prawdopodobieństwo takiego incydentu? Podczas konferencji Black Hat 2020 dwóch badaczy — profesor Wade Baker z organizacji Virginia Tech i David Seversky, starszy analityk w Cyentia Institute — zaprezentowało swój punkt widzenia w kwestii oceny ryzyka. Uznaliśmy, że warto przekazać ich argumenty w świat.

Każdy kurs cyberbezpieczeństwa uczy, że ocena ryzyka opiera się na dwóch najważniejszych czynnikach: prawdopodobieństwie wystąpienia incydentu i jego potencjalnych stratach. Jednak skąd brać takie dane i, co ważniejsze, jak je interpretować? W końcu niewłaściwa ocena możliwych strat prowadzi do niewłaściwych wniosków, które prowadzą do nieoptymalnej strategii ochrony.

Czy średnia arytmetyczna może służyć za wartość orientacyjną?

Wiele firm prowadzi badania nad stratami finansowymi, które są wynikiem wycieków danych. Zwykle ich „kluczowe ustalenia” wskazują średnie straty firm o porównywalnej wielkości. Wynik jest poprawny matematycznie, a liczby mogą świetnie brzmieć w informacjach prasowych, ale czy naprawdę możemy się na nich opierać w swoim przypadku?

Umieszczenie tych samych danych na wykresie, na których oś pozioma prezentuje straty, a pionowa liczbę incydentów, które wywołują straty, pokazuje, że średnia arytmetyczna nie jest właściwym wskaźnikiem.

W przypadku 90% incydentów średnie straty są mniejsze niż średnia arytmetyczna.

A skoro mowa o stratach w przeciętnych firmach, większy sens ma przyjrzenie się innym wskaźnikom — a konkretnie medianie (liczbie, która dzieli próbkę na dwie równe części tak, aby połowa podanych wartości była większa, a druga połowa mniejsza) i średniej geometrycznej (średniej proporcjonalnej). Większość firm ponosi takie właśnie straty. Średnia arytmetyczna może dawać bardzo mylące dane, co wynika z tego, że niewielka liczba odległych incydentów może mieć niestandardowo duże straty.

Rozkład strat spowodowanych incydentami wycieku danych. Źródło

Przeciętny koszt rekordu wycieku danych

Inny przykład wątpliwej „średniej” jest związany z metodą obliczania strat będących wynikiem wycieków danych poprzez pomnożenie liczby rekordów danych, które wyciekły, przez średnią liczbę szkód wynikających z utraty jednego rekordu danych. Praktyka pokazuje, że metoda ta zaniża straty w przypadku mniejszych incydentów i poważnie zawyża straty w przypadku tych większych incydentów.

Oto przykład: jakiś czas temu na wielu stronach analitycznych pojawiła się informacja, że niepoprawnie skonfigurowana usługa chmury kosztuje firmy niemal 5 bilionów dolarów. Po przeanalizowaniu, skąd bierze się ta astronomiczna kwota, stało się jasne, że jest ona wynikiem pomnożenia liczby „wyciekniętych” rekordów przez średnią wartość szkód wynikających z utraty jednego rekordu (150 dolarów). Ta druga liczba pochodzi z badania organizacji Ponemon Institute zatytułowanego „2019 Cost of a Data Breach Study”.

Historia ta ma kilka wniosków. Po pierwsze, badanie nie uwzględniło wszystkich incydentów. Po drugie, nawet jeśli weźmiemy pod uwagę tylko użytą próbkę, średnia arytmetyczna nie pokazuje wyraźnie wysokości strat; uwzględnia tylko przypadki rekordów, których utrata wywołałaby szkody mniejsze niż 10 000 dolarów i większe niż 1 cent. Co więcej, z metodologii badania wyraźnie wynika, że średnia ta nie dotyczy incydentów, które objęły ponad 100 000 rekordów. Z tego względu mnożenie łącznej liczby rekordów, które wyciekły w wyniku niepoprawnie skonfigurowanych usług w chmurze, przez 150, było zasadniczym błędem.

Jeśli metoda ta ma wskazać prawdziwą ocenę ryzyka, musi ona uwzględniać kolejny wskaźnik prawdopodobieństwa strat w zależności od skali incydentu. Wyglądało by to mniej więcej następująco:

Zależność prawdopodobieństwa strat od liczby rekordów, które padły ofiarą incydentu. Źródło

Efekt domina

Innym często przeoczanym czynnikiem podczas obliczania kosztu incydentu jest to, że dziś wycieki danych wpływają na interesy więcej niż jednej firmy. W wielu incydentach łączne szkody poniesione przez firmy trzecie (partnerów, wykonawców i dostawców) przekraczają szkody firmy, z której dane wyciekły.

Liczba takich incydentów rośnie z roku na rok, a trend „cyfryzacji” zwiększa poziom współzależności między procesami biznesowymi w różnych firmach. Jak wynika z badania Ripples Across the Risk Surface, przeprowadzonego przez organizacje RiskRecon i Cyentia Institute, 813 incydentów tego rodzaju wywołało straty w 5 437 organizacjach. Wynika z tego, że dla każdej firmy, w której doszło do wycieku danych, średnio ponad cztery firmy zostały dotknięte incydentem.

Porady praktyczne

Eksperci oceniający cyberryzyka powinni wziąć pod uwagę poniższe porady:

  • Nie ufaj wiadomościom z pierwszych stron gazet. Nawet jeśli wiele z nich powtarza jakąś informację, niekoniecznie jest ona prawdziwa. Zawsze patrz na źródło, które stoi za daną informacją, i staraj się analizować metodologię samodzielnie.
  • W swojej ocenie ryzyka korzystaj tylko z tych wyników badań, które w pełni rozumiesz.
  • Pamiętaj, że incydent w Twojej firmie może skutkować utratą danych dla innych firm. Jeśli wyciek nastąpi z Twojej winy, inne podmioty prawdopodobnie podejmą kroki prawne przeciwko Tobie, co zwiększy wysokość szkód z incydentu.
  • Podobnie, nie zapominaj, że partnerzy i kontrahenci mogą stracić Twoje dane w wyniku incydentów, na które nie masz żadnego wpływu.
Porady