Калибровка оси 'Вероятность': частота против возможности события

30 минут Урок 3

Введение: Иллюзия точности и ловушка интуиции

Добро пожаловать на урок, который может изменить ваше представление о том, как мы предсказываем будущее в контексте безопасности. Мы переходим к одному из самых сложных аспектов построения матрицы рисков — калибровке оси «Вероятность» (Probability/Likelihood).

Почему это сложно? Потому что именно здесь кроется 90% всех когнитивных искажений. Когда эксперт говорит: «Вероятность этого события — Средняя», что он имеет в виду? Для одного «Средняя» — это раз в месяц. Для другого — раз в десять лет. Если ваша шкала не откалибрована, ваша матрица рисков становится не инструментом управления, а генератором случайных чисел.

В этом уроке мы разберем:

Фундаментальное различие между Частотой (Frequency) и Возможностью (Possibility).
Почему временной горизонт — это «скелет» вашей оценки.
Как превратить абстрактные слова «редко» и «часто» в твердые метрики.
Методику создания гибридных шкал для ситуаций, где нет исторических данных.

Часть 1. Дихотомия оценки: Частота против Возможности

При построении оси Y мы часто используем термин «Вероятность» как зонтичное понятие. Однако в профессиональном риск-менеджменте (например, по стандартам ISO 31000 или NIST) важно различать два подхода к оценке.

1. Подход на основе Частоты (Frequency)

Этот подход работает, когда у вас есть исторические данные. Это область статистики. Мы задаем вопрос: «Сколько раз это событие происходило за единицу времени в прошлом?».

Пример: DDoS-атаки на веб-сервер. Логи показывают, что за последние 3 года было 12 инцидентов. Следовательно, частота — 4 раза в год. Это объективный факт.

2. Подход на основе Возможности (Possibility/Plausibility)

Этот подход применяется, когда статистика отсутствует или неприменима (например, для уникальных проектов или новых угроз, таких как уязвимости нулевого дня). Здесь мы работаем с логической конструкцией. Мы задаем вопрос: «Насколько легко реализовать этот риск?».

Формула оценки возможности:
Возможность = Уровень угрозы (Threat Level) + Уязвимость (Vulnerability) - Контроли (Controls)

Если злоумышленнику нужен только браузер (низкий порог входа) и у нас нет патча (высокая уязвимость), то возможность реализации — «Очень высокая», даже если этого еще ни разу не случалось.

Ключевая ошибка архитекторов матриц

Ошибка заключается в смешивании этих понятий в одной ячейке без четких инструкций. Если один эксперт оценивает риск по частоте («этого не было 5 лет, значит риск низкий»), а другой по возможности («защиты нет, любой школьник взломает, значит риск высокий»), вы получите конфликт оценок, который невозможно усреднить.

Часть 2. Временной горизонт (Time Horizon)

Вероятность без привязки ко времени — это бессмыслица. Утверждение «Жесткий диск выйдет из строя» имеет вероятность 100% на бесконечном отрезке времени. Но для бизнеса нам важно знать, случится ли это в текущем отчетном периоде.

При калибровке шкалы вы обязаны зафиксировать «базовый период». Обычно используются:

1 год (Annualized): Стандарт для операционных рисков и информационной безопасности (связано с бюджетными циклами).
Жизненный цикл проекта: Используется в проектном управлении (например, в строительстве — 3-5 лет).

Золотое правило: Все определения на вашей шкале должны приводиться к этому знаменателю. Нельзя сравнивать риск «раз в 10 лет» с риском «один раз за время 3-месячного спринта» без нормализации.

Часть 3. Практическая калибровка шкалы (от 1 до 5)

Давайте создадим надежную 5-уровневую шкалу. Мы уйдем от субъективных прилагательных к конкретным критериям. Хорошая шкала содержит критерии и для частотных событий (Operational Risks), и для событий, основанных на возможности (Project/Security Risks).

Уровень (Score)	Качественная метка	Критерий: Частота (Frequency)	Критерий: Возможность (Plausibility)
1	Крайне маловероятно (Rare)	Раз в 10 лет и реже.	Теоретически возможно, но требует стечения множества невероятных обстоятельств или ресурсов уровня национальных государств.
2	Маловероятно (Unlikely)	Раз в 3-5 лет.	Возможно, но сложно реализовать. Требуются специфические навыки и время. История знает единичные случаи в отрасли.
3	Возможно (Possible)	Раз в год.	Сценарий реалистичен. Уязвимости существуют, но эксплуатация требует подготовки. Случалось у конкурентов.
4	Вероятно (Likely)	Раз в квартал.	Легко реализуемо. Известные уязвимости без патчей. Инструменты атаки общедоступны. Случается регулярно в отрасли.
5	Почти точно (Almost Certain)	Раз в месяц или чаще / Сейчас происходит.	Тривиальная реализация. Отсутствие защитных мер. Риск реализуется прямо сейчас или неизбежен при старте процесса.

Обратите внимание: Наличие двух колонок критериев позволяет эксперту выбрать подходящую ментальную модель. Если есть статистика — смотрим колонку «Частота». Если статистики нет (например, новая кибератака) — смотрим колонку «Возможность».

Методика «Сдвиг влево»: Как бороться с предвзятостью оптимизма

При оценке рисков люди склонны надеяться на лучшее. Это называется Optimism Bias. Чтобы компенсировать это при калибровке матрицы, опытные риск-менеджеры применяют принцип пессимизации неопределенности.

Правило: Если эксперт колеблется между двумя уровнями (например, между 2 и 3), и у него нет твердых данных (логов, отчетов), он обязан выбрать более высокий уровень вероятности.

Это не паникерство, а стратегия безопасности. Лучше переоценить вероятность и проверить контроли, чем недооценить её и получить инцидент. В матрице это часто визуализируется как более широкие границы для уровней «Вероятно» и «Почти точно».

Упражнение

Ситуация: Вы пришли в компанию, где матрица рисков использует следующие определения для шкалы вероятности: - Низкая: Вряд ли случится. - Средняя: Может случиться 50/50. - Высокая: Скорее всего случится. Ваша задача: Перепишите эти определения для IT-департамента крупного банка. Используйте смешанный подход (Частота + Возможность) и временной горизонт 1 год. Сделайте определения 'SMART' (конкретными и измеримыми).

Решение:

Пример корректного решения:

1. Низкая (Low):
- Частота: Событие происходит реже 1 раза в 5 лет.
- Возможность: Для реализации требуются исключительные навыки и доступ, которых нет у стандартного нарушителя. Множественные эшелоны защиты активны.

2. Средняя (Medium):
- Частота: Событие может происходить от 1 раза в 3 года до 1 раза в год.
- Возможность: Существует теоретическая уязвимость, но эксплойт не публичен. Защитные механизмы могут обнаружить, но не гарантированно предотвратить попытку.

3. Высокая (High):
- Частота: Ожидается более 1 раза в год.
- Возможность: Уязвимость широко известна, существуют готовые скрипты для атаки. Защитные меры отсутствуют или неэффективны.

Пояснение: Мы убрали субъективные 'вряд ли' и добавили четкие временные рамки и условия состояния системы защиты.

Вопрос

Команда безопасности оценивает риск 'Взлом базы данных через SQL-инъекцию'. Исторически в компании этого никогда не происходило (частота = 0). Однако аудит показал, что веб-приложение не фильтрует ввод, а код эксплойта доступен в интернете. Какой подход к оценке вероятности следует применить и какой, скорее всего, будет уровень?

Ориентироваться на Частоту: раз не было, значит уровень 'Низкий' (1).

Усреднить показатели: (Низкая частота + Высокая уязвимость) / 2 = 'Средний' (3).

Ориентироваться на Возможность: так как уязвимость критична и легко эксплуатируема, уровень 'Высокий' (4 или 5), игнорируя отсутствие истории.

Отложить оценку до первого инцидента, чтобы получить достоверные данные.

Использовать метод Монте-Карло без входных данных.

Предыдущий урок Следующий урок