Знаете ли вы, что такое риск информационной безопасности и почему этот термин некорректен?
Если посмотреть на один из документов в области, а именно на ГОСТ 57580.3 «Управление риском реализации информационных угроз и обеспечение операционной надежности», то это: «Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены недостатками процессов обеспечения операционной надежности и защиты информации, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности финансовой организации».
Не путайте с киберриском, который входит в риск ИБ и который, согласно Банку России, представляет собой: «Риск преднамеренных действий со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информатизации финансовой организации в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа».
Есть еще и такое определение: «Риск информационной безопасности — это вероятность возникновения негативного события, которое нанесет ущерб организации или физическому лицу».
В любом случае, эти, а также множество иных, определения опираются на тот факт, что «риск» несет только негативное значение, как ненулевая вероятность возникновения плохих последствий (отрицательного исхода). Однако, это очень однобокий взгляд на термин, который давно уже претерпел изменения, лучше отражающие природу описываемого явления. Уже в середине 20-го века Дмитрий Ушаков в своем известнейшем словаре русского языка привел следующее определение «риска»: «Действие наудачу в надежде на счастливую случайность».
Аналогичная история в словаре Даля, который использовал для слова «рисковать» следующие определения: действовать смело, предприимчиво, надеясь на счастье или пускаться наудачу.
И ровно тот же самый смысл вкладывает в термин «риск» любой бизнесмен. Это «потенциальная возможность возникновения события в условиях неопределенности среды функционирования предприятия, которое в случае возникновения имеет позитивное или негативное воздействие на репутацию компании».
Иными словами, риск может привести как к отрицательным, так и к положительным последствиям. Об этом же нам говорит и Гражданский кодекс, который исходит из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли. Тут тоже риск — это состояние неопределенности, которое может привести к прибыли, а может к потерям.
Для любого бизнесмена риск имеет двойственную природу, в то время как риск ИБ рассматривается всегда и только как что-то негативное, не имеющее положительного исхода. Для специалистов по ИБ риск относится скорее к некой теоретической категории, а для бизнесмена — к экономической.
Поэтому, когда ИБшники рассказывают про риски ИБ, беря за основу только возможные потери, они забывают про то, что бизнес смотрит обязательно и с позиции получения прибыли (даже при наличии вероятности получения убытков). И когда бизнес не слышит в словах ИБшников ничего про положительный исход от принятия того или иного решения, то он охладевает к теме. Ровно об этом и говорят теория ожидаемой полезности, теория отношения к риску, теория перспектив.
Поэтому, упоминая слово «риск» в контексте ИБ, мы обязательно должны упоминать и то, что мы можем получить. А если мы говорим только о негативном исходе, то лучше использовать иной термин при общении с бизнесом (при общении между ИБшниками «риски ИБ» вполне допустимы). Отсюда и возник термин «недопустимые события», который говорит только о потерях.
Последний гвоздь в крышку гроба с термином «риск» забил американский экономист Фрэнк Найт, который в 1921-м году опубликовал две, ставших классикой, работы «Понятие риска и неопределенности» и «Риск, неопределенность и прибыль». Если вкратце, то когда мы можем посчитать вероятность наступления какого-либо исхода события (положительного или отрицательного) мы говорим о риске, а когда такой подсчет невозможен, мы должны говорить о неопределенности. А мы помним, что посчитать вероятность риска в абсолютном большинстве случаев мы не в состоянии.
Кстати, если уж погружаться в измерение рисков (не ИБ, а вообще), то в этой области существуют не только вероятностные подходы, которые так любят ИБшники, но и подходы с точки зрения теория принятия решений, а также с точки зрения теории игр (они ближе к иррациональному поведению людей, чем по привычке используемая, но неработающая в ИБ математика).
Давайте подытожим. Риск — это то:
что несет как отрицательный, так и положительный исход;
что управляемо;
вероятность чего может быть измерена.
Удовлетворяет ли «риск ИБ» этим условиям? Увы, но нет! Поэтому и не стоит использовать этот термин при общении с теми, кто термин «риск» использует правильно. В своем кругу, в среде ИБшников, можно. За его границами не надо. Он не имеет того эффекта, какой должен был бы иметь.