خطاهای رایج حین ارزیابی خطرات سایبری

وقتی آسیبی واقعی -در صورت وقوع یک رخداد- بیش از چند هزار دلار خرج برنمی‌دارد پس مسلم است که هیچ کس دلش نمی‌خواهد میلیون‌ها دلار خرج محافظت از شرکتش کند (این کار تا حدی احمقانه است). و اگر هم خسارات احتمالی نشت داده در شرکتی بتواند صدها هزار دلار هزینه بردارد پس صرفه‌جویی افراطی در بخش امنیت نیز می‌تواند درست به همان اندازه احمقانه باشد. اما برای محاسبه‌ی خسارات تقریبی وارد آمده به یک شرکت باید از چه قِسم اطلاعاتی استفاده کرد و چطور می‌شود میزان احتمال وقوع چنین رخدادی را سنجید؟
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)، در کنفرانس 2020 بلک‌هت دو محقق با نام‌های وید بیکر استاد دانشکده فنی ویرجینیا و دیوید سوروسکی تحلیلگر ارشد مؤسسه‌ی ساینشیا دیدگاه خود را در خصوص ارزیابی ریسک ارائه دادند که در این خبر قصد داریم نظرات آن‌ها را مورد بررسی قرار دهیم. با ما همراه بمانید.
در هر دوره‌ی امنیت سایبری اینطور آموزش داده می‌شود که ارزیابی خطر بر دو عامل اصلی متکی است: احتمال وقوع رخداد و خسارات بالقوه‌اش. اما این دست داده‌ها از کجا می‌آید؟ و مهمتر اینکه چطور باید آن‌ها را تفسیر و تعبیر کرد؟ از اینها گذشته، ارزیابی نادرست خسارات احتمالی به نتیجه‌گیری‌های نادرستی نیز منتهی می‌شود و همین خود استراتژی‌های محافظتی غلط را در پی خواهد داشت.
ریاضی شاقل درستی برای گرفتن میانگین خطرات و خسارات نیست
بسیاری از شرکت‌ها روی خسارات مالی ناشی از رخدادهای نقض داده بررسی کرده‌اند. «یافته‌های کلیدی» آن‌ها معمولاً متوسط خسارات شرکت‌هایی با اندازه‌ی قابل‌مقایسه هستند. نتیجه به لحاظ ریاضیاتی معتبر است و این رقم می‌تواند حتی در سرخط خبرها جذاب و چشم‌گیر هم به نظر بیاید؛ اما آیا واقعاً می‌شود در محاسبه‌ی خطرات روی چنین یافته‌هایی حساب باز کرد؟ همان داده‌ها را اگر با نمودار نشان دهیم –با خسارات در محور افقی و تعداد رخدادهایی که علت چنین خساراتی بودند- درخواهیم یافت که حساب و ریاضی نمی‌تواند شاخص درست و مناسبی باشد.
در 90 درصد از رخدادها، متوسط خسارات کمتر از میانگین ریاضیاتی هستند.
اگر داریم در مورد خساراتی می‌گوییم که یک کسب و کار متوسط متحمل شده است پس عقل حکم می‌کند به سایر شاخص‌ها نگاه کنیم- خصوصاً میانگین (عددی که نمونه را به دو بخش مساوی تقسیم می‌کند بطوریکه نیمی از ارقام گزارش‌شده بالاتر و نیمی از آن‌ها کمتر باشد) که در واقع حالت عددی متناسبی است.
بیشتر شرکت‌ها دقیقاً چنین خساراتی را متحمل می‌شوند. میانگین حسابی می‌تواند -به دلیل تعداد اندک رخدادهای دور از مرکز با خساراتی به طور غیرطبیعی نجومی- رقم بسیار گیج‌کننده‌ای را تولید کند.
 
متوسط هزینه‌ی ثبت داده‌های نشت‌شده
نمونه ‌دیگری از یک میانگین مشکوک می‌تواند نمونه‌ای باشد برگرفته از متود محاسبه‌ی خسارات ناشی از رخدادهای نشت، آن هم با ضرب تعداد سوابق اطلاعات آلوده‌شده با میزان متوسط خسارات یکی از موارد نشت داده. تمرینات اینطور نشان داده که در این متود، خسارات رخدادهای کوچک را دست‌کم و به طور جدی‌ای خسارات رخدادهای بزرگ دست بالا گرفته می‌شود. بگذارید مثالی بزنیم: چندی پیش، خبری در کل سایت‌های تحلیلی پیچید. در این خبر ادعا شده بود که سرویس‌های کلود با تنظیماتی نادرست حدود 5 تریلیون دلار هزینه روی دست شرکت‌ها گذاشته‌اند. اگر هم سرچ کنید که چنین رقم نجومی از کجا سر و کله‌اش پیدا شده اس متوجه خواهید شد که این 5 تریلیون دلار فقط با ضرب تعداد سوابق نشت‌شده با متوسط خسارات ناشی از یک پرونده (150 دلار) محاسبه شده است.
با این حال، باید به ماجرا از چندین بعد نگاه کرد. اول از همه اینکه این مطالعه تمامی رخدادها را مد نظر قرار نداده است. دوم اینکه حتی وقتی تنها نمونه‌ی بکارگرفته‌شده را هم لحاظ می‌کنیم، میانگین حسابی باز تصویر واضح و مشخصی در مورد این خسارات ندارد به ما نمی‌دهد؛ تنها مواردی را که خسارتی کمتر از 10 هزار دلار و بیش از یک سنت داشته‌اند لحاظ کرده است. افزون بر این، از متودولوژی این تحقیق معلوم است که این متوسط برای رخدادهایی که در آن‌ها بیش از 100 هزار مورد آلوده وجود دارد معتبر نیست. بنابراین، ضرب تعداد کل سوابق نشت‌شده در نتیجه‌ی تنظیمات نادرست سرویس‌های کلود با 150 از اساس اشتباه بوده است. اگر این متود قرار است ارزیابی ریسک واقعی تولید کند باید شاخص دیگری را نیز شامل شود: شاخص احتمال خسارات بسته به مقیاس رخداد. چنین شاخصی به طور تقریبی از قرار زیر خواهد بود:
 
اثر موجی
عامل دیگر که اغلب موقع محاسبه‌ی هزینه یک رخداد نادیده گرفته می‌شود این است که نشتی‌های مدرن اطلاعاتی روی منافع بیش از یک شرکت واحد تأثیر می‌گذارند. در بسیاری از رخدادها، مجموع خسارات واردشده به شرکت‌های طرف‌سوم (شرکا، پیمانکاران و تأمین‌کنندگان) از میزان خسارات واردشده به خود شرکت که در اصل داده از همانجا نشت شده بیشتر می‌شود. تعداد چنین رخدادهایی هر سال رو به افزایش است؛ ترند کلی دیجیتاسیون فقط سطح وابستگی متقابل را میان فرآیندهای شرکت در سازمان‌های مختلف افزایش می‌دهد. بر طبق نتایج مطالعه‌ی Ripples Across the Risk Surface–مشترکاً انجام‌شده توسط RiskRecon و Cyentia Institute- 813 رخداد از این دست منجر برای 5437 سازمان خسارت به بار آورد. بدین‌معنا که برای هر شرکت که از نشت داده رنج می‌برد –به طور متوسط- بیش از 4 شرکت آلوده‌ی چنین رخدادی می‌شوند. 
توصیه عملی
نکته مهم: آن کارشناس معقولی که ریسک‌های سایبری را ارزیابی می‌کند باید موارد زیر را لحاظ کند:
به عنوان‌های خبری جذاب و فریبنده اعتماد نکند. حتی اگر بسیاری از سایت‌ها اطلاعات مشخصی دادند این لزوماً به معنای اعتبار و صحت آن خبر نیست. همیشه نگاهش به منبعی باشد که این ادعا را حمایت کرده و خودش متودولوژی محققین را تحلیل ‌کند.
تنها از نتایج محققی استفاده کند که تماماً در ارزیابی ریسک خودش آن را درک می‌کند.
در نظر داشته باشد که رخدادی در شرکت شما ممکن است برای سایر شرکت‌ها نیز خساراتی در پی داشته باشد. اگر نشتی صورت گیرد –در صورتی که مقصرش شما باشید- پس سایر طرف‌ها ممکن است به دنبال مراجع قانونی برای شکایت از شما بروند (و این حتی خسارات شما را بیشتر نیز می‌کند).
همینطور فراموشش نشود که شرکا و پیمانکاران نیز می‌توانند در رخدادهایی که نمی‌توانید رویشان تأثیر بگذارید داده‌های شما را نشت کنند.