Искусственные риски

Государственное регулирование в области ИБ можно рассматривать как создание дополнительных, искусственных рисков для предприятий. С точки зрения теории рисков, все потенциальные опасности (в частности, наши любимые утечки) – это риски.

Каждый оценивается по убыткам и вероятности возникновения, эти две величины перемножаются, полученная стоимость риска потом сравнивается со стоимостью защитных мер. Деньги на защиту тратятся в зависимости от стоимости соответствующего риска. Бывает, что не тратятся вообще, если стоимость риска слишком низкая, а защитных мер – высокая.

В эту самобалансирующую систему уже много лет вмешивается государство. С годами всё больше и больше. По его мнению, некоторые опасности недооценены. Предприятие ведь оценивает риски только для себя, а убытки бывают и для посторонних субъектов, например, граждан. Госвмешательство выглядит как появление в системе дополнительных рисков – рисков привлечения к ответственности за неисполнение тех или иных требований. У них тоже есть вероятность и убытки, их произведение даёт какую-то стоимость. Расставляя эти дополнительные гирьки, чиновники должны поменять баланс системы оценки рисков, чтобы в результате переоценки появились бы защитные меры, которые первоначально были предприятию невогодны.

Как видно, метод регулирования – косвенный. Желаемые защитные меры могут стать для предприятия выгодны, а могут и не стать. Реакция на дополнительные искусственно введённые риски может быть не такой, как задумано. Кроме того, в результате смены баланса может стать невыгодна прежняя защита – и от неё откажутся. Меняя баланс чужих оценок и не зная полного расклада, легко просчитаться и вызвать реакцию, которой не ожидал. А теперь представьте себе, что нормотворцы и регуляторы вообще не владеют теорией рисков. А гири-то им выданы довольно тяжёлые. «На тебе за заслуги. Поставь, куда хочешь.» И тут подаёт голос какой-то эксперт-очкарик со своими рисками-шмисками...

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах