АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Квантование киберрисков

Квантование киберрисков (англ. Cyber Risk Quantification, CRQ) — процесс оценки и выражения потенциального воздействия киберугроз в измеримых финансовых показателях, переводящий технические риски в формат, понятный бизнесу[1].. CRQ является ключевым инструментом для принятия стратегических управленческих решений, позволяя руководству обосновывать инвестиции в кибербезопасность и приоритизировать риски[2]..

Одним из методов количественной оценки киберрисков является метод «ценности под риском» (англ. value-at-risk, VaR), который обсуждался на заседании Всемирного экономического форума в январе 2015 года[3]. На этом заседании метод VaR изучался и был признан перспективным подходом к квантованию киберрисков.

Стандарты и методологии

Международные организации, такие как Международная организация по стандартизации (ISO) и Национальный институт стандартов и технологий США (NIST), не предписывают единой математической модели для количественной оценки киберрисков. Вместо этого они предоставляют общие рамочные структуры и руководства, в рамках которых могут применяться различные методологии[4].[5][6] Для управления киберрисками используется структура NIST CSF 2.0, которая позволяет интегрировать количественные методы. При этом NIST ссылается на независимую модель FAIR (Factor Analysis of Information Risk), предназначенную для количественной оценки киберрисков в финансовых терминах[4]. В рамках стандартов ISO применяется ISO/IEC 27005:2022 — руководство по управлению рисками информационной безопасности. Этот стандарт не навязывает единый подход, позволяя организациям использовать количественные методы анализа наряду с качественными и полуколичественными[6].[5]

Математическое определение

Математическое определение киберриска может быть дано следующим образом:

  • Киберриск = 1 — Уверенность в кибербезопасности

Уверенность в кибербезопасности — это фактическая доля успешно проведённых тестов. Эту величину можно интерпретировать как вероятность и вычислить соответствующий киберриск:

  • Пример 1: проведено и успешно пройдено определённое количество тестов: получена дефектная «уверенность» в 97,43 %. Ответ: киберриск = 2,57 %.
  • Пример 2: подтверждено, что все 65 536 TCP-портов и 65 536 UDP-портов на активе не используются или неактивны. Какова стойкость к проникновению? Ответ: уверенность в кибербезопасности = 99,83 %, киберриск = 0,17 %.

Как правило, такая оценка уверенности и/или киберриска называется тестимейт, поскольку:

  • позволяет оценить необходимое число тестов для достижения заданного уровня уверенности в кибербезопасности;
  • позволяет по количеству реально проведённых и успешно пройденных тестов оценить уровень уверенности и величину киберриска.

Практические реализации

Квантование киберрисков используется во множестве практических областей, включая:

Киберстрахование

Квантование киберрисков активно применяется в сфере киберстрахования[7]. Для объективной оценки уровня защищённости потенциальных клиентов страховщики требуют проведения превентивных IT-аудитов[8]. При этом для расчёта страховых премий и определения лимитов покрытия используются скоринговые модели и экосистемный подход.

Обоснование инвестиций

Квантование киберрисков применяется для оценки возврата инвестиций в кибербезопасность[9][10]. Этот подход позволяет перевести технические угрозы в понятные для бизнеса финансовые показатели, что актуально для обоснования затрат на защиту сложных распределённых облачных сред[11].[12][13] Для расчёта экономического эффекта используется показатель ожидаемой годовой убыточности (ALE), который вычисляется как произведение годовой частоты реализации угрозы на величину убытка от единичного инцидента. На основе ALE рассчитывается возврат инвестиций в безопасность (ROSI): вычисляется отношение разности между снижением ALE и стоимостью защитного решения к стоимости самого решения[11].[14] Например, при оценке риска утечки данных из-за неправильной конфигурации облачного хранилища потенциальный годовой убыток (ALE) может составлять 10 млн условных единиц. Внедрение решения класса Cloud Security Posture Management (CSPM) стоимостью 1,5 млн условных единиц способно снизить ожидаемый убыток до 1 млн. В таком случае снижение ALE составит 9 млн, а показатель ROSI достигнет 500 %, что наглядно демонстрирует высокую окупаемость инвестиций в облачную безопасность[15].[13]

Аудит и оценка активов

Квантование киберрисков применяется для оценки стоимости программных мер и смягчения угроз, а также при оценке киберрисков и аудите информационной безопасности[16]. Количественная оценка является частью технологического аудита (due diligence) при сделках по слиянию и поглощению (M&A). В этом процессе CRQ используется для выявления скрытых затрат, таких как расходы на устранение уязвимостей и интеграцию систем, а также для обоснования стоимости приобретаемого актива[17]. Кроме того, методы квантования применяются для приоритизации рисков информационной безопасности в цепочках поставок, позволяя выявлять поставщиков и сценарии атак, несущие наибольший потенциальный финансовый ущерб[18].

Корпоративное управление

Квантование киберрисков играет важную роль в корпоративном управлении при подготовке отчётности для совета директоров. Использование количественной оценки позволяет переводить технические риски на язык бизнеса, демонстрируя потенциальный экономический ущерб вместо обсуждения отдельных уязвимостей. Такой подход даёт возможность руководству принимать обоснованные решения, сопоставлять киберриски с другими видами бизнес-рисков, аргументировать выделение бюджетов на информационную безопасность и приоритизировать меры защиты в зависимости от их финансового влияния[19].

Оценка рисков квантовой угрозы

В контексте развития квантовых вычислений выделяется угроза «Q-Day» — гипотетический момент, когда квантовые компьютеры достигнут мощности, достаточной для взлома широко используемых алгоритмов асимметричной криптографии (таких как RSA и ECC) с помощью алгоритма Шора[20].[21]

Количественная оценка данного риска включает моделирование необходимых вычислительных ресурсов, в частности расчёт требуемого количества логических кубитов для успешной атаки. На основе этих данных оценивается вероятность и возможные сроки наступления события[22].[23]

Важным этапом является оценка величины потенциального ущерба. При этом учитывается стратегия «собери сейчас — расшифруй позже» (англ. Harvest Now, Decrypt Later), в рамках которой злоумышленники могут перехватывать и сохранять зашифрованные данные уже сегодня с целью их расшифровки в будущем при появлении соответствующих квантовых мощностей[24].[25]

Кроме того, комплексная оценка квантовой угрозы включает расчёт финансовых затрат и операционных рисков, связанных с миграцией инфраструктуры на постквантовую криптографию (PQC). Этот процесс требует учёта расходов на обновление уязвимых систем, а также возможных технических сложностей, таких как снижение производительности из-за увеличения размеров криптографических ключей[26].

Примечания

  1. What is Cyber Risk Quantification (CRQ)? UpGuard Blog. Дата обращения: 28 мая 2026.
  2. What is Cyber Risk Quantification (CRQ)? JumpCloud IT Index. Дата обращения: 28 мая 2026.
  3. New Framework to Help Companies Calculate Risk of Cyberattacks (англ.). World Economic Forum. Дата обращения: 10 марта 2024. Архивировано 28 сентября 2016 года.
  4. 1 2 NIST CSF 2.0: Cyber Risk is Business Risk. FAIR Institute. Дата обращения: 28 мая 2026.
  5. 1 2 ISO 27005: A Guide to Information Security Risk Management. Secureframe. Дата обращения: 28 мая 2026.
  6. 1 2 ISO/IEC 27005:2022: Main changes and implications. PECB. Дата обращения: 28 мая 2026.
  7. Orlando, Albina (2021). “Cyber Risk Quantification: Investigating the Role of Cyber Value at Risk”. Risks [англ.]. 9 (10): 184. DOI:10.3390/risks9100184. HDL:10419/258268.
  8. Страхование киберпространства: для развития рынка необходима кооперация его участников. Forbes (29 января 2025). Дата обращения: 28 мая 2026.
  9. Alsaleh, Mohammed Noraden. Optimizing the RoI of cyber risk mitigation // 2016 12th International Conference on Network and Service Management (CNSM) : [англ.] / Mohammed Noraden Alsaleh, Ghaith Husari, Ehab Al-Shaer. — 2016. — P. 223–227. — doi:10.1109/CNSM.2016.7818421.
  10. Alsaleh, Mohammed Noraden; Al-Shaer, Ehab; Husari, Ghaith (2017). “ROI-Driven Cyber Risk Mitigation Using Host Compliance and Network Configuration”. Journal of Network and Systems Management [англ.]. 25 (4): 759—783. DOI:10.1007/s10922-017-9428-x. S2CID 20994581. Дата обращения 2026-05-28.
  11. 1 2 Measuring Cybersecurity ROI: A Framework for 2026 Decision Makers. Safe Security. Дата обращения: 28 мая 2026.
  12. ROI кибербезопасности: как измерить эффективность ИБ-инвестиций и обосновать бюджет перед бизнесом. Codeby. Дата обращения: 28 мая 2026.
  13. 1 2 Угрозы и вызовы облачной безопасности к 2026 году. Хабр. Дата обращения: 28 мая 2026.
  14. ROI и TCO в информационной безопасности. Хабр. Дата обращения: 28 мая 2026.
  15. ROI в кибербезопасности зависит не только от технологий, но и от методики расчёта. CISO Club. Дата обращения: 28 мая 2026.
  16. Guide to NIST Risk Assessments (англ.). Security Scientist. Security Scientist (7 марта 2023). Дата обращения: 28 мая 2026.
  17. Cyber due diligence in M&A. Control Risks. Дата обращения: 28 мая 2026.
  18. Build the Business Case for Cyber Risk Quantification to Reset Risk Management. Forrester. Дата обращения: 28 мая 2026.
  19. Трансформация ИБ в элемент стратегического управления. Хабр. Positive Technologies. Дата обращения: 28 мая 2026.
  20. Квантовые компьютеры приближают Q-Day — день взлома любого шифра. Computerra. Дата обращения: 28 мая 2026.
  21. Что такое квантовые вычисления. Kaspersky. Дата обращения: 28 мая 2026.
  22. Оценены ресурсы, необходимые для взлома RSA-2048 на квантовом компьютере. SecurityLab. Дата обращения: 28 мая 2026.
  23. Q-Day Catastrophic For Businesses Ignoring Quantum-Resistant Encryption. Forbes. Дата обращения: 28 мая 2026.
  24. Гонка за спасение интернета: почему Cloudflare и Google готовятся к Q-Day к 2029 году. Beeble. Дата обращения: 28 мая 2026.
  25. Q-Day уже в 2029 году. Digital Cryptography. Дата обращения: 28 мая 2026.
  26. Moody’s sounds alarm on quantum computing risk, as transition to PQC ‘will be long and costly’. Industrial Cyber. Дата обращения: 28 мая 2026.

Литература

Категории