Почему публичный Wi-Fi не так опасен, как привыкли думать
Про публичный Wi-Fi до сих пор рассказывают страшные истории. В статьях по кибербезопасности повторяют одно и то же: подключился в кафе, значит жди беды. Кажется, что школьник в углу с ноутбуком уже читает твои пароли. Эти страхи остались с тех времён, когда всё это действительно было возможно.
Задумывался, почему беспроводной интернет называют "Wi-Fi"? Это не аббревиатура и не шифр, как иногда думают.
Инженеры создали стандарт беспроводной связи, назвав его IEEE 802.11. Никто бы такое не запомнил.
Маркетологи придумали простое и звучное название "Wi-Fi", похожее на "Hi-Fi", термин из аудио для качественного звука. Идея сработала. Теперь это слово знает каждый и к нему относятся с опаской.
Опасность сниффинга давно ушла
Раньше ситуация была другой. HTTPS почти не использовали, приложения спокойно передавали данные в открытом виде. Тогда перехват пакетов давал возможность воровать логины и пароли. Сейчас почти весь интернет-трафик идёт по TLS. Сертификаты проверяются автоматически, даже старые приложения в телефоне подключаются только по защищённым каналам.
Если злоумышленник попадёт в ту же Wi-Fi сеть и начнёт слушать трафик, он получит только поток зашифрованных данных. Без ключей сервера это бесполезный хлам. Пароли и личные сообщения из такого потока не извлечь.
Опасность подмены точки доступа
Есть способы атаковать через публичный Wi-Fi, но они совсем не такие как любят описывать в учебных статьях. Просто перехватить трафик теперь бессмысленно. Опасность в другом. В подмене точки доступа. Фальшивая сеть с тем же названием может направлять весь трафик на устройство злоумышленника.
Но и здесь TLS защищает. Поддельный сертификат вызовет в браузере предупреждение. Если попытаться перехватить соединение без подмены сертификата, получится просто зашифрованный поток, из которого ничего не достать. Чтобы обман удался, нужно получить доступ к приватным ключам сервера или сделать поддельную страницу входа в Wi-Fi.
Самая реальная угроза — фишинг
Вот что действительно работает. Фальшивая страница авторизации в сети. Пользователь ждёт окно для ввода логина, а злоумышленник показывает своё и просит пароль или данные карты. Это атака на человека, а не на сеть. Поэтому такие схемы всё ещё встречаются. Особенно когда целью становится конкретный человек.
Атаки через Wi-Fi стали редкими
Массовые атаки на обычных пользователей почти не встречаются. Это больше не про случайных людей в кафе. Такие схемы применяют против тех, кто представляет интерес. Например, против топ-менеджеров или дипломатов. Для всех остальных это слишком дорого и бессмысленно.
Риск кроется в невнимательности
Опасность прячется в действиях пользователя. Кто-то открывает сайты без HTTPS. Кто-то вводит пароль на поддельной странице. Кто-то доверяет сети, которая просит лишние личные данные. Вот здесь и возникают настоящие риски. Но это уже не про сам Wi-Fi. Это про привычки.
Почему миф до сих пор жив? По тому, что это правда!
Старые страшилки живут дольше, чем реальные знания. VPN-сервисы продолжают пугать "опасностью открытых сетей". Старые специалисты учат молодых методам начала двухтысячных. Хотя реальные угрозы давно ушли в приложения, фишинговые письма и взломанные сайты.
Страшно ли пользоваться публичным Wi-Fi
Нет. Если думать и проверять куда вводишь пароли, риск почти нулевой. Спецслужбы могут устроить сложную атаку с подменой сети. Но если ты не министр или топ-менеджер крупной компании, тебя это вряд ли коснётся.
Обычный пользователь скорее пострадает от вируса в приложении или утечки пароля с сайта, чем от Wi-Fi в торговом центре.
Железная Джейн готова сразиться за защиту Кибершейда! Узнай, как она противостоит угрозам будущего в мире цифровых войн. Не пропусти эту эпичную борьбу!
Индустрия кибербезопасности продолжает фокусироваться почти исключительно на технологиях в ущерб тому, что касается самого сердца киберзащиты - людей. Однако стресс, связанный с ожиданиями, ограниченными ресурсами и пагубным влиянием на благополучие, продолжает наносить ущерб психическому и физическому здоровью, производительности и удержанию сотрудников служб кибербезопасности.
Несколько человек из команды S&R решили вплотную заняться темой выгорания. В исследовании Forrester дается определение и декомпозиция выгорания в кибербезопасности, а также предлагаются подробные рекомендации по борьбе с ним.
1. Выгорание кибербезопасности — это не только человеческая проблема, но и киберриск. Как и во всех сложных вопросах, связанных с людьми, легко списать выгорание на социальную проблему или проблему психического здоровья. Не заблуждайтесь, это так – в исследовании проводили диалоги с людьми, которые осознали, что не видели своих детей восемь лет, с теми, кто больше не мог вставать по утрам, и с теми, чье тело поддавалось физическим симптомам выгорания. Кроме того, выгорание приводит к уходу из отрасли критически важных специалистов и препятствует приходу других — это в конечном итоге влияет на нашу способность управлять кибербезопасностью организаций.
2. Руководители служб безопасности предъявляют к себе нереальные требования, и это дорогого стоит. Целеустремленность профессионалов в области безопасности создает нагрузку на сотрудников, которым приходится «терпеть», в течение длительного времени. Опрошенные директора по информационной безопасности говорили о своем желании поддержать своих сотрудников, настаивая на том, чтобы те брали отпуск, и борясь за ресурсы для них. Однако, когда в исследовании спрашивали, проявляют ли они такую же доброту по отношению к себе, часто встречали глухое молчание. Их собственные потребности не всегда были приоритетом - они говорили о «лидерстве слуг», защите своих солдат, отдаче всего другим и жертвовании собой как лидерами. Несмотря на благородные чувства, это не только приводит к собственному выгоранию, но и может стать причиной неоднозначного восприятия их командами, когда они моделируют поведение, отличное от того, которое они советуют.
3. Мы не уделяем достаточно времени пониманию причин, приводящих к выгоранию. Для борьбы с выгоранием часто предлагаются отдельные пластырные решения, такие как уход за собой, медитация и йога. Однако лечение симптомов без устранения причин лишь маскирует проблему. Необходимо лучше понять эту сложную эпидемию, прежде чем переходить к решению проблемы. Выгорание объясняется хроническим дисбалансом между следующими факторами:
- Ожидания: навязанные организацией (например, должностные обязанности, рабочее время, дресс-код) или самим собой (внутренние мотивации, чувство лояльности к команде, карьерные амбиции)
- Ресурсы: организационные (оплата труда, автономия, соответствие должности, инструменты, технологии), социальные (члены команды, процессы сотрудничества, признание) или личные (личная энергия, благополучие, здоровье, креативность, часы в сутках).
- Восприятие: то, как человек относится к этим отношениям, часто выступает в качестве модификатора. Позитивное восприятие направления развития организации или команды и ее культуры означает, что многие будут охотно работать над устранением дисбаланса. Негативное восприятие организации или культуры может еще больше усугубить дисбаланс.
4. Женщины и другие группы в кибербезопасности сталкиваются с системными проблемами, которые приводят к выгоранию. Исследование, проведенное компанией Cybermindz, показало, что женщины-инженеры и консультанты имеют более высокие баллы по показателю эмоционального истощения, чем коллеги-мужчины. Это неудивительно, учитывая, как много работы приходится выполнять женщинам, чтобы соответствовать требованиям. Специалисты по реагированию на инциденты, аналитики по безопасности и руководители по ИБ также сталкиваются с уникальными задачами, что подвергает их большому риску выгорания.
5. Процент сотрудников служб кибербезопасности близок к пределу. Проведенное исследование причин и последствий выгорания сотрудников преподнесло сюрприз: Выгорание не всегда противоположно вовлеченности. Это не бинарное состояние «да» или «нет». На самом деле, изучение взаимосвязи между вовлеченностью и выгоранием позволяет выявить четыре сегмента выгорания, каждый из которых имеет свое потенциальное решение (см. рисунок ниже). Самый тревожный вывод заключается в том, что 59 % усталых рок-звезд - если мы не будем осторожны - перейдут в «красную зону».
Руководители нуждаются в измерении рисков и выражении в денежном эквиваленте снижения рисков. Этой цели и посвящен описываемый ниже метод.
Введение
Немного общих слов, для понимания ситуации.
Причины резкого увеличения числа кибератак и почему ожидается дальнейший рост.
Дело в поверхности атаки (attack surface). Под поверхностью атаки понимают совокупность уязвимостей информационной системы. Поверхность атаки раскрывает информацию ненадежным источникам. У дома, банковского счета, семьи, личности имеется поверхность атаки. Мы пользуемся цифровыми сервисами, а они, в свою очередь, помещают цифровые сведения о нас в зону досягаемости преступников. Перемены произошли быстро и без ведома заинтересованных сторон (организаций, сотрудников, клиентов, граждан).
Отдельно выделим поверхность атаки предприятия, которая включает не только системы и сети в организации, но и воздействие третьих лиц. Речь идет в целом об экосистеме предприятия, в том числе - клиентах, поставщиках и, возможно, государственных учреждениях.
Поверхность атаки, охватывающая граждан, потребителей и государство - глобальная поверхностью атаки: набор рисков кибербезопасности в системах, сетях и организациях. И с этим набором рисков люди сталкиваются постоянно:
при оплате покупок банковской картой;
просмотре сайтов в интернете;
получении медицинских услуг;
выполняя обязанности на работе.
Эта глобальная поверхность атаки – макроуровневое явление, возникновение которого обусловлено по меньшей мере четырьмя макроуровневыми причинами:
увеличением числа пользователей по всему миру;
разнообразием пользователей в мире;
ростом числа обнаруженных и эксплуатируемых уязвимостей из расчета на каждый визит в сеть каждого пользователя;
тесным сетевым взаимодействием между организациями, что приводит к риску «каскадного отказа»..
Из этого следует - поверхность атаки и взломы коррелируют. Если это так, рост атак еще впереди, идет движение к глобальному росту поверхности атаки и, следовательно, взломам, которые переплюнут случавшееся до сих пор.
Как ответ на эту тенденцию должность CISO в компании – уже не редкость. А бюджеты, выделяемые на кибербезопасность, растут в два раза быстрее, чем бюджеты сферы информационных технологий в целом.
И как же организации используют новую руководящую должность и приток денег на кибербезопасность... ищут уязвимости, выявляют атаки и устраняют нарушения.
В отношении уязвимостей это привело к появлению "управления уязвимостями", а в плане атак – к "управлению событиями", связанными с безопасностью, которое еще обобщенно называют "управлением безопасностью". Недавно добавилась «разведка угроз» и, соответственно, новое словосочетание «управление угрозами». Все они относятся к сфере тактических действий в области безопасности, в то время как руководству необходимо получить дорожную карту как принимать решения по кибербезопасности, связанные с распределением ограниченных ресурсов для борьбы с такими неопределенными и растущими рисками. О профессиональном чутье здесь не будем писать.
Частый подход
Сегодня используют подход, в котором степень вероятности и уровень воздействия оценивают субъективно по шкале от 1 до 5 (см. Таблицу 1). Идея в том, что чем больше число, тем важнее событие и тем раньше обратить на него внимание. Различные варианты подсчета и карт риска одобрены и продвигаются в стандартах и руководящих документах несколькими крупными организациями, среди которых Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST), Международная организация по стандартизации (International Standards Organization, ISO), MITRE.org и сообщество «Открытый проект по обеспечению безопасности веб-приложений» (Open Web Application Security Project, OWASP).
Таблица 1. Матрица риска (карта риска)
Возможно, интуитивно такой подход кажется разумным, однако рост атак в области кибербезопасности сам по себе уже намекает на то, что, возможно, настало время попробовать иной подход.
Изучение исследований, посвященных интуитивным методам, так и методам принятия решений, указывает на следующее:
Нет доказательств, что типы балльных оценок и методы построения матриц рисков, используемые в кибербезопасности, повышают эффективность суждений.
Напротив, имеются доказательства, что эти методы вносят искажения и ошибки в процесс оценивания. Тони Кокс – даже утверждает, что эти методы «хуже, чем действия наугад» (исследование Кокса и будут подробно описаны в следующих статьях).
Мнимая «работа» методов, вероятно - разновидность эффекта плацебо. То есть метод заставляет почувствовать себя лучше, даже если применение не приводит к ощутимому улучшению в оценке рисков (или вовсе увеличивает число ошибок).
В опубликованных исследованиях огромное количество доказательств эффективности количественных, вероятностных методов.
К счастью, большинство экспертов по кибербезопасности, похоже, готовы и способны использовать количественные решения. Однако распространенные заблуждения (в том числе неправильные представления о базовой статистике), которых придерживаются часть людей, создают ряд препятствий для внедрения количественных методов.
Новый количественный подход строится на следующих принципах:
Многие аспекты существующих методов были оценены и признаны непродуктивными. Подобное неприемлемо в масштабах проблем, с которыми сталкивается сфера кибербезопасности.
В кибербезопасности можно применять тот же количественный язык анализа рисков, что и в других сферах. Существует множество областей, в которых риск огромен, данные минимальны, а участники хаотичны, и для этих областей регулярно строятся модели с помощью традиционных математических методов. Не нужно заново изобретать терминологию или методы, когда они уже есть в других сферах, где также сталкиваются со сложными проблемами анализа рисков.
Существуют методы, которые уже показали себя результативнее по сравнению с профессиональным чутьем. И это верно даже для используемых методов, основывающихся только на субъективных суждениях экспертов по кибербезопасности.
Усовершенствованные методы применимы. Об этом известно, поскольку их уже применяли. Каждый из описанных методов применялся в реальных условиях в корпоративной среде. Этими методами пользуются руководители по информационной безопасности (CISO) из самых различных отраслей.
Описываемые модели можно усовершенствовать с помощью эмпирических данных. Данные доступны как из уже имеющихся, так и новых, только появляющихся источников. Но даже при ограниченных данных математические методы полезнее субъективных суждений. Кроме того, сами методы анализа рисков также измеримы для дальнейшего совершенствования.
Что мы будем изменять
В процессе принятия практических решений следует рассматривать измерения как наблюдения, количественно уменьшающие неопределенность.
Измерения, соответствующие основным стандартам научной достоверности, будут сообщать о результатах с некоторой долей неопределенности, например: «Существует 90 %-ная вероятность того, что атака на систему приведет к сбою в ее работе на период от 1 до 8 часов».
Шеннон предложил математическое определение информации как степени уменьшения неопределенности в сигнале, которую он рассматривал с точки зрения энтропии, устраняемой сигналом. По Шеннону, адресат информации находится в некотором изначальном состоянии неопределенности, иными словами, ему уже что-то известно, а новая информация просто устраняет хотя бы часть неопределенности (т. е. необязательно полностью).
Такая концепция «снижения неопределенности» крайне важна для бизнеса. Продуктивность значимых решений, принимаемых в состоянии неопределенности (например, связанных с утверждением крупных IT-проектов или новых средств контроля безопасности), можно повысить, пусть даже совсем немного, за счет снижения неопределенности. Иногда даже небольшое снижение неопределенности может сберечь миллионы рублей.
Даже после принятия более удобной формулировки понятия «измерение» (как наблюдения, уменьшающего неопределенность) некоторые вещи кажутся неизмеримыми, из-за того что мы просто не понимаем, что имеем в виду, когда впервые задаемся вопросом об их измерении. То есть мы не можем однозначно определить объект измерения. Если кто-то интересуется, как измерить «ущерб репутации», или «угрозу», или «срыв рабочего процесса», то достаточно спросить: «Что вы имеете в виду?» Любопытно, как часто люди затем уточняют термин, так что он сам по себе уже почти отвечает на вопрос об измерении.
Как только становится ясно, что имеется в виду и почему это важно, проблема начинает казаться гораздо более измеримой. Так проводятся так называемые семинары по разъяснению. Они сводятся к тому, что клиенты заявляют конкретный, но изначально двусмысленный предмет, который требуется измерить. А затем им просто задаются вопросы: «Что вы имеете в виду под [указать нужное]?» и «Почему вас это волнует?»
Такой подход применим к широкому спектру проблем измерения, и кибербезопасность не исключение. «Что вы подразумеваете под IT-безопасностью?» В ходе двух или трех семинаров сотрудники дали точное определение: выяснилось, что под IT-безопасностью они понимали такие параметры, как снижение числа проникновений и заражений вирусами. Далее они пояснили, что подобные вещи влияют на министерство через мошенничество, потерю производительности или даже потенциальную юридическую ответственность. Все выявленные в итоге воздействия почти в каждом случае оказались явно измеряемыми. Понятие «безопасность» было расплывчатым, пока его не разложили на компоненты, которые на самом деле хотели изучить.
Цепочка разъяснений
Если объект имеет значение, то он выявляем/наблюдаем.
Если он выявляем, то его можно обнаружить в каком-то количестве (или диапазоне возможных вариантов количества).
Если его можно определить как диапазон возможных вариантов количества, то его можно измерить.
Также важно знать, зачем надо что-то измерить, чтобы понять, что именно измеряется. Цель измерения часто является ключом к пониманию того, каким оно на самом деле должно быть. Измерения всегда должны подкреплять какое-то решение, неважно, принимается ли оно единожды или регулярно. В случае измерения рисков кибербезопасности измерения, скорее всего, проводятся, чтобы лучше распределить ресурсы для снижения рисков.
Если уровень безопасности повышается, то некоторые риски должны понижаться. В таком случае необходимо понять, что подразумевается под риском. Для прояснения этой проблемы требуется уточнить понятия «неопределенность» и «риск». Они не только поддаются измерению, но и являются ключевыми для понимания измерений в целом. Итак, давайте определим значения этих терминов и их измерений:
Значения неопределенности, риска и их измерений
Неопределенность – отсутствие полной уверенности, т.е. существование более чем одной возможности. Истинные итог/состояние/результат/значение не известны.
Измерение неопределенности – набор вероятностей, приписываемых набору возможностей. Например: «Существует 20 % вероятность, что в течение следующих пяти лет у нас произойдет утечка данных».
Риск – состояние неопределенности, когда некоторые из возможностей связаны с убытками, катастрофой или другими нежелательными последствиями.
Измерение риска – набор возможностей, каждая из которых имеет количественную оценку вероятности и количественно выраженные потери. Например: «Существует 10 % вероятность, что утечка данных повлечет за собой судебные иски на более чем 10 млн долл.».
Метод Монте-Карло, или простая замена «один на один»
Путь к более точной оценке риска можно начать, всего лишь заменив элементы, используемые в методе, с которым большинство экспертов по кибербезопасности уже знакомы, – матрице рисков. Как и в случае с матрицей рисков, мы будем полагаться только на суждение экспертов в области кибербезопасности. Они продолжат выносить субъективные экспертные суждения о вероятности и воздействии точно так же, как делают это сейчас при составлении матриц риска. Не потребуется никаких иных данных, кроме информации, которую, возможно, уже и так используют аналитики в сфере кибербезопасности для обоснования своих суждений с помощью матрицы риска. Как и прежде, эксперты смогут использовать столько данных, сколько посчитают нужным, для вынесения, по сути, все того же субъективного суждения.
Единственное предлагаемое нами изменение в том, чтобы вместо использования шкал типа «высокий, средний, низкий» или «от 1 до 5» эксперты научились субъективно оценивать фактические величины, стоящие за такими шкалами, т. е. вероятность и воздействие в денежном выражении.
Порядок работы экспертов
В любой проблеме измерения важной отправной точкой является фиксирование текущего состояния неопределенности. Нужно лишь задать базовую структуру, выполнив следующие действия.
Определить список рисков. Классифицировать риски можно по‑разному, но сейчас только укажем, что для обычной матрицы рисков составляется такой же список;
Определить конкретный период времени, в течение которого может возникнуть несущее риск событие (например: «Утечка данных из приложения Х произойдет в ближайшие 12 месяцев», «Потеря доступа к системе Х достаточно продолжительная, чтобы привести к снижению производительности в ближайшие пять лет» и т. д.);
Для каждого риска субъективно определить вероятность (от 0 до 100 %), с которой заявленное событие произойдет в указанное время (например: «Существует вероятность 10 %, что утечка данных из системы X произойдет в ближайшие 12 месяцев»);
Для каждого риска субъективно определить диапазон финансовых потерь в случае наступления события в виде 90 % доверительного интервала (ДИ). Это достаточно широкий диапазон, позволяющий быть на 90 % уверенными, что фактические потери окажутся в его пределах (например: «Если произойдет утечка данных из приложения X, то с вероятностью 90 % можно предположить, что потери составят от 1 до 10 млн долл.»);
Если есть возможность, то получить оценки нескольких экспертов, но не проводить при этом общее совещание в попытке достичь консенсуса. Просто предоставьте список определенных событий, и пусть люди отвечают по отдельности. Если ответы некоторых экспертов сильно отличаются от остальных, выясните, не интерпретируют ли они иначе проблему. Например, если один человек называет вероятность наступления какого‑либо события равной 5 % в течение года, а другой говорит, что оно с вероятностью 100 % происходит каждый день, тогда они, судя по всему, по‑разному поняли вопрос (авторы лично сталкивались именно с таким вариантом). Однако, если эксперты понимают вопрос одинаково, просто усредните их ответы. То есть вычислите среднее арифметическое значение всех вероятностей наступления события, чтобы получить одно значение вероятности, а затем вычислите среднее арифметическое всех наименьших значений вероятностей для получения одного нижнего предела и наибольших значений для получения одного верхнего предела.
В таблице заложен просчет 1000 вариантов вероятностей, и выведение прогнозируемого неотъемлемого убытка и остаточного (убытка с учетом вложения в средства ИБ).
Откуда берется кривая рискоустойчивости?
Речь идет о закладке "Кривая убытков" таблицы, График «Неотъемлемые убытки и рискоустойчивость»
В идеале информация для кривой рискоустойчивости собирается на встрече с руководителями, обладающими компетенцией заявлять, насколько большой риск организация готова принять в соответствии с ее политикой. Такая встреча обычно длится около полутора часов. Предполагается, что в ходе нее вы просто объясняете саму концепцию руководству, а затем просите их установить несколько точек на кривой. Также в процессе необходимо определить, какая именно кривая рискоустойчивости вас интересует (например, ежегодный риск для отдельной системы, риск на десятилетие для всего предприятия и т. д.). Как только суть дела объяснена, можно начинать задавать вопросы, оттолкнувшись от какой‑то произвольной точки.
Специалист: Согласны ли вы принять вероятность десять процентов того, что в год из‑за рисков кибербезопасности убытки составят более пяти миллионов?
Руководитель: По‑моему, лучше бы обойтись вообще без рисков.
Специалист: По‑моему, тоже, но сейчас вы уже рискуете во многих областях. Очевидно, что, сколько ни вкладывай в снижение рисков, полностью они не исчезнут.
Руководитель: Верно. Полагаю, я могу согласиться с вероятностью десять процентов, что убытки составят пять миллионов или более.
Специалист: Как насчет вероятности двадцать процентов потерять более пяти миллионов в год?
Руководитель: Кажется, это перебор. Давайте остановимся на десяти процентах.
Аналитик: Отлично, тогда десять процентов. Итак, какую вероятность гораздо бóльших убытков, например пятьдесят миллионов или больше, вы готовы назвать? Может быть, хотя бы один процент?
Руководитель: Полагаю, я не люблю рисковать. Считаю допустимой однопроцентную вероятность для убытков в размере двадцать пять миллионов или более за год…
И так далее. Отметив три или четыре точки, можно интерполировать остальные и передать результат руководству на окончательное утверждение. Технически процесс не сложный, но важно знать, как реагировать на некоторые потенциальные вопросы или возражения. Кто‑то из руководителей может указать, что процедура кажется весьма абстрактной. В таком случае стоит привести примеры из практики их компании или других предприятий, касающиеся выбранных убытков и того, как часто они возникают.
Принятие решений
В конечном счете смысл анализа рисков – даже с матрицей рисков, которую мы заменяем, – это поддержка решений.
Руководителю отдела информационной безопасности необходимы расчеты «рентабельности средств контроля», представляющей собой отношение снижения ожидаемых убытков в денежном выражении к стоимости средств контроля. Если рассматривать только выгоду в течение одного года (и игнорировать прочие соображения об изменении стоимости со временем), формула может быть такой:
Рентабельность средств контроля = снижение ожидаемых убытков/ стоимость средств контроля -1
Термин «ожидаемый» в контексте проектных расчетов обычно относится к средневзвешенному по вероятности значению некоторой суммы. Таким образом, ожидаемые убытки – это среднее значение убытков в симуляции по методу Монте Карло, связанное с конкретной причиной.
Если применить средства контроля для снижения рисков, а затем смоделировать новый набор убытков, среднее значение этих убытков станет меньше (за счет уменьшения вероятности любого из убытков, или уменьшения воздействия от наступления события, влекущего за собой убытки, или и того и другого). Разница убытков до и после применения средств контроля – это и есть параметр «снижение ожидаемых убытков» в формуле выше. Если снижение ожидаемых убытков равно затратам, то, согласно формуле, рентабельность средств контроля составит 0 %. Это верно и для других форм инвестиций.
Также необходимо будет определить, в течение какого периода времени ожидается снижение убытков. Если средства контроля – это текущие расходы, которые можно начать и прекратить в любое время, то приведенная выше формула будет применяться к годовой выгоде (снижению убытков) и годовым затратам. Если же средства контроля – разовая инвестиция, выгода от которой может проявляться в течение длительного периода времени, то следует придерживаться финансовых правил компании, касающихся капиталовложений.
В заключении хочу отметить, что это самый простой из количественных методов измерения рисков, однако действенный.
Коллеги, ни в коем случае не претендую на первоисточник, применение метода подсмотрено у Ричард Сирсен Дуглас и У. Хаббард, ну а сам метод возник в 1944, автор Станислав Улам. Приключения математика. – Ижевск: НИЦ «Регулярная и хаотическая динамика», 2001.
2 января 2023 г. Эффективное сотрудничество с компьютерами может помочь уменьшить количество ошибок и позволить здравоохранению перейти от предоставления реактивной терапии на уровне пациента к прогностической, упреждающей и профилактической помощи.
Гил Швед (справа) обсуждает рост числа кибератак в сфере здравоохранения. (фото предоставлено YEHUDA ORSHALIMI)
Представьте себе будущее, в котором вы можете видеть будущее. Где врачи могут смотреть на людей и знать, что произойдет что-то ужасное, и видеть, что они должны сделать, чтобы избежать опасности.
Это будущее уже наступило, по словам профессора Рана Балисера, директора по инновациям и директора-основателя Исследовательского института «Клали́т». Выступая на мероприятии Health 2040 в Тель-Авиве, организованном Lema'anchem, Балисер сказал, что большие данные, искусственный интеллект и правильное использование технологий и моделирования могут изменить медицинскую парадигму.
«Что произойдет, если вместо того, чтобы обратиться к врачу с болью, ваш врач позвонит вам и скажет: «Данные показывают, что на следующей неделе у вас будет сердечный приступ» . Вы должны прийти до вечера, чтобы мы могли этого не допустить.
— Звучит безумно, — сказал Балисер, — но это не так.
«Что произойдет, если вместо того, чтобы обратиться к врачу с болью, ваш врач позвонит вам и скажет: «Данные показывают, что на следующей неделе у вас будет сердечный приступ». Вы должны прийти до вечера, чтобы мы могли этого не допустить. Звучит безумно, но это не так».
Проф. Ран Балисер
Сегодня 30% медицинской помощи «бесполезны», сказал Балисер, что означает, что медицинская помощь не приносит никакой пользы. Еще 45% необходимых вмешательств пропускают, потому что медицинские бригады слишком заняты, чтобы добраться до них. Более того, третья по значимости причина смерти в США — это врачебные ошибки —подразумевается о болезнях сердца и рака.
Ран Балисер на мероприятии Lemaanchem. (credit: YEHUDA ORSHALIMI)
Это составляет более 250 000 человек, умирающих каждый год от медицинских ошибок, что эквивалентно восьми гигантским самолетам с людьми в день.
Балисер сказал, что эти смерти происходят не из-за халатности, а потому, что «врачи — люди».
Он считает, что эффективное сотрудничество с компьютерами может помочь уменьшить эти ошибки и позволить здравоохранению перейти от предоставления реактивной терапии на уровне пациента к прогностической, проактивной и профилактической помощи.
Фонд здоровья «Клали́т»
Фонд здоровья « Клалит », крупнейшее страховое агентство Израиля, насчитывающее 4,5 миллиона членов (60% населения Израиля), вот уже четверть века собирает цифровые данные о пациентах. Сегодня фонд сопоставляет клинические данные на уровне пациентов из общественных клиник, специализированных клиник, больниц, рецепты, результаты лабораторных исследований и изображений, а также демографические данные.
Его исследовательский институт затем использует эти электронные медицинские карты и аналитические инструменты для поддержки принятия решений и улучшения оказания медицинской помощи — на организационном и институциональном уровне, а также для отдельного пациента.
«Я могу оглянуться на 10 лет назад, — сказал Балисер. «Я могу использовать эти данные, чтобы заглянуть на пять лет вперед. И если мы знаем, что людям станет хуже, мы можем изменить способ оказания им помощи».
Например, несколько лет назад «Клалит» решила изменить способ обращения к своим членам с просьбой прийти на вакцину против гриппа, вместо того, чтобы основываться только на возрасте и алфавитном порядке, на то, насколько высок риск развития у человека тяжелого заболевания. Была разработана прогностическая модель «Клалит» для конкретной популяции, которая включала изучение социально-демографических переменных, сопутствующих заболеваний и т. д.
В другом примере, которым ранее поделился Балисер, научно-исследовательский институт «Клалит» провел оценку тенденций в распространенности и заболеваемости диабетом, намереваясь предотвратить появление новых случаев диабета, нацелив профилактику на тех, кто подвергается наибольшему риску. Вместо использования ограниченного набора критериев, определенных на международном уровне, «Клалит» построила и протестировала внутреннюю шкалу прогнозирования преддиабета. В результате «Клалит» приказал своим клиникам вызывать пациентов в другом порядке, чтобы предотвратить госпитализацию и даже смерть.
В другом примере исследовательский институт «Клалит» провел оценку тенденций в распространенности и заболеваемости диабетом, намереваясь предотвратить возникновение новых случаев диабета, нацелив профилактику на тех, кто подвергается наибольшему риску. Вместо использования ограниченного набора критериев, определенных на международном уровне, «Клалит» построила и протестировала внутреннюю шкалу прогнозирования преддиабета.
Результаты были включены в систему электронных медицинских карт фонда, чтобы врачи первичной медико-санитарной помощи могли видеть флаг высокого риска для конкретных пациентов и оказывать профилактическую помощь.
«ЧТО все это значит для врачей, которые могут проводить со своими пациентами всего несколько минут?» — спросил Балицер. «Если врачу передается более 70 параметров данных, как он может с этим справиться?»
Он сказал, что «Клалит» сейчас завершает работу над интерфейсом, который объединяет эти параметры данных внутри электронной медицинской карты и предоставляет врачам полезную информацию на одном экране для каждого пациента, обратившегося за медицинской помощью.
Со временем планируется также включить данные о «цифровых двойниках», например, чтобы врачи могли видеть, какие методы лечения использовались и были эффективны для пациентов с аналогичными характеристиками, чтобы влиять на лечение.
Генетические данные становятся частью инструментов врачей
Профессор Лина Базель из больницы Бейлинсон и Детского медицинского центра Шнайдер рассказала о том, как генетические данные, которые становятся частью саквояжей с инструментами врачей, могут иметь аналогичный эффект, помогая врачам определять группы населения, которым следует уделять первостепенное внимание.
Другой докладчик, профессор Ронит Сакти-Файнаро из Тель-Авивского университета, поделилась своим мнением о том, что использование моделей опухолей, напечатанных на 3D-принтере, может помочь решить, какое лечение лучше всего подходит для конкретных опухолей пациентов. Эти модели, по ее словам, заменят стандартные исследовательские методы, при которых раковые клетки растут на 2D-пластмассовых чашках за пределами прилегающей к ним микросреды, что затрудняет определение чувствительности к лекарствам.
Потенциальные риски со стороны хакеров
Однако по мере того, как здравоохранение становится все более цифровым, оно также подвергается потенциальным рискам со стороны хакеров, сказал слушателям в четверг вечером Гил Швед, основатель Check Point.
Израильская компания Check Point является мировым лидером в области решений для кибербезопасности .
По словам Шведа, сектор здравоохранения был наиболее уязвим для кибератак. в среднем сектор здравоохранения подвергался 1500 атакам в неделю, что на 60% больше, чем в предыдущем году.
Швед сказал, что одна из причин этого заключается в том, что возможность получить выкуп проще в секторе здравоохранения, где отсутствие быстрых действий может быть вопросом жизни или смерти. Более того, он сказал, что больницы, например, являются одними из самых доступных мест для атак, потому что там так много параллельных электронных систем — от замкнутых до разомкнутых — работающих одновременно.
Швед сказал, что эти атаки могут принимать разные формы.
Возьмите данные МРТ или КТ, (MRI or CT), которые обычно хранятся на сервере больницы. Если вдруг нет доступа к серверу, а врачу нужно кого-то лечить по результатам его МРТ или КТ, врач не может назначить пациенту правильное лечение.
Атака вредоносного ПО, препятствующая доступу врачей к медицинским записям, может привести к отмене визитов, анализов и операций или вынудить больницы перенаправить машины скорой помощи в другие учреждения. В неотложной медицине время часто означает жизнь.
В прошлом году израильская больница «Гилель Яффе» подверглась атаке программы-вымогателя, нацеленной на ее компьютерные системы и проникшей в ее ИТ-инфраструктуру. Больница могла принимать и ухаживать за пациентами в критическом состоянии, но отказывала всем пациентам, которым не требуется неотложная помощь, и просила их искать лечение в другом месте.
Швед сказал, что, хотя большинство атак совершаются по преступным мотивам, становится все более очевидным, что государственные деятели и террористические группы могут участвовать в кибервойне против вражеских стран.
В Израиле это может означать не только Китай — страны, которые, по словам Шведа, совершают нападения по всему миру, — но и усиление нападений со стороны Ирана или арабских соседей Израиля. Он сказал, что большинство стран Ближнего Востока сильно отстают от Израиля в своей киберсложности, но технологии развиваются быстро, и Израилю не следует полагать, что им потребуется гораздо больше времени, чтобы догнать их.
Сегодняшние атаки — это то, что он называет «пятым поколением», имея в виду, что, подобно вирусу, они могут быстро мутировать, что затрудняет их идентификацию.
«Сегодняшняя задача — профилактика, обнаружение, устранение — профилактика против лечения», — сказал Швед.
Моссад наращивает свои технологии, стремясь нанять больше киберэкспертов
Моссад планирует нанять 54 новых сотрудника в области киберзащиты, искусственного интеллекта и больших данных.
Глава Моссада Дэвид Барнеа на церемонии, посвященной Дню памяти павших израильских солдат и жертв террора, у Западной стены в Старом городе Иерусалима, 3 мая 2022 года. (Фото: ОЛИВЬЕ ФИТУУССИ/FLASH90)
Последний пример усилий Барни был опубликован в газете , где отмечается, что на веб-сайте шпионского агентства размещена реклама о найме 54 новых сотрудников в области киберзащиты, искусственного интеллекта и больших данных.
В речи, просочившейся в прессу на прошлой неделе, Барнеа отметил, что потребуется перенаправить еще больше ресурсов из некоторых знаменитых и традиционных крыльев Моссада, чтобы не отставать от головокружительного темпа технологической революции.
Почему вспомнились сайты, предлагающие скачать всё, что бы ты ни искал, бесплатно и с такими же хвалебными комментариями. Лишь ткни на большую зеленую кнопку и запускай своё кино "batman2021.exe" Да, это было десяток лет назад, и сейчас таких днём с огнём не сыскать, но и преступный гений не стоит на месте.
Обход ограничений, вещь неплохая, но не тогда, когда используются личные аккаунты, к которым может быть привязана оплата, почты, квитанции, бизнес, любая другая, важная информация. Не тогда, когда ты не знаешь, как хранятся твои данные, а они хранятся. Не тогда, когда подобная база будет дорого стоить и являться хорошим инструментом против тебя самого.
Держите свои данные в чистом месте, недоступном детям и мошенникам. Или я не прав?
