• Czy nie masz alternatywy po prostu (tj. tylko) posiadania planu odzyskiwania i procesu na wypadek wystąpienia danego ataku - kopii zapasowej, że tak powiem?
Powiedziawszy to… od Twoje sformułowanie wygląda tak, jakbyś mógł doświadczyć ataku tego typu, nawet o tym nie wiedząc, chyba że wydasz pieniądze tylko po to, aby móc go wykryć. … Więc może powyższe jest pustą koncepcją.
• Bardziej subiektywnie, wygląda na to, że ma to standardową (i niezwykle irytującą) cechę trudnych decyzji, polegającą na tym, że wiąże się z niewiadomymi. Gdybyś wiedział, X (w tym przypadku, że atak się nie wydarzy), z pewnością zrobiłbyś Y (w tym przypadku wydałbyś dużo pieniędzy na kontrę lub nie). Czasami pomocne może być przyznanie, że naprawdę nie masz informacji potrzebnych do określenia sposobu, w jaki skaczesz; następnie rzucasz monetą i skaczesz… w przeciwieństwie do wydawania ogromnych ilości energii na załamywanie rąk. (W sytuacjach ekstremalnych ludzie zachowują się w oparciu o założenie, że ewentualność będzie taka, na jaką mają nadzieję, jakkolwiek mało prawdopodobna może być).
Dla personelu ma wartość osoba, która ma wziąć odpowiedzialność za ciemne nieznane.
Chciałbym skinąć głową na odpowiedź Willa Barnwella (i cytowanego Nassima Taleba). Oznacza to, że absolutnie żadna obraza dla „obszernego argumentu filozoficznego //”… takie niekoniecznie są poprawne. Problemem dla mnie jest to, że łatwo sobie wyobrazić, że w ciągu kilku lat mogą być od dwóch do trzech takich bestii, co oznacza, że koszt środków zaradczych wzrośnie ze znacznego do paraliżującego. Niezależnie… jeśli można racjonalnie oczekiwać wzrostu ryzyka, zmienia to (dane) parametry decyzji.
Z jednej strony mamy koszt ataku. Jak zauważył Philipp, istnieje maksymalna wartość określona przez wartość firmy; Byłoby błędem wydawanie 10 milionów dolarów na odbudowę firmy wartej tylko 1 milion dolarów. Niestety, pomija to łączny koszt dla klientów firmy. Podczas gdy dla firmy o wartości 1 miliona dolarów nie jest rozsądne wycenianie potencjalnego problemu bardziej niż jego własną wartość, pozostaje prawdą, że znaczenie problemu mogłoby łatwo wynieść (powiedzmy) 50 milionów dolarów.
Z drugiej strony jest rozmiar ryzyka. Księgowy (że tak powiem) może po prostu dowiedzieć się, ile jest firm podatnych na dany rodzaj ataku i ile z nich zostało zaatakowanych w każdym z ostatnich kilku lat, i bezpośrednio wyliczyć prawdopodobieństwo jakąkolwiek firmę uderzoną w danym roku. Nieco bardziej wyrafinowana wersja obejmowałaby oszacowanie liczby trafień i udało się utrzymać to w tajemnicy - o ile jest to rozsądnie możliwe. Jeszcze bardziej wyrafinowana wersja sprawdzałaby, ile z tych firm było wartych zaatakowania… co może, ale nie musi, obejmować kwestię, czy indywidualnie podjęły środki zaradcze… z wyjątkiem tego, że byłoby to tajemnica… i do pewnego stopnia jest znana atakującemu.
Następnie istnieje możliwość, że z jednej strony dostępna może być sprytna, tania obrona, az drugiej strony, że napastnicy mogą być mniej lub bardziej zmotywowani lub liczni w ciągu pięciu lat, lub może znaleźć lukę w podzbiorze możliwych celów i tak dalej. Co więcej, może wyjść na jaw, że niektóre firmy są atakowane w ten lub podobny sposób i nie wiedzą o tym (a niektórzy mogą się dowiedzieć po wydarzeniu, jeśli w ogóle).
Ponadto istnieje skumulowane ryzyko. Bardzo dobrze jest obliczyć ryzyko jako wielkość roczną, jeśli jest ono dość wysokie i pytanie dotyczy tego, ile wydać na zapobieganie mu i łagodzenie go. Jeśli, odwrotnie, efekt mógłby pochłonąć całą spółkę, wówczas dane w ujęciu rocznym mają mniejsze znaczenie.
OP powiedział, że tego typu ataki są rzadkie, ale zdarzają się. Cały powód, dla którego OP postawił pytanie na tej stronie, jest taki, że nie jest prawdą, że ryzyko jest znikome, i nie jest prawdą, że jest ono wystarczająco wysokie, aby przyjąć je za pewnik.
Wyobraźmy sobie, że firma postanawia nic nie robić. Załóżmy dalej, że jest to obiektywnie uzasadnione (dla idealnego obserwatora). Jeśli trafi za kilka lat, koszt będzie druzgocący nie tylko dla firmy, ale i dla wielu jej klientów (ja to biorę). Istnieje ryzyko, że nie jest to znikome, a być może niebanalne, małe.
Wyobraźmy sobie na odwrót, że firma decyduje się wydać znaczne kwoty na zapobieganie i łagodzenie tego ataku, i znowu, że jest to uzasadnione. Jeśli nigdy nie zostanie trafiony, koszt (zapobiegania) jest znaczny lub bardzo znaczny. Istniało ryzyko ataku, ale było bardzo małe, a pieniądze bardzo przypominały znaczną stratę.
Wreszcie istnieje możliwy quasi-catch-22, który napastnicy zobaczą i poszukają gdzie indziej, jeśli ma środki zaradcze, i na odwrót.
Mogę również zauważyć, że otrzymanie wypłaty z ubezpieczenia, która jest (powiedzmy) równa (księgowej) wartości firmy, nie jest w stanie rozwiązać problemu, jeśli siła życiowa firmy - dane - zostanie utracona lub inaczej zagrożone.