stringtranslate.com

Модель Гордона – Леба

Идеальный уровень инвестиций в компьютерную безопасность компании, учитывая снижающуюся дополнительную прибыль.

Модель Гордона-Лёба — это математическая экономическая модель , анализирующая оптимальный уровень инвестиций в информационную безопасность .

Основные выгоды от инвестиций в кибербезопасность заключаются в экономии средств, связанных с кибер-нарушениями , которые предотвращаются благодаря инвестициям. Однако, как и в случае с любыми инвестициями, при принятии решения о том, как инвестировать, важно сравнивать выгоды с затратами . [1] Модель Гордона-Лёба обеспечивает ценную основу для определения на основе затрат и выгод соответствующей суммы для инвестиций в деятельность, связанную с кибербезопасностью.

Основные компоненты модели Гордона-Леба следующие:

  1. Наборы данных (информации) организаций, уязвимых к кибератакам. Эта уязвимость, обозначаемая как v ( 0 ≤ v ≤ 1 ), представляет собой вероятность того, что нарушение определенного набора информации произойдет в текущих условиях.
  2. Если набор информации взломан, ценность набора информации представляет собой потенциальную потерю (т. е. стоимость взлома) и может быть выражена в денежной форме, обозначаемой как L . Таким образом, vL — это ожидаемые потери от кибер-взлома до инвестиций в дополнительные мероприятия по кибербезопасности.
  3. Инвестиции в кибербезопасность, обозначаемые как z , уменьшат v в зависимости от продуктивности инвестиций в кибербезопасность. Производительность инвестиций — это то, что в модели Гордона-Лёба называется функцией вероятности нарушения безопасности.

Гордон и Леб смогли показать, что для двух широких классов функций вероятности нарушения безопасности оптимальный уровень инвестиций в информационную безопасность z* не будет превышать примерно 37% ожидаемых потерь от нарушения безопасности. Более конкретно: z* ( v ) ≤ (1/ e ) vL .

Пример :

Предположим, что оценочная стоимость данных составляет 1 000 000 евро , вероятность атаки 15% и вероятность того, что атака будет успешной, составляет 80% .

В этом случае потенциальный убыток определяется произведением 1 000 000 евро  ×  0,15  ×  0,8 = 120 000 евро .

По мнению Гордона и Леба, инвестиции компании в безопасность не должны превышать 120 000 евро  ×  0,37 = 44 000 евро .

Модель Гордона-Лёба была впервые опубликована Лоуренсом А. Гордоном и Мартином П. Лебом в их статье 2002 года в журнале ACM Transactions on Information and System Security под названием «Экономика инвестиций в информационную безопасность» . Книга 2004 г. Экономика информационной безопасности . [3] Гордон и Леб оба являются профессорами Школы бизнеса имени Роберта Смита при Университете Мэриленда .

Модель Гордона-Лёба — одна из наиболее распространенных аналитических моделей экономики кибербезопасности. [1] Модель широко упоминается в научной и практической литературе. [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] Модель также была проверена эмпирически в нескольких различных условиях. Исследования математиков Марка Леларжа [14] и Юлия Барышникова [15] обобщили результаты модели Гордона–Леба.

Модель Гордона-Леба была представлена ​​в популярной прессе, такой как The Wall Street Journal [16] и The Financial Times . [17]

Однако последующие исследования показали, что даже в рамках первоначальных предположений модели некоторые функции вероятности нарушения безопасности должны быть зафиксированы с не менее 1/2 ожидаемых потерь, что противоречит гипотезе о том, что коэффициент 1 / e является универсальным. Более того, используя другую математизацию требований Гордона-Лёба (точнее, то, что вторая производная функции потерь не обязательно должна быть непрерывной), можно создать функции потерь, оптимальное исправление которых стоит 100% предполагаемых потерь. [18]

Смотрите также

Рекомендации

  1. ^ аб Кианпур, Мазахер; Ковальски, Стюарт; Оверби, Харальд (2021). «Систематическое понимание экономики кибербезопасности: обзор». Устойчивость . 13 (24): 13677. doi : 10.3390/su132413677 . HDL : 11250/2978306 .
  2. ^ Гордон, Лоуренс А .; Леб, Мартин П. (ноябрь 2002 г.). «Экономика инвестиций в информационную безопасность». Транзакции ACM по информационной и системной безопасности . 5 (4): 438–457. дои : 10.1145/581271.581274. S2CID  1500788.
  3. ^ Гордон, Лоуренс А .; Леб, Мартин П. (2004). «Экономика инвестиций в информационную безопасность». В Кэмпе, Л. Жан; Льюис, Стивен (ред.). Экономика информационной безопасности. Достижения в области информационной безопасности. Том. 12. Бостон, Массачусетс: Спрингер. дои : 10.1007/1-4020-8090-5_9. ISBN 978-1-4020-8089-0.
  4. ^ Кианпур, Мазахер; Раза, Шахид (2024). «Больше, чем вредоносное ПО: разоблачение скрытого риска правил кибербезопасности». Обзор международного права в области кибербезопасности . 5 : 169–212. дои : 10.1365/s43439-024-00111-7 .
  5. Мацуура, Канта (23 апреля 2008 г.). «Пространство продуктивности информационной безопасности в расширении инвестиционной модели Гордона-Леба» (PDF) . Проверено 30 октября 2014 г.
  6. ^ Виллемсон, январь (2006). «О модели Гордона и Леба для инвестиций в информационную безопасность» (PDF) .
  7. ^ Виллемсон, январь (2010). «Расширение модели Гордона и Леба для инвестиций в информационную безопасность». 2010 Международная конференция по доступности, надежности и безопасности . стр. 258–261. дои :10.1109/ARES.2010.37. ISBN 978-1-4244-5879-0. S2CID  11526162.
  8. ^ Джонсон, Э. (2009). Управление информационными рисками и экономика безопасности. Спрингер. п. 99. ИСБН 9780387097626. Проверено 30 октября 2014 г.
  9. ^ «Обобщенная инвестиционная модель Гордона-Лёба: множественные угрозы, зависящие от времени, и потери от взлома в течение инвестиционного периода» . БибСономия. Архивировано из оригинала 17 мая 2014 года . Проверено 30 октября 2014 г.
  10. Су, Сяомэн (15 июня 2006 г.). «Обзор экономических подходов к управлению информационной безопасностью» (PDF) . Проверено 30 октября 2014 г.
  11. Бёме, Райнер (29 августа 2010 г.). «Показатели безопасности и модели инвестиций в безопасность» (PDF) . Международный институт компьютерных наук, Беркли, Калифорния. Архивировано из оригинала (PDF) 17 мая 2014 года . Проверено 30 октября 2014 г.
  12. ^ Е, Жуйи (2014). «Экономическая модель инвестиций в информационную безопасность». репозиторий.ust.hk . Институциональный репозиторий HKUST . Проверено 30 октября 2014 г.
  13. Курамицу, Кимио (21 июля 2005 г.). «Пример использования модели петли Гордона для оптимальных инвестиций в безопасность» 最適投資モデルに基づくセキュアシステム設計と事例研究 [Проектирование безопасной системы на основе оптимальной инвестиционной модели и практического примера].電子情報通信学会技術研究報告 = Технический отчет Ieice : 信学技報(на японском языке). ЦиНии. 105 (193): 243–248. ISSN  0913-5685 . Проверено 30 октября 2014 г.
  14. ^ Леларж, Марк (декабрь 2012 г.). «Координация в играх по сетевой безопасности: монотонный подход сравнительной статики». Журнал IEEE по избранным областям коммуникаций . 30 (11): 2210–9. arXiv : 1208.3994 . Бибкод : 2012arXiv1208.3994L. дои : 10.1109/jsac.2012.121213. S2CID  672650. Архивировано из оригинала 14 мая 2014 года . Проверено 13 мая 2014 г.
  15. ^ Барышников, Юлий (24 февраля 2012 г.). «Инвестиции в ИТ-безопасность и правило 1/e Гордона-Леба» (PDF) . Проверено 30 октября 2014 г.
  16. ^ Гордон, Лоуренс А .; Леб, Мартин П. (26 сентября 2011 г.). «Возможно, вы ведете неправильную битву за безопасность» . Журнал "Уолл Стрит . Проверено 9 мая 2014 г.
  17. Пэйлин, Адам (30 мая 2013 г.). «Профессора Мэриленда взвешивают киберриски». Файнэншл Таймс . Проверено 9 мая 2014 г.
  18. ^ Виллемсон, январь (2006). «О модели Гордона и Леба для инвестиций в информационную безопасность». ВЕЙС .