Die Mindsets von CEOs und CISOs, Teil III: Value at Risk für CISOs

CISOs

Um CEOs und CFOs von einer Investition in Datenschutzsoftware überzeugen zu können, müssen CSOs ihre Sprache sprechen. Wie ich in meinem vorangegangenen Post angefangen habe zu beschreiben, verbringen die Entscheidungsträger eines Unternehmens einen Teil ihrer Zeit damit, sich unterschiedliche Geschäftsszenarien vorzustellen und diesen jeweils eine Wahrscheinlichkeit zuzuordnen. Ja, die Führungsriege kann wirklich gut Poker spielen: Sie kennen alle Wahrscheinlichkeiten, die mit dem Blatt verbunden sind, das sie halten.

Damit CSOs sich dem Rest der leitenden Führungskräfte verständlich machen können, müssen sie die Sprache von Risiken und Chancen verstehen. Von einem leitenden Manager außerhalb der IT-Abteilung zu erwarten, dass er etwas mit Berichten über die Ergebnisse von Sicherheitsscans oder über die Anzahl der monatlich blockierten Bits etwas anfangen kann, wäre einfach zu viel verlangt. Sie sind auf jeden Fall hilfreich für die IT, aber die Führungsriege konzentriert sich auf grundlegendere Kennzahlen.

Sie möchten eine Antwort auf die folgende Frage: Kannst du mir sagen, wie groß die Wahrscheinlichkeit ist, dass in den nächsten 10 Jahren eine katastrophale Datenschutzverletzung oder ein Cyberstörfalls eintritt, die bzw. der mehr als 10 Millionen USD kostet? Sobald ein CEO diese Zahl hat, kann er unterschiedliche Optionen berechnen, mit denen das Risiko ausgeglichen und die Geschäftsentwicklung im Plan bleibt.

Ich habe den Verdacht, dass die meisten IT-Abteilungen sich sehr schwer tun würden, auch nur eine grobe Schätzung für diesen Wert zu liefern – mit Ausnahme von denen in sehr großen Unternehmen, in denen eine formelle Katastrophenplanung zur DNA gehört.

In diesem Post gebe ich Hinweise, wie Sie ein grobe Überschlagsrechnung durchführen können, um diese Frage zu beantworten. Der Ansatz basiert auf dem Risikoanalysemodell des FAIR-Instituts. Die zentrale Idee liegt darin, dass Sie den Cyberrisiken unter Verwendung verfügbarer (interner und externer) Datenquellen eine Zahl zuordnen können. Anders gesagt: Sie müssen in der Welt der aktuellen Cybergefahren nicht im Blindflug unterwegs sein.

Bei dem FAIR-Ansatz (und anderen) werden die Kosten einer Datenschutzverletzung effektiv in zwei Komponenten aufgeteilt: Die Schwere oder das Volumen eines einzelnen Vorfalls und die Häufigkeit, mit der diese Cyberstörfälle innerhalb eines gegebenen Zeitraums eintreten. Ganz einfach, oder?

CISOs Der FAIR-Ansatz

Der FAIR-Ansatz in einem Bild: Verlustfrequenz X Verlustvolumen = durchschnittlicher Verlust.

Wenn Sie meinen, dass Sie die einzelnen Durchschnittswerte (von Frequenz und Volumen) miteinander multiplizieren können, um einen Durchschnittswert für die jährlichen Cyberschäden zu erhalten, haben Sie Recht (mit einigen Einschränkungen). Der Vorteil des FAIR-Modells ist, dass Sie mit ihm so tief genau werden können, wie Sie möchten – in Abhängigkeit Ihrer Ressourcen – auch auf eine granularere Ebene jenseits der allgemeinen Durchschnittswerte.

Ich sollte ergänzen, dass FAIR das Rad der Risikoanalyse nicht neu erfindet. Stattdessen haben sie die Techniken systematisiert, die im Allgemeinen von Banken und Versicherungsgesellschaften verwendet werden, die bereits seit langem mit Katastrophen, Finanzkrisen und Naturkatastrophen umgehen müssen und wissen, wie viel sie für schlechte Zeiten zurücklegen müssen.

So meistern Sie Katastrophen im Datenschutz: Wie groß ist das Risiko?

Im letzten Post habe ich mit Daten aus den HIPAA-Meldungen über Datenschutzverletzungen von zwei Jahren die sogenannte Verlustüberschreitungskurve abgeleitet. Das ist ein extravaganter Ausdruck dafür, dass ich die Perzentile (oder Quantile in Versicherungsterminologie) für unterschiedliche Cyberkosten kenne. Für diesen Post habe ich die Kurve umgeformt, um sie besser verständlich zu machen. Sie können jetzt also auf das nachstehende Diagramm starren:

Wie groß ist das Risiko CISOs

Endlich haben wir etwas mehr Klarheit über die Antwort auf die Frage, die der CEO einer Krankenversicherung stellen könnte: Wie schlimm kann es werden?

Die Antwort: Ziemlich schlimm!

Die oberen 10 % der Cyberstörfälle im Gesundheitswesen können sehr teuer werden, was bei 8 Millionen USD pro Angriff beginnt. Aua!

Interessant ist es auch, das „Gewicht“ der Durchschnittskosten der oberen 10 % auf dieser Kurve zu analysieren. Wie wir bald sehen werden, haben wir hier eine Art der Pareto-Verteilung mit Potenzgesetzeigenschaften, über die ich hier schon einmal geschrieben habe.

Ich habe anhand der HIPAA-Daten eine schnelle Berechnung durchgeführt: auf die oberen 10 % (bzw. das obere Perzentil) der Vorfälle, in das weniger als 30 Datenpunkte fallen, entfallen überproportionale 65 % der Gesamtsumme aller Verluste! Bei kurven mit fetten Enden müssen wir uns auf die Extrema bzw. die Enden konzentrieren, weil da die Musik spielt.

Wenn wir eine anspruchsvollere Analyse im Stil von FAIR durchführen würden, müssten wir jetzt die gerade vorgestellte Verlustverteilung aus dem Gesundheitswesen nehmen und mit den internen Verlustdaten (soweit verfügbar) und einem Risikoprofil zusammenführen, das beispielsweise auf einer Umfrage bei den Datenschutzexperten des Unternehmens basieren könnte.

Es wäre natürlich auch sehr hilfreich, eine Datenrisikobeurteilung durchzuführen, um sich über die Menge sensibler Daten, die in ihren Dateisystemen verteilt liegen, und die damit verbundenen Berechtigungen zu informieren. Das Ergebnis würde in die Risikoformeln eingesetzt.

Es gibt einige mathematiklastige Methoden, all dies mit verschiedenen Gewichtungen miteinander zu kombinieren, worüber Sie mehr in der RSA-Präsentation von Doug Hubbard oder (schamlose Eigenwerbung) in diesem Buch erfahren können: How to Measure Anything In Cybersecurity Risk.

Häufigkeit von Datenschutzverletzungen im Gesundheitswesen und der ultimative Durchschnittswert

Lassen Sie uns als ein gutes Beispiel dafür, wie schlimm die Kosten einer Datenschutzverletzung für unsere imaginäre Krankenversicherungsgesellschaft werden können, die Daten der HIPAA-Meldungen heranziehen.

Wir wenden uns jetzt der nächsten Komponente zu. Hinsichtlich der Häufigkeit oder Rate, mit der Vorfälle eintreten, sollten Sie sich wahrscheinlich stärker auf Ihre eigenen, internen Daten verlassen. Es gibt aber auch externe Datensätze. Der Identity Theft Resource Center verfolgt beispielsweise Datenschutzverletzungen nach Branche, und seine Zahlen für den Gesundheitssektor könnten Ihnen bei einer groben Abschätzung helfen.

Gehen wir hypothetisch davon aus, dass unsere Versicherungsgesellschaft alle vier Jahre einen signifikanten Cyber-Zwischenfall verzeichnet hat, also durchschnittlich „0,25 Vorfälle“ pro Jahr.

Tusch: …  Ich bilde das Produkt aus der durchschnittlichen Vorfallsrate (0,25) und dem durchschnittlichen Verlust oder den Schweregradkosten von 4,2 Millionen USD (aus der vorstehenden Kurve) und erhalte durchschnittliche jährliche Kosten von ca. 1 Million USD.

Diese Zahl könnte bei den CISOs und CEOs unserer hypothetischen Krankenversicherung zu Skepsis führen. Wir gehen hier mit einer Kurve mit fettem Ende um. Die Gesellschaft hat zwar möglicherweise (noch) keine durchschnittlichen Schäden von 4 Millionen USD pro Vorfall erlitten, der Durchschnittswert zeigt uns jedoch, wie schlimm es werden kann. Und das kann die Führungskräfte bei der Entscheidung unterstützen, wie viel für die Risikoabwehr – Software, Schulungen usw. – ausgegeben werden soll.

CISOs Kosten von Datenschutzverletzungen

Mit zwei Parametern (Alpha und Beta) sind Sie bereit für das Geschäft mit den Kosten von Datenschutzverletzungen.

Um ein bisschen mehr in die Tiefe zu gehen, habe ich Statistiksoftware (vielen Dank, EasyFit!) benutzt, um die Kurven durchzukneten. Ich habe passend zu den Daten eine als Pareto-2 bezeichnete verschobene Pareto-Verteilung gewählt.

Es gibt zwar bessere Übereinstimmungen mit anderen endlastigen Verteilungen in ihrer Software, letztendlich erweist sich dies jedoch als sehr gute Annäherung für das Ende – und darauf kommt es uns ja an. Und wie wir bald sehen werden, hilft uns diese Funktion dabei, noch genauer zu sagen, wie schlimm es werden kann.

Annäherung an den Value at Risk (VaR)

Wir haben uns gerade gemeinsam einen kurzen Eindruck von der ersten Stufe des FAIR-Ansatzes verschafft. Der von uns errechnete Durchschnitt, den in der Branche als durchschnittliche jährliche Schadenerwartung bezeichnet wird, bildet eine gute Basis für die Verdeutlichung von Cyberrisiken.

Wie ich vorstehend angedeutet habe, verlangen der CEO und (insbesondere) der CFO genauere Informationen. Das führt uns zum Value at Risk bzw. VaR, einer betriebswirtschaftlichen Formel, die von Beteiligungsgesellschaften und Banken für die Risikobewertung verwendet wird.

Wenn Sie – wie ich – jemals den Kurs „Statistiken für Poeten“ belegt haben, werden Sie im VaR das 90 % oder 95 % Konfidenzintervall für normale Kurven erkennen. Üblicherweise bevorzugen CFOs das 99 %-Niveau – die 2,3-fache Standardabweichung vom Mittelwert – oder das „Jahrhundertereignis“.

Warum?

Sie planen für den Extremfall! Sie können sich das so vorstellen, als ob ein CFO entscheiden will, wieviel er für das Äquivalent eines Cyber-Wirbelsturms oder Orkans zurücklegen muss. Und dafür eignet sich der VaR sehr gut.

Mithilfe meiner Statistiksoftware habe ich eine Formel für einen 90 % VaR – ein Dekadenereignis – für meine nicht normalisierte Distribution mit fettem Ende erstellt: Sie ergibt einen VaR von 8,2 Millionen USD, was dicht an den tatsächlichen HIPAA-Daten am 10 %-Punkt im vorstehenden Diagramm liegt. Gut gemacht, EasyFit!

Der Vorteil einer VaR-Formel, mit der wir uns beim nächsten Mal genauer beschäftigen werden, ist, dass wir mit ihr extrapolieren können: Wir können Fragen beantworten, die über die direkte Aussagekraft der Daten hinausgehen.

Zum Beispiel: Wie hoch sind die Kosten für Datenschutzverletzungen innerhalb eines 10-Jahreszeitraum, wenn wir von drei Cyberstörfällen in diesem Zeitraum ausgehen? Ich will Sie nicht auf die Folter spannen: der 90 % VaR-Formel zufolge sind es ca. 19 Millionen US, weniger als das Dreifache der Durchschnittskosten eines einzelnen Cyberstörfalls.

Für heute soll das genug sein.

Ich werde einiges aus dem heutigen Post noch einmal in meinem nächsten rekapitulieren und alles in einem handhabbaren Bündel verpacken. Und wir werden mehr beängstigende Details über die böse Kurve der Datenschutzverletzungskosten mit dem fetten Ende erfahren.