16.5.16

Евровидение и экономика ИБ: что между ними общего

Если честно, то Евровидение я не смотрел, я попал только на этап голосования и то смотрел его краем глаза. Судя по первой части голосования выигрывала Австралия (с какого перепугу Австралия затесалась в европейском конкурсе я так и не понял). Потом стали считать голоса зрителей (оказывается в этом году поменяли правила подсчета) и по "народному" голосованию победила Россия. Но в итоге Евровидение 2016 выиграла Украина.


Когда я увидел финальные результаты, то мне на ум сразу пришла ассоциация с измерением стоимости информации. Ведь как мы все помним, существует классическая аксиома "Стоимость защиты информации не должна быть выше стоимости защищаемой информации". И вот тут возникает очевидный вопрос: "А сколько стоит информация и как эту стоимость посчитать?" И ты понимаешь, что ситуация аналогична тому, что произошло на Евровидении этого года, когда (если отбросить версию с геополитической ангажированностью жюри европейских стран) у разных участников процесса подсчета были свои, сугубо субъективные критерии оценки песен и исполнителей. Вот как, например, распределились некоторые голоса за Россию. Жюри дает 0 баллов, зрители - 10-12 баллов. Все очень субъективно...


При расчете стоимости информации ровно та же необъективная картина. Почему? Да потому что информация нематериальна и не может оцениваться также как и материальные объекты. Возьмем к примеру сервер, на котором крутится вся АБС банка. Сколько стоит этот сервер? У него есть вполне конкретная стоимость, указанная в счете на его приобретение. Возможно сюда еще можно добавить совокупную стоимость владения и вычесть амортизацию, но в любом случае эта стоимость вполне конкретна и определима. С информацией дело обстоит не так - она не имеет стоимости, но имеет ценность.


И как мы видим ценность это разная. Поскольку информация нематериальна, то нам остается оценивать те преимущества, которая информация дает (или те убытки, которые мы несем, если не обладаем нужной информацией), а они субъективны. Вспомним поговорку "знал бы прикуп, жил бы в Сочи". Она хорошо отражает суть проблемы. В зависимости от расклада карт одни и те же карты в прикупе могут по-разному повлиять на решение игрока в преферанс. Он может объявить мизер, он может пасовать, он может определить число взяток, которые хочет взять на игре. Знание прикупа позволяет ему выиграть, но выиграть разную сумму. То есть сам прикуп не меняется, но выигрыш разный.

Так и с информацией - она имеет разные виды стоимости. Представьте, что мы хотим оценить стоимость кода программы, которая составляет ноу-хау компании. Или мы хотим оценить базу клиентов предприятия, требующую защиты. На этапе возникновения организации стоимость этих нематериальных объектов будет одна и она не будет очень уж высокой. Компания еще никому не известна, у нее клиентов мало, а ее продукт мало кому известен; отсюда и невысокая стоимость этой информации. Когда компания раскручивается, стоимость ее информационных активов меняется - программный код становится интересен для конкурентов, которые готовы платить за его добычу. Клиентская база позволяет компании зарабатывать все больше денег и она тоже начинает интересовать конкурентов. Информация не поменялась, но ее стоимость возросла; иногда в разы или даже на порядки. У компании настают непростые времена и она готовится к банкротству и ликвидации. Она начинает распродавать свои активы, включая и информационные. Ликвидационная стоимость и исходников, и клиентской базы вновь будет иной, отличающейся от предыдущих случаев.


Если посмотреть на уже упомянутый ранее сервер, то его стоимость тоже будет меняться в зависимости от ситуации. Но все-таки его стоимость более объективна, чем у информации. Вам не придет в голову оценивать стоимость сервера по объему денег, который генерится с его помощью. Ущерб от простоя сервера - да, но не саму стоимость сервера. А с информацией это происходит сплошь и рядом и именно по той причине, что стоимость информации субъективна.

И дело даже не в том, что существуют разные виды стоимости. Существуют и разные виды измерения стоимости информации. Их можно разделить на три больших группы - рыночный, затратный и доходный. Затратный метод самый простой - он определяется по объему затрат на создание информации (функция от числа людей, их зарплаты и длительности создания информационного актива). Например, код программы можно оценить по затратам на зарплату программистов, ее создающих. Это будет минимальная граница, то есть ниже информация стоить уже не может, так как на ее создание было потрачена определенная сумма денег, которую, например, при продаже хотелось бы вернуть. Рыночный метод очень прост - информация стоит столько, сколько за нее готовы заплатить на рынке, например, конкуренты. Сложнее всего дело обстоит с доходным методом. С ним, как с прикупом в преферансе, надо знать, сколько я на информации заработаю? Могу 100 рублей, а могу и 100 миллионов. А могу и потерять.

И самое неприятное во всей этой конструкции то, что разные специалисты по-разному оценивают одну и ту же информацию, даже пользуясь одинаковыми методами в один момент времени. Почему в свое время (в начале 2000-х) в России не стрельнула тема со страхованием информационных рисков (хотя даже законопроект по аналогии с ОСАГО был разработан)? Да потому что у страховщиков и страхователей был разный взгляд на оценку стоимости информации. Страховщики очень прагматичны, в отличии от страхователей, которые могут преувеличивать значение имеющейся у них информации. Отсюда несогласие с оценками друг друга. Отсюда и отсутствие проектов по страхованию. В отличие от материальных объектов, которые страхуются сплошь и рядом, с оценкой нематериального сложности пока очень сильно мешают.

Вот именно из-за этой субъективности постоянно будут споры о том, кто должен был стать победителем Евровидения, и как считать стоимость информации. И пока не появится объективных критериев и признаваемых всеми методик расчета, массово оценивать информацию в контексте информационной безопасности мы не сможем.

1 коммент.:

Unknown комментирует...

информация стоит столько, сколько за нее готовы заплатить на рынке - это 100% в точку! остальное шелуха для некого обоснование цены.
Например, то что является важным для нас, не обязательно это так же будет является важным для наших оппонентов, как и в обработанную сторону :) то что может быть для нас незначительным, будет важным для наших оппонентов.
спасибо за статью, мне понравилось.