2.2. Ущербы и риски систем

Пусть Х – множество входных и внутренних переменных состояния (данных) системы, Y – множество ее выходных переменных состояния. Пусть система описывается функцией F: X→Y [1]. Поскольку данные подвергаются информационным операциям и атакам (ИОА), то вместо хХ возможно использование данных  . Для оценки введем функцию ρ(y, ) при уY,  , которая показывает величину ущерба, понесенного из-за принятия решения вместо y. В качестве ρ можно использовать метрику в Y. Ущерб, вызванный искажением входных данных, есть ρ (F(x), F( )).

Пример: Рассмотрим мошенническую операцию, когда злоумышленник пытается реализовать несанкционированный перевод денег на свой счет. В этом случае обычно пытаются изменить оператор F (скажем, его адресную составляющую). Тогда ущерб будет равен разности остатков на счету до и после операции

u= ρ[F(x), (x)]=Y- . (2.15)

Возможно также изменение входных данных , ведущее к аналогичному результату.

Метрикой в некотором множестве Y называется функция ρ: Y  Y →R¹, такая, что при любых x,y,zY a) ρ(x,y)≥0; б) ρ(x,y)=0 тогда и только тогда, когда x=y; в) ρ(x,y)= ρ(y,x); г) ρ(x,y)+ ρ(y,z) ≥ ρ(х,z).

В классической теории дифференциальных уравнений с каждой точкой хХ можно связать область допустимых значений G(x), в которую входят все те , которые могут рассматриваться вместо х без существенного нарушения безопасности анализируемой системы. Тогда максимально допустимый ущерб есть точная верхняя грань:

U[x,G(x)]= , (2.16)

Число α называется точной верхней гранью некоторого числового множества Х( ), если: а) α не меньше любого хХ и б) для любого β< α существует по крайней мере одно х(β) Х, такое, что х(β)> β.

Пусть τ – метрика в Х и в качестве G(x) можно рассматривать шар { :τ(x, )≤r} некоторого радиуса r безопасности с центром в х. Чем радиус шара r меньше, тем входные данные ближе к штатному их значению.

Представляется естественным изучить поведение модели при различных радиусах безопасности и особенно при r→0. Несколько обобщая, будем считать, что с каждой точкой хХ связано семейство областей допустимых ущербов G_r(x), где r – произвольное положительное число. Наряду с максимально возможным ущербом U[x, G(x)], определенным выше, рассмотрим:

U(x) = . (2.17)

Если X и Y– совокупности действительных чисел, то ρ(y, )= |y- |, τ(x, )=|x- |. В этом случае U(x)=0 тогда и только тогда, когда функция F непрерывна в точке x. Таким образом, понятие непрерывности есть частный случай обсуждаемого понятия безопасности.

Систему будем считать безопасной в точке х, если U(x)=0. Ее функция F называется ε-безопасной, если U(x)≤ ε в допуске ε (пороге безопасности).

Таким образом, имеются два основных элемента – функция F и область допустимых значений G. Простейшая задача – изучение опасности данной F при данной G в двух вариантах: при заданной G найти все безопасные F и, наоборот, по заданной F описать все G, при которых F является безопасной.

Пример: Допустим, что проводится вирусная атака. В этом случае злоумышленник подмешивает во входные данные некую фьючерно - активную составляющую

=хγ_х(t,A), (2.18)

зависящую от времени t и неких управляющих установок А. «Пожирающий» память вирус будет уничтожать Y

→ , | |<|y|. (2.19)

Теоретически х и у могут быть ликвидированы. Фактически γ_х модифицирует F, параллельно (под внешним управлением А или самозапуском) выполняя операции стирания либо другие дезорганизующие (повышающие энтропию атакуемой системы) операции.

В стохастических моделях при реализации ИОА вместо детерминированных входных и промежуточных данных х приходится иметь дело со случайными величинами = (ω), приводящими к случайным потерям ρ [F(x), F( (ω))]. Чтобы характеризовать потери одним числом, рассматривают либо математическое ожидание М ущерба ρ

u_ср=Mρ[F(x), F( )], (2.20)

либо его квантиль u₀, определяемую из условия равенства вероятности P заданной величине α

P{ ρ [F(x), F( )]≤u₀}= α. (2.21)

Величины, задаваемые данными формулами, являются некоторыми аналогами ущерба. Очевидно, интерес представляют и другие оценки (моды, медианы и т.п.), однако принципиальную важность имеет такая характеристика, как риск. Именно он характеризует шансы системы с точки зрения ее безопасности, поэтому фундаментальные исследования в данном направлении составляют особый научный интерес.

Кроме того, принципиально возможны три трактовки ущерба:

- параметрический, когда u=ρ[F(x),F( )];

- алгоритмический, когда u= ρ[F(x), (x)];

- гибридный, когда u= ρ[F(x), ( )].

Научно-практический интерес представляют материальные оценки метрики ρ для различных социально-экономических и организационно-правовых проявлений ИОА.

Пример: При мошеннических операциях с банковскими картами задача злоумышленника сводится к введению верного кода клиента и нужной суммы, не вызывающих подозрений у банка. Т.е. вводятся верные исходные данные х. Успех злоумышленника в данном случае будет равен ущербу банка

u=ρ[F(x),]=Y. (2.22)

Отклонения выходных данных, также как и входных, здесь отсутствуют = =, ибо эквивалентны запрошенной и полученной злоумышленником денежной сумме.

Вместе с тем, исходные данные для выполнения функции F кроме кода клиента могут быть охарактеризованы рядом других параметров: х[личность запрашивающего, время запроса, место запроса, сумма запроса,…], которые в своей совокупности способны стать признаками мошеннической операции и основанием для невыполнения запроса .

Многообразие сценариев, стратегий и тактик ИОА открывает творческий простор для формализации в данном направлении.