Säkerhetsblogg

Att beräkna risk – satsa eller lägga sig

Casino Royale Bondfilm

På TV visas reklam efter reklam om nätkasinon. Spelindustrin blomstrar i Sverige. En kvinna sitter vid ett köksbord med obetalda räkningar framför sig och förtvivlan i blicken. I nästa klipp köper hon en lott och ansiktsuttrycket blir euforiskt. I sista klippet sprider hon pengar runt sig. Det är som att se drömmar spelas upp av personer som är dåliga på riskbedömning.

Vi står dagligen inför riskbedömningar och många tjänar pengar på det. Har du funderat på att köpa livförsäkring? Med hjälp av statistik har matematiker anställda på försäkringsbolag skapat modeller som beräknar sannolikheten av när du kommer att dö. Man använder sig då bland annat av variabler som kön och ålder. Uträkningen är satt så att den gagnar försäkringsbolaget, inte dig.

När man ansöker om ett banklån kommer banken att beräkna sannolikheten av att du inte kommer att kunna betala tillbaka lånet. De tar sedan detta i beaktande och räknar ut räntesatsen på ett sätt som gynnar bankerna själva; rent ekonomiskt vinner bankerna på att ge dig ett lån. När du köper en lott är lotteriet matematiskt utformat så att du allt som oftast förlorar. Priset du betalar för biljetten, sannolikheten för vinst och beloppet du kan vinna ligger inte till din fördel. Även i dessa vardagliga situationerna blir det otroligt tydligt hur företag och personer som behärskar konsten att rationellt bedöma risk kan fatta bättre beslut, och i det långa loppet gå med vinst.

Frågan är, hur kan man bedöma risk på ett rationellt sätt? Riskbedömning är processen där man identifierar, analyserar och bedömer risk, tänk risk kontra belöning. Eftersom att vi tidigare nämnde spelande så kan vi ta pokerspelet Texas Hold’em som ett exempel. Texas Hold’em används av det amerikanska universitetet MIT som ett jättebra verktyg för att öva riskbedömning.

A poker hand with 7,8 of diamondsDu har ruter 7 och 8 som hand, och ni är nu vid ’’the turn’’, ett fjärde gemensamt kort har delats ut och endast ett till kort kommer att delas ut, men först ska du och din motståndare inleda en satsningsrunda. Texas hold'em 4 cards

I potten finns $200. Din motståndare satsar all-in med $500, och potten är nu $700. Du har 2 val, antingen satsa $500 och avslöja din hand, och därefter kommer ett kort delas ut och den med bäst hand vinner potten på $1200. Det andra valet du har är att ge upp, ’’fold’’. Vad borde du göra?

Om du beslutar dig för att göra det första valet, satsa $500 och då få se det sista kortet, kan du endast vinna om du får en ’’straight’’, kort 5 eller 10 måste vara kortet som delas ut. Sannolikheten för att 5 eller 10 delas ut är:

Ekvation

(8 kort som finns i kortleken kan göra att du vinner omgången. Det finns 52 kort i en kortlek, varav 2 du har i handen och 50 kort finns kvar. Dessutom finns det 4 kort som alla spelare kan se, och 46 kort finns kvar).

Vi kan inte endast utgå från sannolikheten av att vinna, utan även ta i beaktning det belopp vi kan vinna och priset vi måste betala för det

Det finns 700$ i potten så 120$ är ett rationellt belopp att betala för att vinna potten (0.17 x 700 ≈ 120$), detta så att du går jämt upp ur ett långsiktigt perspektiv. Hade du istället betalat $70 och vunnit potten på $700, hade du vunnit en hel del och tjänat mer pengar i det långa loppet. I just detta fall är saken den att din motståndare tvingar dig att betala $500 för att se det sista kortet, vilket ger dig dålig valuta för pengarna. Det rätta valet i det här fallet är att snabbt lägga sig.

Att kunna bedöma risker är en väldigt viktig del av livet, och är även speciellt viktigt när man arbetar med informationssäkerhet (information security). En populär kvantitativ metod för att bedöma risker inom informationssäkerhet är att beräkna förväntad årlig förlust (Annual loss expectancy, ALE).

Som ett exempel, låt oss föreställa oss att en online-spelsajt i Sverige utsätts för DDoS-attacker av hackare i ett försök att störa deras verksamhet. Ledningen ber dig (som arbetar som säkerhetskonsult) om råd om vad de ska göra. Du säger att de behöver köpa en ny molnbaserad web application firewall (WAF) från en väletablerad leverantör. Detta kommer att kosta $7000/år. Deras svar är att detta är för dyrt. Efter att ha gjort en riskbedömning säger du att WAF faktiskt kommer att hjälpa dem att spara pengar. Det här visar varför:

Tidigare data visar att de har drabbats av en lyckad DDoS-attack vartannat år. Detta innebär att risken för att drabbas av en lyckad DDos-attack årligen ligger på 50%. Den genomsnittliga kostnaden för en attack uppmättes till $20.000. Den nya WAF skulle minska risken för en lyckad DDoS-attack till endast 5% per år.

  1. Annual loss expectancy (ALE) utan WAF: 0.5 x 20.000 = $10.000
  2. Annual loss expectancy (ALE) med WAF: 0.05 x 20.000 + 7000 = $8000

Efter att ha visat ledningen dessa siffor insåg de att de faktiskt skulle spara $2000 varje år vid genomförandet av WAF, vilket gjorde dem ganska entusiastiska.

Företag måste förstå att säkerhetslösningar är inte bara de smärtsamma kostnaderna man måste leva med för att kunna följa lagar och regelverk. Säkerhet är till för att minska risker, och kan till och med innebära att företag sparar pengar. Riskbedömning handlar om att veta när man ska satsa och när man lägga sig, så att man kan ta smarta beslut.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com