Оценка зависимости между инцидентами безопасности, финансовыми показателями и курсом ценных бумаг компаний средствами Data mining

Станкевич С.А.
Выпускник MBA CSO-05
Школы IT-Менеджмента
РАНХиГС при Президенте РФ

Рыжов А.П.
Профессор, заведующий кафедрой "Системы
управления бизнес-процессами"
Школы IT-Менеджмента
РАНХиГС при Президенте РФ

В современном мире бизнес — это система со сложной структурой и неоднородным наполнением, находящаяся в агрессивной изменяющейся среде. Данная интерпретация термина «бизнес» продиктована осознанием того факта, что каждое предприятие вынуждено давать самостоятельный ответ на внутренние и внешние вызовы. Важно отметить, что вызовы разнообразны, количество их увеличивается вместе с развитием общества, а вариантов реакции на них — бесконечное множество. Успешное функционирование и развитие предприятия представляет из себя задачу без «универсального» или даже «правильного» решения. Адекватным представляется только поиск «своего» решения.
Все участники рынка стараются нащупать свой особый набор конкурентных преимуществ, наиболее эффективную организационную структуру, полезные деловые практики и культурные нормы. Часть бизнесов выходит из игры, некоторые занимают их место на рынке, часть принимает решение о дифференциации или диверсификации продукции, а кому-то удаётся открывать новые отрасли и ниши. Пространство для «манёвра» поистине впечатляет, а деятельность руководителей, которые наиболее эффективно справляются с такими сложными динамичными задачами, вызывает неподдельное уважение.

Помимо высоких требований к динамичности и оперативности современная бизнес-среда зачастую требует от организаций внимательно следить за внешней средой. Клиенты, контрагенты, конкуренты, регуляторы, политическая конъюнктура, экология — вот далеко не все внешние силы, способные оказать на бизнес существенное влияние. Учитывая всё вышесказанное становится очевидным, что преимущество на рынке получает тот, кто эффективнее использует доступные ресурсы.

По мнению автора данных строк наиболее точное описание термина «ресурс» заключается в следующем определении:
Ресурс — то чего не хватает.

Есть основания полагать, что такое определение ярче всего отражает суть данного термина. Например при строительстве олимпийских объектов в Сочи, время было самым важным ресурсом. Престиж государства и политическая воля сверху требовали закончить строительство вовремя. Время на прохождение контрольных точек было строго регламентировано, а проект должен был быть успешно завершён в установленный срок. В таком смысле финансовая составляющая проекта была ресурсом в меньшей степени. В конечном итоге, пересмотреть время было невозможно, а бюджет, как мы знаем, несколько раз увеличивали.

Информационных ресурсов тоже не хватает. Тот, кто лучше ими распоряжается имеет существенное преимущество. Доля участия информационных ресурсов в процессе производства, согласно данным из доклада Европейской комиссии по стратегическим исследованиям, возросла в среднем за последние 20 лет с 10% до 27%. Это значит, что часть капитала фирмы, которую составляют знания в различной форме (информационный ресурс) растет ускоренными темпами (НОУ ИНТУИТ, Курс лекций «Информационные технологии в экономике», 2013). Растут и риски, связанные с информационными ресурсами.

Именно рост важности информационной составляющей бизнеса стал драйвером развития информационной безопасности. Ключевое понятие, применяемое для количественной оценки эффективности многих служб информационной безопасности это «инцидент». Данный термин в зависимости от методики определяется довольно широко. Поэтому остановимся на самом простом: инцидент – это любое событие, не являющееся частью нормального функционирования системы/сервиса/процесса.

Как видно из описанных выше взломов и хакерских атак, инциденты ИБ способны наносить бизнесу значительный ущерб. Репутация, финансовые показатели и существование бизнеса в целом — то, чем рискует организация, уделяющая недостаточное внимание безопасности информационных систем и ресурсов. Для минимизации ущерба рано или поздно встаёт вопрос о наилучшей организации менеджмента инцидентов ИБ.

Проблема менеджмента инцидентов ИБ представляет реальный академический интерес. В рамках данной статьи рассмотрена сравнительно новая предметная область, а именно влияние инцидентов ИБ, ставших известными для широкой публики, на курс акций компаний.

В современном мире компании и частные лица имеют всё больше возможностей для контакта - через облака, мобильные технологии и социальные сети - люди становятся более информированными. Тем не менее, такой онлайн-мир, мир в режиме реального времени не лишён ошибок. И, несмотря на то, что конфиденциальность, безопасность и производительность — темы подверженные в последнее время особому вниманию, риск для репутационного ущерба компаний растёт.

Новое исследование Economist Intelligence Unit (http://www-935.ibm.com/services/us/gbs/bus/html/risk_study.html, 2013) по заказу IBM показывает, что репутационные риски могут быть более значимыми, чем ущерб от неисправных изделий или низкокачественных услуг. Компании сталкиваются с большим риском для своего бренда, если их ИТ находится под угрозой. От похищенных персональных данных о клиентах до взломанных паролей — инциденты ИБ могут привести к драматическим негативным настроениям о компании и ее имидже.

Хорошей новостью является то, что компании начинают уделять более пристальное внимание связи между ИТ-рисками и рисками для репутации. Вот некоторые рекомендации для организаций, которые хотят применять репутационный риск-менеджмент:

• Будьте проактивны, а не реактивным;
• Внутреннее сотрудничество является ключевым фактором;
• Научитесь предвидеть проблемы.

В любой компании проблемы информационной безопасности ставят сложные задачи для ответственных за связь с общественностью. Реагировать слишком открыто — означает создать неблагоприятный фон для компании. Не открывать информацию тоже подход неудачный. В общественном понимании с именем компании свяжется репутация закрытости и некоммуникабельности. Для крупных корпораций связь бренда и любой проблемы безопасности может оказать негативное влияние на цену акций и финансовые показатели.

Помимо репутационных рисков существуют и чисто технические. Так, многие вендоры скрывают серьёзнейшие нарушения безопасности до тех пор, пока патч безопасности не будет подготовлен к широкому распространению, что, с одной стороны, оставляет клиентов в неведении о серьёзной угрозе, а с другой стороны помогает противодействовать повсеместной деятельности хакеров по эксплуатации «0-day» уязвимостей. Большое количество особенностей в деятельности службы ИБ создаёт множество проблем подразделению PR в силу различной специфики работы, однако многие инциденты ИБ, выйдя на публичную огласку должны быть обработаны в публичном поле.

Некоторые советы по взаимодействию PR и ИБ в виде план-карты действий представлены на рис. 3.

Рис. 3 План-карта реагирования PR-подразделения на инциденты ИБ, получившие широкую огласку

В ходе исследования данной тематики было принято решение основываться на гипотезе о повышенном внимании тематических СМИ к компании во время информационного повода, который зачастую вызван инцидентом ИБ, получившим публичную огласку. Технологической основой исследования стал набор методов, объединённых общим названием -  Data mining. Для анализа репутационных рисков применялся Text mining. В междисциплинарном смысле Text Mining лежит на стыке поиска информации, Data Mining, машинного самообучения, статистики и компьютерной лингвистики.

Была разработана методика для анализа корреляции курсов ценных акций компаний и инцидентов ИБ:   

• использование автоматизированной система анализа СМИ для получения информации из открытых источников;
• построение частотных характеристик упоминаемости в открытых источниках;
• фактологический анализ точек максимума и минимума частотных характеристик упоминаемости
• анализ корреляции инцидентов ИБ и курсов акций
• сравнение результатов для нескольких компаний
• компаративистский анализ нескольких компаний

Имея массив данных об упоминании в тематических СМИ об инцидентах ИБ, появляется возможность построить частотную характеристику. Данная характеристика отражает степень внимания СМИ к компании. В контексте темы данной статьи и предлагаемой методологии фактологический анализ необходимо провести на точках минимума и максимума частотных характеристик упоминаемости. Принимая во внимание гипотезу о повышенном внимании тематических СМИ к компании во время сообщений об инцидентах ИБ, необходимо оценить все пики упоминаемости на предмет информационного шума. Учитывая, что в современном медийном поле новости об инцидентах не тиражируются дольше 10 дней, достаточно выбрать недельный интервал фактологического анализа.

Получив чёткое представление о всех наиболее значимых инцидентах ИБ для отдельно выбранной компании появляется перспектива анализа корреляции с курсом ценных бумаг. Для этого необходимо наложить данные о пиках упоминаемости в СМИ на график колебаний курса акций и провести анализ степени корреляции. Напомню, что под корреляцией понимают то, как сильно две вероятностные переменные статистически связаны между собой.

В терминологии статистики отношение между переменными описывается коэффициентом корреляции. В общем случае: чем больше связь, тем больше коэффициент корреляции.

Следует отметить, что в рамках данной работы использовать математическое  определение корреляции некорректно в силу ничтожности влияния инцидентов ИБ на ретроспективный курс акций компании. Именно поэтому имеет смысл использовать качественный анализ с применением результатов фактологической оценки произведённого для коротких промежутков времени, где влияние конкретного инцидента ИБ наглядно и значительно.

Применительно к теме моей работы, следует отметить, что на рынках ценных бумаг представлены преимущественно успешные, зарекомендовавшие себя компании с устоявшимся брендом. Общей характеристикой для таких компаний выступает требование следить за репутацией и принимать активное участие в медийном поле. Обычно, такие функции возложены на PR-службу организации. Получив на предыдущих шагах методологии понимание о раскрытых инцидентах ИБ и реакции на них, становится возможным провести сравнительный анализ реагирования PR-подразделений разных компаний.

Для практического применения предложенной выше методологии были выбраны крупнейшие технологичные компании, включенные в американский фондовый индекс NASDAQ-100. В индекс включаются 100 крупнейших по капитализации компаний, акции которых торгуются на бирже NASDAQ. В индекс не включаются компании финансового сектора.

Был составлен список компаний для рассмотрения. В список вошли:

• Adobe
• Amazon
• Apple
• Baidu
• Cisco
• Citrix
• Ebay
• Facebook
• Google
• Intell
• Microsoft
• Nvidia
• Qualcomm

Все указанные компании крупные и имеют давнишнюю историю на рынках ценных бумаг, поэтому подходили для ретроспективного анализа

Для сбора данных из открытых источников об инцидентах ИБ был использован скрипт на языке Python с применением вспомогательной библиотеки BeautifulSoup. Скрипт производил выборку статей по компаниям с портала securitylab.ru и сортировал их по дате публикации. В конце работы скрипт создавал текстовые файлы с объединенной информацией для каждой компании (табл. 1).
Формат сохранённых данных. Табл. 1

    
Дальнейшая техническая обработка производилась при помощи табличного процессора Excel. Текстовые файлы, полученные на предыдущем этапе, копировались в таблицу, причём дата публикации, короткое и расширенное описание новости сохранялись в отдельные столбцы. Затем составлялась вспомогательная таблица, содержащая количество упоминаний о компании за каждую неделю. По этой таблице строилась частотная характеристика упоминаемости компании по неделям.

Не все новости напрямую относятся к выбранной компании. В силу этого было принято решение ввести дополнительный квалификатор — прямое или косвенное упоминание о компании. С использованием этого квалификатора удалось получить уточненные частотные характеристики упоминаемости.

Фактологический анализ промежуточных данных

Полученные характеристики для каждой компании содержали погрешность на информационный шум и «степень серьёзности» новостного сообщения: не все упоминания относились к инцидентам ИБ, некоторые упоминания были косвенными, некоторые инциденты были совсем незначительны. Проведя экспертную оценку по анализу фактов за рассмотренные недельные периоды были получены уточненные частотные характеристики упоминаемости инцидентов ИБ. Так же удалось установить, что все компании реагируют на утечки, взломы и прочие инциденты по разному. Некоторые придерживаются выжидательной позиции, а некоторые запускают ответные PR-компании, чтобы нивелировать негативный эффект.

Например для Apple c 11 по 18 мая 2012 года можно наблюдать падение курса акций на 6 процентов. За этот период было несколько сообщений о взломе и отключении iCloud (облачное хранилище от Apple) и отчет Лаборатории Касперского, о том что Mac OS очень уязвима. После этого ответная PR-компания Apple о "мирном" договоре с Samsung и прекращении участия в патентных войнах восстановила курс на прежний уровень.
Для каждой из компаний были собраны данные в табличном виде об изменении курса ценных бумаг за аналогичный период. Данные были взяты с сайта «Investing.com» [25] и представляли из себя таблицы, разбитые по неделям (табл. 1).

Формат сохранённых данных. Табл. 1

Пример колебания курса акций компании Google представлен ниже (табл. 2):

Колебания курса ценных бумаг Google по неделям. табл. 2

 
В соответствии с методикой анализа корреляции инцидентов ИБ и курса акций были составлены частотные характеристики упоминаемости. Пример характеристики отображен на рис. 2.

Рис 2. Уточнённая частотная характеристика за 2 года. Компания Apple.

Из полученных характеристик и на основе фактологического анализа удалось установить, что курс акций компании коррелирует с публикациями  о происшествиях в сфере ИБ. Данный результат получен путем автоматизированного сравнения уточнённых частотных характеристик и таблиц колебаний курсов акций.

Результатом практической части исследования стала сравнительная характеристика корреляций, полученных для ведущих компаний из списка NASDAQ-100. Были разработаны рекомендаций для ИБ и PR-подразделений компаний по части менеджмента инцидентов ИБ, ставших публично известными.

Среди результатов работы, не последним по значимости для автора стало осознание перспективы дальнейшего изучения этой сферы. Проявился широкий простор для академических исследований и методологический задел к применению методов DataMining при оценке успешности компаний на рынках ценных бумаг. Так, применение аппарата нечеткой логики может привести к существенному уточнению результатов оценки корреляции, а использование генетических алгоритмов и искусственных нейронных сетей может быть потенциально выгодным для построения автоматизированных трейдеров-роботов на рынках ценных бумаг.

При выполнении исследовательской части работы появилось понимание о необходимости изменения стандартов реагирования на инциденты ИБ. Текущие версии всех стандартов пропускают мимо внимания репутационные риски от инцидентов. Считаю необходимым включить пункты о координации с PR в стандарты.

В ходе практической части работы появилось понимание необходимости экстенсивного улучшения методологии за счёт увеличения количества источников информации об инцидентах ИБ. К сожалению, в рамках данного исследования я не обладал достаточными вычислительными мощностями, что не сыграло существенной роли в моей работе, однако может стать тормозящим фактором при дальнейшем изучении данной темы.

Список использованных источников

1. 1. Самосудов М.В. Основы корпоративного взаимодействия и управления: Учебное пособие к курсу «Корпоративное управление». – г. Химки.: Институт международных экономических отношений, 2005. – 363 с.
   1. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации.
   2. http://anti-virus.by/press/viruses/4684.html
   3. http://mychip.com.ua/bezopasnost/tjx-podschitala-ushherb-utechka-dannyh-...
   4. "Общие потери от взлома Epsilon могут достичь $4 млрд" http://xakep.ru/news/55587/
   5. "Взлом PlayStation Network обойдется Sony в $171 млн" http://xakep.ru/news/55759/
   6. The Impact of Cybercrime on Business, May 2012
   7. http://asmarterplanet.com/blog/2012/10/20224.html
   8. Информационные системы в экономике/ Учеб. пособие под ред. проф. А.Н. Романова, проф. Б.Е. Одинцова.- М.: Вузовский учебник, 2009 (стр. 111-157).
   9. Хорошилов А.В., Селетков С.Н, Днепровская Н.В. Управление информационными  ресурсами: Учебник/Под ред. Хорошилова А.В.- М.: Финансы и статистика, 2006 (стр. 29-57)
   10. Стандарт ISO/IEC 27001:2005 «Information technology - Security Techniques - Information security management systems — Requirements»
   11. ISO/IEC 17799:2005 "Information Technology - Code of practice for information security management."
   12. Репин В.В., Елиферов В.Г. Процессный подход к управлению. Моделирование бизнес-процессов. — М.: РИА «Стандарты и качество», 2008. — 408 с. — ISBN 978-5-94938-063-5.
   13. The Impact of Cybercrime on Business, May 2012
   14. Putting a price tag on reputational damage—and a value on IT risk management, http://www-935.ibm.com/services/us/gbs/bus/html/risk_study.html, 2013
   15. НОУ ИНТУИТ, Курс лекций «Информационные технологии в экономике»
   16. «Public relations and information security», Matthew Hackling, http://www.cso.com.au/blog/cso-bloggers/2012/08/31/public-relations-and-...
   17. «Технология Text mining», Кутукова Е. С, 2013.
   18. http://www.lexisnexis.ru/
   19. http://Public.Ru
   20. http://medialogia.ru
   21. http://scan.interfax.ru
   22. http://spark.interfax.ru/
   23. dnb.com
   24. http://www.investing.com/
   25. «Классификация информационных систем предприятия», 2013, https://fossdoc.ru/klassifikacija-informacionnyh-sistem
   26. “Классификация атак”, 2013, http://www.i2r.ru/static/450/out_14782.shtml
   27. Наталья Куканова, 2006, “Управление инцидентами информационной безопасности”