МАТЕМАТИЧНА МОДЕЛЬ ОЦІНКИ РИЗИКІВ КІБЕРБЕЗПЕКИ  У РАЗІ ВІДСУТНОСТІ ФІНАНСОВИХ ДАНИХ ПРО ВТРАТИ

О. В. Байдур

doi:10.26661/2786-6254-2025-1-11

О. В. Байдур Національний університет біоресурсів і природокористування України https://orcid.org/0000-0001-7036-1264

DOI: https://doi.org/10.26661/2786-6254-2025-1-11

Ключові слова: інформаційно-комунікаційні системи військового призначення, кібербезпека, метод Монте- Карло, оцінка ризиків, час неготовності системи, кібератаки

Анотація

У статті розглянуто особливості оцінки ризиків кібербезпеки в інформаційно-комунікаційних системах військового призначення (ІКС ВП) в умовах війни, коли неможливо оцінити потенційні фінансові втрати від кібератак. Запропоновано математичну модель оцінки ризиків кібербезпеки в ІКС ВП, яка базується на методі Монте-Карло та враховує специфіку ІКС ВП, таку як особливості комбінованих атак з використанням конвекційної та кіберзброї в умовах гібридної війни, та неможливість оцінити потенційні фінансові втрати внаслідок успішних кібератак. Розроблено математичний апарат для оцінки частоти подій втрат та часу неготовності ІКС ВП внаслідок кібератак, що дозволяє врахувати невизначеність в оцінках та випадковий характер кібератак.У статті проведено детальний огляд наявних кількісних методів оцінки ризиків кібербезпеки, таких як метод Баєсових мереж, аналіз дерева атак, кількісна оцінка ризиків (QRA) та метод Монте-Карло. Показано, що метод Монте-Карло має низку переваг у контексті оцінки ризиків в ІКС ВП, таких як гнучкість, можливість врахування невизначеності, та здатність адаптуватися до динамічних змін у ландшафті загроз. Проведено аналіз можливості використання різних видів статистичних розподілів у процесі моделювання методом Монте-Карло і наведено типові сценарії їх застосування під час проведення оцінки ризиків кібербезпеки з урахуванням їх недоліків і переваг. Наведено приклади застосування розробленої моделі для різних сценаріїв кібератак на ІКС ВП, включаючи DDoS-атаки, фішингові атаки, атаки програм-вимагачів та APT-атаки.Запропонований підхід може бути використаний для прийняття рішень щодо розподілу ресурсів на кіберзахист ІКС ВП в умовах війни. Подальші дослідження дозволять автоматизувати оцінку ризиків в ІКС ВП, що дозволить здійснювати моделювання загроз у реальному часі і швидко розробляти пакети контрзаходів, які значно підвищать стійкість ІКС ВП в умовах ведення агресивної війни в кіберпросторі.

Посилання

1. Байдур О.В. Передумови створення моделі кіберзахисту Збройних сил України. Прикладні системи та технології в інформаційному суспільстві : збірник тез VII Міжнародної науково-практичної конференції, м. Київ, 29 верес. 2023 р. Київ, 2023. С. 19–22. URL: https://aistis.knu.ua/wp-content/ uploads/2023/09/AISTIS_2023.
2. Байдур О.В. Кількісна методологія оцінки ризиків кібербезпеки при відсутності фінансових даних про втрати. Кібербезпека: освіта, наука, техніка. Том 2. № 26, м. Київ, 2024. https://doi.org/10.2892 5/2663-4023.2022.17.3145.
3. Leszczyna R. Review of cybersecurity assessment methods: Applicability perspective. Computers & Security. 2021. Vol. 108. P. 102376. https://doi.org/10.1016/j.cose.2021.102376.
4. Cheimonidis P., Rantos K. Dynamic risk assessment in cybersecurity: a systematic literature review. Future internet. 2023. Vol. 15, № 10. P. 324. https://doi.org/10.3390/fi15100324.
5. Devi R. Information security risk assessment (ISRA): a systematic literature review. Journal of information systems engineering and business intelligence. 2022. Vol. 8, № 2. P. 207–217. https://doi.org/10.20473/ jisebi.8.2.207-217.
6. Wang J., Neil M., Fenton N. A Bayesian Network Approach for Cybersecurity Risk Assessment Implementing and Extending the FAIR Model. Computers & Security. 2020. Volume 89. https://doi. org/10.1016/j.cose.2019.101659.
7. Naik N., Grace P., Jenkins P, Naik K., Song J. An evaluation of potential attack surfaces based on attack tree modelling and risk matrix applied to self-sovereign identity. Computers & Security. 2022. Volume 120. https://doi.org/10.1016/j.cose.2022.102808.
8. Piper J. Risk Management Framework: Qualitative Risk Assessment through Risk Scenario Analysis, NATO Science and Technology Organization. 2019, p. 51. URL: https://www.sto.nato.int/publications/ STO%20Meeting%20Proceedings/STO-MP-IST-166/MP-IST-166-07.pdf.
9. The Open Group Guide, The Mathematics of the Open FAIR Methodology. 2022, p. 50. URL: https:// publications.opengroup.org/guides/open-fair/g180
10. Freund J., Jones J. Measuring and Managing Information Risk: A FAIR Approach. Butterworth-Heinemann, 2014. 408 p. URL: https://www.researchgate.net/publication/387512575_Measuring_and_Managing_ Information_Risk_A_FAIR_Approach.
11. The Open Group Risk Analysis (O-RA) Standard, Version 2.0.1. Berkshire, United Kingdom : The Open Group, 2021. 47 p. URL: https://publications.opengroup.org/c20a.
12. Hutchins E., Cloppert M., Amin R. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains. Lockheed Martin Corporation, 2011, URL: https:// www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel- Driven-Defense.pdf.
13. Departement of Defence. Standard practice. System safety, MIL-STD-882E, 2012. URL: https://www.nde-ed.org/NDEEngineering/SafeDesign/MIL-STD-882E.pdf.
14. Ferreira D.J., Mateus-Coelho N., Mamede H.S. Methodology for Predictive Cyber Security Risk Assessment (PCSRA). Procedia Computer Science. 2023. Vol. 219. P. 1555–1563. https://doi.org/10.1016/j. procs.2023.01.447.
15. Рибальченко С.А. Огляд функцій ймовірності для моделювання страхової діяльності. Ефективна економіка. № 3, Дніпро, 2013. URL: http://www.economy.nayka.com.ua/?op=1&z=1861.
16. Lawless J. Statistics in Reliability. Journal of the American Statistical Association. 2000. 95(451), p. 989–992. https://doi.org/10.1080/01621459.2000.10474291.
17. Anderson-Cook C.M., Morzinski J., Blecker K.D. Statistical Model Selection for Better Prediction and Discovering Science Mechanisms That Affect Reliability. Systems. 2015, 3, p. 109–132. https://doi. org/10.3390/systems3030109.