لماذا تفشل معظم نماذج مخاطر الأمن السيبراني قبل أن تبدأ

يواجه قادة الأمن السيبراني أسئلة مستحيلة. “ما هو احتمال وقوع خرق أمني هذا العام؟” و “كم ستتكلف؟” و “كم يجب أن ننفق لإيقافه؟”

ومع ذلك، فإن معظم نماذج المخاطر المستخدمة اليوم لا تزال مبنية على التخمين، والغريزة، وخرائط المخاطر الملونة، وليس على البيانات.

في الواقع، وجدت دراسة PwC’s 2025 Global Digital Trust Insights أن 15% فقط من المؤسسات تستخدم نمذجة المخاطر الكمية إلى حد كبير.

تستكشف هذه المقالة لماذا تقصر نماذج مخاطر الأمن السيبراني التقليدية وكيف أن تطبيق بعض الأدوات الإحصائية الخفيفة مثل النمذجة الاحتمالية يقدم طريقة أفضل للمضي قدمًا.

مدرستان أساسيتان في نمذجة المخاطر السيبرانية

نماذج مخاطر الأمن السيبراني (Cyber Risk Models) هي أطر أو طرق منهجية تُستخدم لتحليل، تقييم، وقياس التهديدات الأمنية الإلكترونية وتأثيرها المحتمل على أنظمة المعلومات أو البيانات أو الأعمال.

يستخدم متخصصو أمن المعلومات بشكل أساسي طريقتين مختلفتين لنمذجة المخاطر خلال عملية تقييم المخاطر: النوعية والكمية. وتعتبر النمذجة الكمية للمخاطر السيبرانية أسلوبًا متقدمًا يتطلب خبرة متخصصة.

النماذج النوعية لتقييم المخاطر

تخيل فريقين يقومان بتقييم نفس المخاطر. يمنح أحدهما المخاطرة درجة 4/5 للاحتمالية و 5/5 للتأثير. أما الفريق الآخر، فيمنحها 3/5 و 4/5. يقوم كلا الفريقين بتحديد موقعها على مصفوفة. ولكن لا يستطيع أي منهما الإجابة على سؤال المدير المالي: “ما هو احتمال حدوث ذلك فعليًا، وما هي التكلفة التي سنتكبدها؟”

يعتمد النهج النوعي على تقدير قيم المخاطر بشكل شخصي، وينبع بشكل أساسي من الحدس لدى المُقيِّم. يؤدي النهج النوعي عمومًا إلى تصنيف احتمالية وتأثير المخاطر على مقياس ترتيبي، مثل 1-5.

بعد ذلك، يتم تحديد مواقع المخاطر في مصفوفة المخاطر لفهم مكانها على هذا المقياس الترتيبي.

غالبًا ما يتم ضرب المقياسين الترتيبيين معًا للمساعدة في تحديد أولويات المخاطر الأكثر أهمية بناءً على الاحتمالية والتأثير. للوهلة الأولى، يبدو هذا معقولًا حيث أن التعريف الشائع الاستخدام للمخاطر في أمن المعلومات هو:

[text{Risk} = text{Likelihood } times text{Impact}]

ومع ذلك، من وجهة نظر إحصائية، فإن نمذجة المخاطر النوعية تنطوي على بعض المخاطر الهامة جدًا.

أول هذه المخاطر هو استخدام المقاييس الترتيبية. في حين أن إسناد أرقام إلى المقياس الترتيبي يعطي مظهرًا من الدعم الرياضي للنمذجة، إلا أن هذا مجرد وهم.

المقاييس الترتيبية هي ببساطة تسميات – لا توجد مسافة محددة بينها. المسافة بين المخاطرة التي لها تأثير “2” وتأثير “3” غير قابلة للقياس الكمي. تغيير التسميات على المقياس الترتيبي إلى “A” و “B” و “C” و “D” و “E” لا يحدث أي فرق.

وهذا بدوره يعني أن صيغتنا للمخاطر معيبة عند استخدام النمذجة النوعية. من المستحيل حساب احتمالية “B” مضروبة في تأثير “C”.

المأزق الرئيسي الآخر هو نمذجة عدم اليقين. عندما نقوم بنمذجة المخاطر السيبرانية، فإننا نقوم بنمذجة الأحداث المستقبلية غير المؤكدة. في الواقع، هناك مجموعة من النتائج التي يمكن أن تحدث.

إن تقطير المخاطر السيبرانية إلى تقديرات أحادية النقطة (مثل “20/25” أو “مرتفع”) لا يعبر عن التمييز الهام بين “الخسارة السنوية الأكثر احتمالاً هي 1 مليون دولار” و “هناك فرصة بنسبة 5٪ لحدوث خسارة قدرها 10 ملايين دولار أو أكثر”.

نمذجة المخاطر الكمية: تحليل متقدم

تخيل فريقًا يقوم بتقييم المخاطر. يقدرون مجموعة من النتائج، من 100 ألف دولار إلى 10 ملايين دولار. من خلال تشغيل محاكاة مونت كارلو، فإنهم يستخلصون فرصة بنسبة 10٪ لتجاوز مليون دولار في الخسائر السنوية وخسارة متوقعة قدرها 480 ألف دولار. الآن عندما يسأل المدير المالي، “ما مدى احتمالية حدوث ذلك، وماذا سيكلف؟”، يمكن للفريق الرد بالبيانات، وليس فقط الحدس.

يحول هذا النهج المحادثة من تصنيفات المخاطر الغامضة إلى الاحتمالات والتأثير المالي المحتمل، وهي لغة يفهمها المسؤولون التنفيذيون.

إذا كانت لديك خلفية في الإحصاء، فيجب أن يبرز مفهوم واحد على وجه الخصوص هنا:

الاحتمالية.

نمذجة مخاطر الأمن السيبراني هي، في جوهرها، محاولة لتحديد كمية احتمالية وقوع أحداث معينة والتأثير إذا حدثت. هذا يفتح الباب أمام مجموعة متنوعة من الأدوات الإحصائية، مثل محاكاة مونت كارلو، التي يمكنها نمذجة عدم اليقين بفعالية أكبر بكثير مما يمكن أن تفعله المقاييس الترتيبية.

تستخدم نمذجة المخاطر الكمية النماذج الإحصائية لتعيين قيم بالدولار للخسارة ونمذجة احتمالية وقوع أحداث الخسارة هذه، والتقاط عدم اليقين المستقبلي.

في حين أن التحليل النوعي قد يقارب أحيانًا النتيجة الأكثر احتمالًا، فإنه يفشل في التقاط النطاق الكامل لعدم اليقين، مثل الأحداث النادرة ولكن المؤثرة، والمعروفة باسم “مخاطر الذيل الطويل”.

يرسم منحنى تجاوز الخسارة احتمالية تجاوز مبلغ خسارة سنوية معينة على المحور الصادي، ومبالغ الخسارة المختلفة على المحور السيني، مما يؤدي إلى خط منحدر إلى الأسفل.

يمكن أن يوفر سحب النسب المئوية المختلفة من منحنى تجاوز الخسارة، مثل النسبة المئوية الخامسة والمتوسط والنسبة المئوية الخامسة والتسعين، فكرة عن الخسائر السنوية المحتملة لمخاطر بثقة 90٪.

في حين أن التقدير ذي النقطة الواحدة لـ التحليل النوعي قد يقترب من المخاطر الأكثر احتمالًا (اعتمادًا على دقة حكم المقيمين)، فإن التحليل الكمي يلتقط عدم اليقين في النتائج، حتى تلك النادرة ولكنها لا تزال ممكنة (المعروفة باسم “مخاطر الذيل الطويل”).

نظرة خارج نطاق المخاطر السيبرانية: تحسين نماذج المخاطر في الأمن السيبراني

لتحسين نماذج المخاطر لدينا في مجال أمن المعلومات، كل ما نحتاج إليه هو النظر إلى الخارج، تحديدًا إلى التقنيات المستخدمة في المجالات الأخرى. لقد تطورت نماذج المخاطر بشكل كبير في مجموعة متنوعة من التطبيقات، مثل التمويل، والتأمين، وسلامة الطيران، وإدارة سلسلة التوريد. هذه المجالات توفر رؤى قيمة يمكن تطبيقها في الأمن السيبراني.

تستخدم الفرق المالية نماذج لإدارة مخاطر المحافظ الاستثمارية باستخدام إحصائيات بايزيانية مماثلة. بينما تقوم فرق التأمين بنمذجة المخاطر باستخدام نماذج إكتوارية متطورة. أما صناعة الطيران، فتقوم بنمذجة مخاطر فشل الأنظمة باستخدام نماذج الاحتمالية. وتقوم فرق إدارة سلسلة التوريد بنمذجة المخاطر باستخدام محاكاة احتمالية. هذه المنهجيات توفر أساسًا قويًا لتطوير نماذج مخاطر سيبرانية فعالة.

الأدوات موجودة بالفعل. والأسس الرياضية مفهومة جيدًا. لقد مهدت الصناعات الأخرى الطريق. والآن حان دور الأمن السيبراني لتبني نماذج المخاطر الكمية لاتخاذ قرارات أفضل وأكثر استنارة، مما يؤدي إلى تحسين استراتيجيات الأمن السيبراني وتقليل الخسائر المحتملة. إن تبني هذه النماذج الكمية يمثل خطوة حاسمة نحو إدارة أكثر فعالية للمخاطر السيبرانية.

الخلاصة الرئيسية