Риск — количественная величина, которая может быть измерена в процентах или представлена вероятностным числом, то есть числом от нуля до единицы. Риск, как процент неблагоприятных исходов вследствие атак на систему, может быть определен функцией от Степени уязвимости, величины потенциальной угрозы и Количества вложенных средств: Что это означает? Если вы крайне уязвимы (используете допотопное или «дырявое» программное обеспечение) или подвержены серьезной угрозе (группа хакеров объявила вам войну), ваш риск равен единице, что в процентном отношении составляет 100%. Если при этом ваши вложения минимальны, риск падает до нулевой отметки, так как это означает, что у вас вообще нет сайта, который можно было бы подвергнуть риску.
Но все не так просто, как может показаться на первый взгляд. Предположим, ваши затраты крайне малы (сайт не содержит ничего, кроме фотографии любимой собачки), и одновременно с этим система очень уязвима. При таких условиях и при отсутствии непосредственной угрозы функция риска возвращает сравнительно небольшое число. Но проползающий мимо сетевой червь поразит ваш сайт с вероятностью 100%, используя «стандартные» бреши в системе безопасности и несмотря на отсутствие риска в расчетах. Представим теперь, что уязвимость сайта сравнительно мала (вы покупаете только зарекомендовавшее себя программное обеспечение и полагаетесь на принятые меры безопасности), но существует вероятность появления очень опасного хакера, заинтересовавшегося вашей системой: Я говорю о профессионале своего дела, который не поленится найти ранее не опубликованную ошибку и напишет соответствующий эксплойт. Возможно, такой взломщик даже не подумает об ответственности, так как в его стране соответствующее наказание не предусмотрено законом. Если вы подверглись нападению подобного человека, риск моментально увеличивается, несмотря на вашу уверенность.
