Dziś wpis na temat różnicy między zagrożeniem a ryzykiem. Może najpierw na przykładach, przez wyliczenie. Przykładowe zagrożenia, bez specjalnego tematu przewodniego:
- spadnę ze schodów,
- spadnie na mnie samolot,
- będę w tym spadającym samolocie,
- napadną mnie gwałcicielki z Zimbabwe,
- napadną mnie wojownicze żółwie ninja i zabiorą pizzę,
- powódź,
- trzęsienie ziemi,
- Darth Vader i Gwiazda Śmierci,
Co może się stać, jeśli poszczególne zagrożenia się zrealizują? Jeśli spadnę ze schodów, mogę się poobijać, nawet bardzo mocno. Skutki takiego zdarzenia trudno jednak porównać ze spadającym samolotem, bez większego znaczenia, czy samolot spada na mnie, czy ja w tym samolocie spadam na kogoś. Gwałcicielki z Zimbabwe zostawmy na chwilę z boku. Jeśli chodzi o wojownicze żółwie, to załóżmy, że ich celem będzie tylko zdobycie rzeczonej pizzy i nie będą jej zdobywać w taki sposób, jak Chuck Norris robi masło. Utrata jedzenia jest niewątpliwie bolesna (zwłaszcza, jeśli jestem głodny!), ale to jeszcze nie koniec świata (no chyba, że to ostatnia szyszunia w tym sezonie). Skutki powodzi i trzęsienia ziemi mogą być różne, przyjmijmy w tym przypadku, że są one co najmniej poważne. Nic jednak nie może się równać z Gwiazdą Śmierci, która skutkuje totalnym zniszczeniem całej planety.
Powyższe rozważania dotyczą tego, jakie będą skutki zaistnienia niepożądanego zdarzenia. Czy na tej podstawie można podejmować decyzję przed czym się bronić? W szczególności czy powinniśmy się bronić przed zdarzeniem, które ma najbardziej katastrofalne skutki? Jeśli tak, to powinniśmy już teraz zacząć budować systemy obronne przed zabawką z Gwiezdnych Wojen. Mam nadzieję, że każdy dostrzega absurd tego rozumowania. Po prostu opierając się wyłącznie na (potencjalnych) skutkach zaistnienia jakiegoś zdarzenia kompletnie gubimy drugą ważną informację - z jakim prawdopodobieństwem to zdarzenie zachodzi?
Powinniśmy skupiać się na ryzyku. O ile skutki wizyty Gwiazdy Śmierci (w tej roli gościnnie może wystąpić jakiś wystarczająco duży kawałek skały pałętający się gdzieś po kosmosie, który nagle znajdzie się na kursie kolizyjnym z naszą planetą) są katastrofalne, to prawdopodobieństwo takiego zdarzenia jest niewielkie, przynajmniej w skali czasu, która dla nas jest istotna. W dłuższej perspektywie takie zdarzenie jest w zasadzie zdarzeniem pewnym. Podobnie zdarzeniem pewnym jest złamanie hasła czy rozszyfrowanie wiadomości przy użyciu metody brute force, o ile dysponuje się nieskończoną ilością czasu (przy okazji coś na temat nieskończonej ilości czasu, małp i pisaniu na maszynie).
Ryzyko związane z powodzią czy trzęsieniem ziemi zależy od tego, gdzie mieszkamy. Dla nas trzęsienie ziemi nie jest szczególnie istotne (zdarzają się, zwykle jednak są na tyle słabe, że nawet jeśli są odczuwalne przez człowieka to nie wyrządzają istotnych szkód), dla mieszkańców Japonii trzęsienia są czymś codziennym, choć nie każde z nich ma siłę ponad 9 stopni (patrz: Najsilniejsze trzęsienia ziemi). Jeśli ktoś miał fantazję by postawić dom na terenie zalewowym, to prawdopodobieństwo, że jego dom zostanie zalany jest dużo większe, niż w przypadku kogoś, kto akurat mieszka na pagórku, choć on akurat może mieć dla odmiany problem z osuwiskiem. Z mieszkaniem na klifie też trzeba uważać.
Prawdopodobieństwo tego, że spadnie na nas samolot różni się w zależności od tego, gdzie mieszkamy. Jeśli akurat na ścieżce podchodzenia do lądowania, to powinniśmy się tym tematem martwić trochę bardziej, niż ludzie mieszkający w innych miejscach. O ile katastrofa samolotu prawie na pewno kończy się dla jego pasażerów tragicznie i wielkiego wpływu na to nie mamy (choć szansa przeżycia zależy w pewnym stopniu od miejsca, w którym siedzimy), to już prawdopodobieństwo takiego zdarzenia można zmniejszyć rezygnując z lotów liniami lotniczymi, których maszyny, ich obsługa czy wyszkolenie pilotów budzą wątpliwości.
Wspominane gwałcicielki z Zimbabwe są realnym zagrożeniem (w przeciwieństwie do pożerających pizzę w ilościach hurtowych zmutowanych żółwi), ale ryzyko z nimi związane jest dla mnie pomijalne o ile nie postanowię wybrać się na obszar ich działania (w temacie: bycie albinosem też wiąże się z różnym ryzykiem, w zależności od tego, gdzie przyszło nam mieszkać i jakie wierzenia/zabobony mają tubylcy). Również realnym zagrożeniem jest ukąszenie przez żmiję zygzakowatą i przyznam się, że ryzyko takiego zdarzenia czasami zbliża się do granicy akceptowalnego przeze mnie poziomu. Nie dlatego, że mylę żmiję z królikiem mordercą, ale w niektórych przypadkach mogę niechcący zakłócić odpoczynek spokojnie wygrzewającemu się na słońcu wężowi, co może skończyć się ukąszeniem, lub przynajmniej jego próbą. Zmniejszam jednak to ryzyko patrząc pod nogi i nosząc w takich sytuacjach bardziej odpowiednią odzież (wysokie, pełne buty, skarpety, spodnie).
Dokładnie tak samo (odpowiednia odzież) można zmniejszać prawdopodobieństwo ukąszenia przez kleszcza czy użądlenia przez pszczołę (charakterystyczny strój pszczelarza), ale raczej nie chodzi się w takich strojach po mieście w środku lata. Po prostu miasto nie jest miejscem masowego występowania kleszczy oraz pszczół, os lub szerszeni (choć akurat może się zdarzyć, że gdzieś w pobliżu pojawi się ich gniazdo). Prawdopodobieństwo spotkania kleszcza, zagniewanej pszczoły, osy lub szerszenia jest na tyle niskie, że dodatkowa ochrona w postaci gustownego kombinezonu się nie opłaca. Po prostu koszty jego stosowania, choćby niewygoda jego noszenia, nie są uzasadnione prawdopodobieństwem wystąpienia zdarzenia, przed którym mają chronić.
Co złego może się stać, jeśli źle ocenimy ryzyko? Lub jeśli zamiast oparcia się na ryzyku, oprzemy się tylko na potencjalnych skutkach lub naszym wewnętrznym przekonaniu (w szczególności irracjonalnych lękach)? Odpowiedź jest prosta - będziemy próbowali rozwiązać nie ten problem. O ile w przypadku wspomnianej już Japonii budowanie systemu ostrzegania przed trzęsieniem ziemi oraz tsunami ma jak najbardziej sens, to przenoszenie tego pomysłu do nas nie jest uzasadnione.
Z bezpieczeństwem IT jest podobnie. Nie można skupiać się wyłącznie na potencjalnych skutkach, pomijając to, jak bardzo prawdopodobne jest zaistnienie takiego zdarzenia. Błędna wycena ryzyka związana z wykrytymi w trakcie testów podatnościami może prowadzić do tego, że usuwane są nie te podatności, które powinny zostać usunięte. Bezpieczeństwo 100 PLN leżących na stole w mieszkaniu na parterze nie zmieni się w sposób istotny po wstawieniu antywłamaniowych drzwi i dwóch nowych zamków, jeśli nadal w miejscu dwóch okien jest folia. A ta folia jest dlatego, że nie było mnie stać na okna, bo zmieniałem drzwi i zamki na jeszcze lepsze drzwi i zamki... Aż strach pomyśleć co będzie, jak ktoś mi zasugeruje, że ktoś po te 100 PLN może próbować przejść przez ścianę, albo zrobić podkop! Tych okien to chyba nigdy nie wstawię :(
P.S. I w ramach absurdalnych ciekawostek:
W takim towarzystwie wojownicze żółwie ninja aż tak absurdalne nie są, prawda? :)