т.к. это кибератаки не стохастический процесс

Серьезно? А какой? Не случайный он только для атакующего.

Качественная оценка может применяться, но она работает только если руководство верит своим экспертам. И эксперты не просят слишком много денег)

Было два раза вчера, подробностей так и не появилсоь

вчера было предупреждение о готовящейся атаке

сегодня уже новость о том что атаковали

он детерминирован

случайным с натяжками можно рассматривать процесс со значительным количеством акторов (групп злоумышленников) однообрано атакующих значительное однотипных систем .. но это точно не вариант для АСУ ТП

Не очень понятно какой процесс детерминирован?

На эту тему можно вести философские дебаты, но с трчки зрения бизнеса это случайная величина. Никто не может сказать, что завтра или через месяц начнут атаковать асу доменной печи или ЭЛОУ-АВТ, а вот в следующем году ждем массового заражения через бэкдор, который найдут в smb (например). Для бизнеса это всегда происходит внезапно.
Хотя вот была новость про израиль) исключения бывают. Если кто-то когда-то научится предсказывать кибер-атаки за пол года (тендер-проектирование-внедрение системы защиты), то, конечно, можно ничего не делать и ждать откровений оракула)

Не только КОГДА начнут, но и КТО начнет, КАК начнет. Может просто школьник, может шифровальщик, а может APT

т.е. вероятности по внутренним контурам будут разные

дело не в философских дебатах, а в практическом инстументарии для определения актуальности угроз (атак)

не будет там никаких определенных вероятностей

всё что можно сказать - что сложнее сделать злоумышленнику, а что проще (или дороже/дешевле)

а этого и придется отталкиваться

Ну как не будет? Я потратил много денег на систему защиты информации. Мой конкурент не сделал ничего. Очевидно, что риски у него выше, чем у меня. Но мне, как человеку, который платит деньги, этого мало! Я потратил 5млн $ и хочу понять насколько я снизил свои риски.

Как изменилась стоимость успешной атаки после затрачивания доп. 5 млн $?

Если никак - то это деньги на ветер