«Обычное управление рисками, это спор о том, у кого уязвимость страшнее. Аукционная теория превращает этот спор в оптимизационную задачу, где каждый участник раскрывает свою истинную оценку угрозы через ставку. В итоге последний свободный эксперт достаётся не тому, кто громче кричит, а тому, чья задача на самом деле представляет большую опасность для бизнеса с точки зрения принятой системы координат. Это формализм, который заменяет субъективность прозрачными правилами.»
Проблема: ресурсы конечны, угроз — бесконечность
Задача распределения защитных ресурсов — фундаментальная. Бюджет на средства защиты, время высококвалифицированных экспертов, пропускная способность систем мониторинга — всё это жёстко лимитировано. При этом поток потенциальных угроз неиссякаем: появляются новые уязвимости, возникают инциденты, выходят обновления регуляторных требований.
Традиционный подход, основанный на экспертных оценках и матрицах рисков, часто приводит к тупику. Разработчики настаивают на приоритете новых функций, SOC требует ресурсов для расследования событий, а отдел compliance готовит очередную проверку. CISO оказывается в роли судьи, вынужденного принимать решения на основе неполных и часто противоречивых данных.
В российском контексте, где деятельность регуляторов ФСТЭК в рамках 152-ФЗ требует не только защиты, но и документально подтверждённого обоснования выбранных мер, эта проблема обостряется. Нужна не просто интуиция, а воспроизводимая, прозрачная методика, которая может быть предъявлена аудитору. Почему пентестер был направлен на проверку CRM, а не на платёжный шлюз? Потому что так решил эксперт — недостаточный ответ. Потому что аукцион показал более высокую оценку риска для CRM — ответ, который можно проверить по логам системы.
Аукционная теория как метафора для распределения
Аукционная теория изучает правила, по которым участники с разными оценками ценности товара получают его в условиях дефицита. Её аппарат неожиданно точно описывает ситуацию в информационной безопасности. Основные элементы модели:
- Товар (лот) — дефицитный security-ресурс. Это может быть 100 человеко-часов работы команды реагирования в месяц, лицензия на дорогое средство защиты или выделенный бюджет на киберстрахование.
- Участники (покупатели) — заинтересованные стороны внутри компании. Например, команда разработки, которая хочет закрыть критическую уязвимость перед релизом; администраторы, требующие ресурсов для аварийного обновления инфраструктуры; или отдел внутреннего аудита, готовящийся к проверке ФСТЭК.
- Ставка — количественное выражение ценности ресурса для участника. Это не обязательно деньги. Внутренней «валютой» могут выступать баллы риска, рассчитанные по методике компании, обязательства по улучшению операционных метрик (например, снижение MTTR) или часть квартальной квоты на услуги безопасности.
- Правила аукциона (механизм) — алгоритм, который на основе поданных ставок определяет победителя и «цену», которую он платит. Именно выбор механизма задаёт поведение участников и конечную эффективность распределения.
Эта модель снимает эмоциональную нагрузку с принятия решений. Вопрос «кому это нужнее?» заменяется на «кто готов заплатить за это большую цену в рамках установленной системы?».
Какие бывают аукционы и какой выбрать
Механизм определяет всё. Разные типы аукционов порождают разное стратегическое поведение участников, что напрямую влияет на то, попадёт ли ресурс к тому, кто его реально больше всего ценит.
Английский аукцион (открытые повышающие торги)
Участники открыто повышают ставки, пока не останется один. В корпоративной среде это эквивалент бесконечных совещаний, где отделы соревнуются в риторике, пытаясь доказать критичность своей задачи. Механизм прозрачен, но порождает высокие транзакционные издержки — время руководителей тратится не на работу, а на торги. Также высока вероятность сговора между отделами.
Голландский аукцион (понижающий)
Цена объявляется завышенной и постепенно снижается. Первый, кто согласится на текущую цену, получает лот. Подходит для ситуаций, когда нужно быстро распределить ресурс, ценность которого для всех участников примерно известна и не критически высока. Пример — распределение слотов на плановый технический аудит среди неключевых систем.
Аукцион первой цены (запечатанные ставки)
Каждый участник тайно подаёт свою ставку. Победителем становится тот, кто предложил больше всех, и он платит ровно сумму своей ставки. Главный недостаток — стратегия занижения. Участники начинают гадать: «Если я назову свою истинную оценку в 100 баллов, а второй участник предложит 80, я выиграю, но переплачу 20 баллов. Лучше поставлю 81». В итоге ресурс часто достаётся не тому, кто больше всего в нём нуждается, а тому, кто лучше угадал ставки конкурентов.
Аукцион Викри (второй цены)
Золотой стандарт теории. Участники также подают запечатанные ставки. Победитель определяется по максимальной ставке, но платит он не свою цену, а цену второй максимальной ставки. Этот, казалось бы, небольшой нюанс меняет поведение кардинально. Участнику становится стратегически выгодно назвать свою истинную оценку. Его ставка влияет только на вероятность победы, но не на сумму платежа. Если он занизит ставку, то рискует проиграть тому, кто оценил ресурс ниже его истинной ценности. Если завысит — выиграет, но может заплатить больше, чем готов (если второй участник тоже сделал высокую ставку). Честность становится лучшей стратегией. Для распределения security-ресурсов, где важно выявить истинный уровень риска, а не мастерство в блефе, аукцион Викри — наиболее обоснованный выбор.
От теории к практике: создание внутренней «валюты»
Реальные деньги в таких внутренних процессах используют редко. Нужна абстрактная, но значимая единица обмена. Её основой должна стать модель рисков компании, согласованная со всеми заинтересованными сторонами.
- Баллы риска — основная валюта. Они начисляются автоматически на основе формальных критериев: классификация актива по приказу ФСТЭК, категория обрабатываемых персональных данных по 152-ФЗ, оценка вероятности и ущерба из карт рисков. Задача с более высоким рассчитанным риском даёт отделу больше «денег» для ставки. Это привязывает аукцион к существующей системе управления рисками.
- Квотные часы — альтернатива. Каждое подразделение получает фиксированный бюджет во внутренней «валюте времени» (например, 40 часов работы команды ИБ в квартал). Эти часы можно потратить на свои нужды или использовать как ставку на аукционе для привлечения дополнительных ресурсов из центрального пула.
- Обещания по метрикам — ставкой может быть обязательство улучшить ключевой показатель безопасности в своём сегменте (например, снизить количество критических предупреждений SIEM на 15% за следующий квартал) в обмен на получение ресурса. Такая модель требует тщательного контроля за исполнением.
Ключевой принцип: внутренняя валюта должна быть ограниченной (дефицитной) и иметь прямую связь с бизнес-целями или регуляторными обязательствами. Только тогда за неё будут «торговаться» по-настоящему.
Техническая реализация: от таблиц до скриптов
Простейший прототип можно создать в электронной таблице, но для постоянной работы нужна автоматизация, которая снимет операционную нагрузку и обеспечит неизменяемость логов для аудита.
| Компонент системы | Описание и пример реализации |
|---|---|
| Каталог ресурсов | База данных или конфигурация в CMDB, описывающая пулы ресурсов: эксперты (с указанием специализации), бюджетные статьи, вычислительные мощности. Для каждого ресурса определяются период доступности и минимальный шаг (например, 8-часовые слоты). |
| Подача заявок (ставок) | Интегрированная форма в корпоративном портале или тикет в ITSM (Jira, Яндекс.Трекер). Поля заявки: требуемый ресурс, обоснование (ссылка на запись в реестре рисков или инцидент), расчётная оценка риска, предлагаемая ставка во внутренней валюте. Ставка может быть как прямой (100 баллов), так и скрытой (система сама вычисляет её на основе приложенных данных). |
| Аукционный движок | Скрипт или микросервис, запускаемый по расписанию или событию. Его задачи: агрегировать все заявки за период, применять выбранный алгоритм распределения (например, Викри), определять победителя и финальную «цену». Результаты публикуются.
|
| Учёт и списание | Модуль, интегрированный с системой учёта внутренней валюты. После определения победителя автоматически списывает «платёж» с его баланса и резервирует ресурс. Отправляет уведомления всем участникам. |
| Логирование и отчётность | Неизменяемое журналирование всех событий: подача заявки, состав участников, их ставки, результат работы движка, факт списания. Эти данные — основа для отчётности перед руководством и регулятором, демонстрирующая объективность и беспристрастность распределения. |
Ограничения и подводные камни
Внедрение аукционного распределения — не панацея. Первый и главный риск — игровизация. Отделы могут начать воспринимать процесс как игру, где нужно «обыграть» коллег, а не решить реальную проблему безопасности. Чтобы этого избежать, внутренняя валюта должна быть жёстко привязана к объективным метрикам, а не к политическому весу подразделения.
Второй риск — сложность начальной настройки. Определение «курса» внутренней валюты, балансировка квот между отделами, выбор правильного механизма аукциона — всё это требует нескольких итераций и готовности к настройке. Лучше начинать с пилотного проекта на одном типе ресурса (например, время пентестера).
Наконец, система не заменяет стратегическое планирование и реагирование на чрезвычайные инциденты. Ресурсы для аварийного реагирования (CERT) должны выделяться вне рамок аукциона. Это инструмент для распределения плановых, но дефицитных ресурсов в условиях конкуренции.
Внедряя такой подход, компания получает не только инструмент оптимизации, но и мощный источник данных. История аукционов показывает, какие активы и типы угроз внутренние заказчики реально считают наиболее рискованными, что может кардинально скорректировать общую стратегию безопасности и инвестиции в защиту.