Законы и нормативные документы описывают, что нужно делать для информационной безопасности, но почти никогда не объясняют, почему именно так и как принимать решения в условиях дефицита времени, информации и ресурсов. Реальность выбора не между идеальным и хорошим, а между плохим и чуть менее плохим.
Классическая модель рационального выбора и её провал в реальности
Основная модель принятия решений, на которую опираются многие методики и стандарты, предполагает полную рациональность: лицо, принимающее решение, имеет всю необходимую информацию, может рассчитать все возможные варианты и их последствия, а затем выбрать оптимальный. Эта модель удобна для построения математических моделей и написания инструкций, но она глубоко оторвана от того, как решения принимаются в действительности, особенно под давлением времени, при неполной информации и ограниченных когнитивных ресурсах.
Когда регулятор пишет в методических рекомендациях «оценка угроз должна быть проведена на основе анализа всех возможных векторов атак», он исходит из этой классической модели. На практике даже в крупной организации с развитой службой безопасности «все возможные векторы», это абстракция. Аналитик работает с тем, что знает: данными из SIEM, отчётами об уязвимостях, историческими инцидентами в отрасли. Неизвестное остаётся за скобками, и решение — например, на какой уязвимости из сотен в еженедельном отчёте сфокусировать усилия по исправлению в первую очередь — принимается в условиях существенной неопределённости.
Что такое ограниченная рациональность в контексте безопасности
Концепция ограниченной рациональности была предложена Гербертом Саймоном. Её суть в том, что в реальном мире человек принимает не «оптимальные», а «удовлетворительные» решения. Вместо поиска лучшего из всех возможных вариантов мы ищем первый, который соответствует приемлемому для нас уровню критериев (сатисфайсинг).
В информационной безопасности это проявляется на каждом шагу:
- Выбор средств защиты: не идеальная комбинация инструментов, которая закрывает 100% угроз с нулевыми ложными срабатываниями, а набор доступных по бюджету и интегрируемых в существующую инфраструктуру решений, который закрывает наиболее критичные, по текущему мнению, риски.
- Реагирование на инцидент: не полное и идеальное расследование по всем канонам цифровой криминалистики, а действия по быстрой локализации угрозы на основе первых доступных признаков компрометации, даже если часть вектора атаки остаётся неясной.
- Интерпретация требований регулятора: не буквальное и максималистское выполнение каждого пункта 152-ФЗ или приказа ФСТЭК, а поиск такого способа выполнения, который пройдёт проверку, не парализует бизнес-процессы и уложится в выделенные ресурсы.
Ограниченная рациональность, это не лень и не некомпетентность. Это системное свойство работы в сложной среде с конечными ресурсами внимания, времени и вычислений. Игнорировать этот факт — значит строить воздушные замки.
Эвристики и смещения: не ошибки, а инструменты выживания
Чтобы принимать решения в условиях ограничений, мозг использует эвристики — упрощённые правила и ярлыки. Они часто приводят к систематическим смещениям, но без них процесс принятия решений был бы невозможен.
Какие эвристики наиболее влияют на решения в безопасности:
- Эвристика доступности: Оценка вероятности события по тому, насколько легко оно приходит на ум. Если в отрасли недавно была громкая атака через уязвимость в веб-приложениях, то именно этот вектор будет считаться более вероятным и получит больше ресурсов для защиты, даже если статистически угроза внутренних нарушителей выше.
- Эффект якоря: Первая полученная информация формирует точку отсчёта. Если в первом отчёте об оценке уязвимостей риск системы был оценён как «средний», последующие обсуждения будут вращаться вокруг того, почему он «средний», а не «высокий» или «низкий», даже при поступлении новых данных.
- Смещение в сторону статус
quo
: Предпочтение оставлять всё как есть. Внедрение нового, более строгого правила безопасности, даже очевидно полезного, часто встречает сопротивление, потому что оно меняет привычный процесс. Иногда это рационально — изменения несут риски, — но часто это просто инерция. - Каскад доступной информации: В групповом обсуждении первое высказанное мнение (особенно авторитетным лицом) задаёт направление, и последующие участники, даже имея иную информацию, склонны его поддерживать, а не оспаривать. В результате решение о мерах по инциденту может быть принято на основе ранней и неполной гипотезы, а альтернативные сценарии не будут рассмотрены.
эти эвристики не являются чистыми врагами. В условиях дефицита времени они позволяют действовать. Задача — не устранить их, а осознавать их влияние и создавать процессы, которые смягчают их негативные эффекты.
Ограниченная рациональность и российская регуляторика
Требования ФСТЭК России, 152-ФЗ и отраслевые стандарты формально написаны в парадигме полной рациональности. Они описывают, что должно быть: система управления инцидентами, классификация информации, аттестация объектов. Но они почти не касаются вопроса «как» в условиях ограничений.
Например, приказ ФСТЭК № 17 требует проведения анализа уязвимостей. Но как быть, если сканер выдает 5000 результатов, из которых 1000 — критичные? Ресурсов на исправление всего нет. Критерий «удовлетворительности» здесь появляется стихийно: исправляем то, что на внешнем периметре, то, что упоминалось в последних угрозовых отчётах, то, что можно закрыть автоматическим патчем. Это решение основано не на полном анализе рисков каждой уязвимости, а на эвристиках доступности и управляемости.
Регуляторные проверки зачастую тоже сталкиваются с ограниченной рациональностью. Проверяющий имеет ограниченное время на аудит. Его решение о том, на какие системы и процессы обратить пристальное внимание, а что проверить поверхностно, будет основано на доступной информации (документы, которые предоставили первыми), якоре (первое впечатление об организации) и отраслевых шаблонах (на что обычно обращают внимание в таких компаниях).
диалог между организацией и регулятором часто происходит не между двумя полностью рациональными системами, а между двумя субъектами, принимающими удовлетворительные решения в своих контекстах и со своими ограничениями.
Как проектировать процессы безопасности с учётом ограниченной рациональности
Признав, что ограниченная рациональность, это данность, можно не бороться с ней, а проектировать процессы, которые в этих условиях дадут более качественные и устойчивые результаты.
1. Внедрение структурированных рамок для принятия решений
Вместо неопределённых задач («оцени риски») давать структурированные шаблоны или чек-H4ы, которые направляют внимание на ключевые аспекты. Например, при приоритизации уязвимостей использовать простую матрицу с двумя осями: «простота эксплуатации» и «возможный ущерб». Сама матрица, это эвристика, но явная и контролируемая, которая лучше, чем интуитивный выбор.
2. Явное определение критериев «достаточно хорошо»
На этапе планирования мероприятий по безопасности задавать не идеальные цели («полная защита от угроз нулевого дня»), а сатисфайсинг-критерии. Например: «Система обнаружения атак должна выявлять не менее 90% известных атак на веб-приложения из актуального списка OWASP Top 10 с уровнем ложных срабатываний не выше 5% в день». Это конкретный, достижимый порог, который позволяет прекратить поиск оптимального решения и перейти к реализации удовлетворительного.
3. Процедуры, ослабляющие групповые смещения
Для критических решений (например, по реагированию на крупный инцидент) внедрять техники, которые противодействуют каскаду информации и якорю. Можно использовать метод «мнения в конверте»: перед общим обсуждением каждый эксперт независимо и письменно формулирует свою гипотезу и рекомендуемые действия. Это позволяет выявить альтернативные точки зрения, которые могли бы быть подавлены в открытой дискуссии.
4. Визуализация и «предварительная обработка» информации
Большие объёмы данных (логи, результаты сканирования) должны поступать к лицам, принимающим решения, не в сыром виде, а агрегированными и визуализированными. Дашборд, который показывает топ-10 атакующих IP или динамику критических уязвимостей по подразделениям, использует эвристику доступности целенаправленно, выводя на первый план, скорее всего, наиболее важные данные.
От идеализма к реализму в безопасности
Принятие решений в информационной безопасности никогда не будет полностью рациональным. Ресурсы — время, бюджет, внимание — всегда ограничены. Угрозы и технологии меняются быстрее, чем организация может их полностью осмыслить.
Понимание ограниченной рациональности, это переход от чувства вины за «неидеальные» решения к конструктивному управлению процессом их принятия. Это значит перестать писать инструкции, которые предполагают наличие всезнающего аналитика, и начать проектировать процедуры, которые помогают реальному человеку с его когнитивными ограничениями принимать достаточно хорошие решения в сложных условиях.
В конечном счёте, эффективная система безопасности, это не та, которая построена на бумаге в соответствии с идеальной моделью, а та, которая устойчиво работает в мире ограниченной рациональности, адаптируясь и находя удовлетворительные компромиссы между безопасностью, функциональностью и затратами.