Экономика кибербезопасности: почему выполнять требования недостаточно

от

“Киберсдерживание — это не про то, чтобы выстроить неприступную стену. И даже не про то, чтобы найти виноватого. Это про создание такого поля игры, где атаковать тебя становится математически бессмысленно. Там, где регулирование ФСТЭК заканчивается на требованиях к средствам защиты, начинается экономика и теория игр, которая объясняет, почему одни организации — вечные цели, а другие обходят стороной.”

От Парето к Нэшу: почему следовать требованиям — недостаточно

Традиционный подход к информационной безопасности строится на достижении оптимальности по Парето: улучшение защиты одной системы не должно ухудшать защиту другой. На практике это означает выполнение базового набора требований, предписанных регулятором. Вы устанавливаете антивирус, настраиваете межсетевые экраны и ведёте журналы событий. Это создаёт приемлемый для проверки уровень.

Однако Парето-эффективность не учитывает стратегического взаимодействия между защищающейся организацией и потенциальным злоумышленником. Последний не статичен. Он анализирует ваши действия, оценивает затраты на преодоление защиты и потенциальную выгоду. Ваше решение просто «соответствовать» делает вас предсказуемой целью в игре, где правила диктует атакующий.

Стратегия сдерживания требует перехода к равновесию Нэша — состоянию, в котором ни один игрок (ни защитник, ни атакующий) не может улучшить своё положение, изменив свою стратегию в одностороннем порядке. Достичь его сложнее, но именно оно делает атаку экономически невыгодной. Если злоумышленник понимает, что затраты на преодоление вашей защиты (время, ресурсы, риск раскрытия) гарантированно превысят любую возможную выгоду, он с высокой вероятностью выберет другую цель.

Матрица выбора: просчитывая ходы противника

Представьте упрощённую модель с двумя игроками: «Организация» (защитник) и «Злоумышленник». У каждого есть два стратегических выбора.

Организация может выбрать:

  • Минимальное соответствие (MinCompliance): выполнить только обязательные требования 152-ФЗ и ФСТЭК без избыточных инвестиций.
  • Активное сдерживание (ActiveDeterrence): внедрить дополнительные, заведомо избыточные меры, которые резко повышают стоимость атаки — например, системы активного реагирования (EDR/XDR), дезинформационные контуры (honeypots), целенаправленный анализ угроз (Threat Intelligence).

Злоумышленник может выбрать:

  • Атаковать (Attack).
  • Не атаковать (Pass) и искать другую цель.

Исходы (выигрыши) можно оценить в условных единицах. Для организации: успешная атака приносит убыток (-10), защита от атаки — малые затраты (-1 для ActiveDeterrence, -0.5 для MinCompliance), отсутствие атаки — ноль. Для злоумышленника: успешная атака — выгода (+5), провал атаки — затраты (-3), отсутствие атаки — ноль.

При стратегии MinCompliance атака выгодна злоумышленнику (он получает +5, организация теряет -10). При стратегии ActiveDeterrence атака становится убыточной для него (он теряет -3, а организация лишь -1 на поддержку защиты). Ключевой момент: если организация выбирает ActiveDeterrence, то доминирующей стратегией для злоумышленника становится Pass (0 > -3). Зная это, организация может смело выбирать ActiveDeterrence, формируя устойчивое равновесие Нэша: (ActiveDeterrence, Pass). Ни одна из сторон не захочет отклониться от этой пары стратегий в одиночку.

[ИЗОБРАЖЕНИЕ: Диаграмма, показывающая матрицу 2×2 с выигрышами для Организации и Злоумышленника при разных стратегиях. Акцент на ячейке (ActiveDeterrence, Pass) как на равновесии Нэша.]

Три столпа киберсдерживания в российском контексте

Перевод этой теории в практику требует реализации трёх взаимосвязанных принципов, которые выходят за рамки базового соответствия.

1. Повышение предполагаемых затрат атакующего (Cost Imposition)

Речь не только о технических барьерах. Необходимо создать для злоумышленника ситуацию, где каждый шаг сопряжён с неопределённостью и дополнительными расходами.

  • Активная обфускация: не только скрывать критические активы (технику zero trust), но и внедрять ложные цели — honeypots, имитирующие реальные системы, но жёстко контролируемые и изолированные. Их взлом должен отнимать у атакующего время и ресурсы, не принося реального результата.
  • Сегментация с элементами неопределённости: помимо классической сетевой сегментации, периодически менять правила доступа между сегментами по случайному, но безопасному алгоритму. Это превращает внутреннюю сеть из статичной карты в «подвижный лабиринт».
  • Интеграция Threat Intelligence: автоматический сбор данных о тактиках, техниках и процедурах (TTP) актуальных групп. Это позволяет проактивно блокировать не конкретные индикаторы компрометации (IoC), которые быстро меняются, а цепочки действий, повышая стоимость подготовки новой атаки против вашей инфраструктуры.

2. Снижение предполагаемой выгоды (Benefit Denial)

Даже если атакующий преодолеет защиту, он не должен получить доступ к ценным активам в чистом виде.

  • Шифрование данных в состоянии покоя и передачи — обязательный минимум.
  • Сегментированное хранение ключей: разделение данных и ключей их дешифрования между разными, минимально связанными системами. Доступ к данным без доступа к ключам становится бесполезным.
  • Внедрение «ядров» критических данных: для самых ценных наборов данных (например, персональные данные, ноу-хау) использовать специализированные, максимально изолированные хранилища с аппаратным шифрованием и двухфакторным доступом на уровне каждой операции. Цель — сделать кражу такого «ядра» настолько сложной, что она перестаёт рассматриваться как реалистичная цель.

3. Демонстрация способности к ответным действиям (Retaliation Capability)

Это самый деликатный и юридически сложный аспект. Прямые контратаки (hack back) в российской правовой практике запрещены. Однако сдерживание работает через убеждение атакующего в том, что его действия не останутся без последствий.

  • Публичное (внутри отрасли) раскрытие TTP атакующих групп после инцидентов. Это лишает их главного инструмента — скрытности и возможности повторно использовать одни и те же методы против разных целей.
  • Тесное взаимодействие с правоохранительными органами и регулятором (ФСТЭК, Роскомнадзор) не как формальность, а как часть стратегии. Чётко отработанный процесс сбора и передачи цифровых улик повышает риски юридической ответственности для атакующих, особенно если они действуют с территории РФ.
  • Создание и поддержка системы атрибуции: внутренние или привлечённые экспертные группы, способные не просто констатировать факт взлома, а с высокой долей уверенности определить его источник и мотивацию. Само знание о наличии такой способности действует как сдерживающий фактор.

Как рассчитать порог эффективного сдерживания

Инвестиции в сдерживание не могут быть бесконечными. Необходим экономический расчёт. Упрощённая формула для определения минимально достаточного уровня затрат на сдерживание (C_deter) выглядит так:

C_deter < P_attack * L_attack

Где:

  • P_attack — субъективно оцениваемая атакующим вероятность успеха ваших мер сдерживания (от 0 до 1). Ваша задача — максимально приблизить эту оценку к 1.
  • L_attack — потенциальные потери атакующего в случае провала (затраты на атаку, упущенная выгода, юридические риски).
  • C_deter — ваши ежегодные затраты на меры активного сдерживания сверх базового соответствия.

Если C_deter меньше, чем произведение P_attack и L_attack в восприятии противника, ваша стратегия экономически эффективна. Вы тратите меньше на предотвращение, чем потенциальный агрессор — на безрезультатную попытку. Этот расчёт помогает аргументировать инвестиции перед руководством, переводя разговор из плоскости «надо выполнить требования» в плоскость «это снижает наши финансовые риски».

Ограничения и риски модели

Равновесие Нэша в киберпространстве — динамично и нестабильно.

  • Асимметрия информации: вы никогда не можете быть точно уверены в оценках и возможностях противника. Ваше ActiveDeterrence может быть воспринято как Bluff (блеф).
  • Появление новых игроков: модель с двумя участниками редко соответствует реальности. На поле действуют государственные группы, криминальные синдикаты, инсайдеры, каждый со своей матрицей выигрышей.
  • Неэкономические мотивы: для хактивистов или государственных структур, чьи цели — дестабилизация или демонстрация силы, экономическая невыгодность может не быть сдерживающим фактором. Здесь срабатывает только первый и третий столпы — максимальное увеличение затрат и гарантированная атрибуция с последствиями.

Поэтому стратегия сдерживания не заменяет, а дополняет классическую оборону. Её цель — отсечь широкий спектр экономически мотивированных угроз, чтобы сосредоточить ресурсы на противодействии более сложным и целевым атакам, где работает иная логика.

От теории к практическим шагам

  1. Аудит с позиции атакующего. Проведите пентест или Red Team exercise не для галочки, а с конкретной задачей: оценить, насколько дорого и сложно будет достичь ваших ключевых активов. Это даст оценку P_attack и L_attack из формулы выше.
  2. Определите «красные линии». Какие активы являются ядром? Какие действия злоумышленника будут считаться неприемлемыми и потребуют активации плана по демонстрации ответных действий (например, публичного раскрытия TTP)?
  3. Внедрите хотя бы одну «избыточную» технологию сдерживания. Это может быть развёртывание высокоинтерактивного honeypot в DMZ или внедрение децентрализованного хранилища ключей для наиболее критичных данных. Цель — сигнализировать о переходе от пассивной защиты к активному повышению стоимости атаки.
  4. Формализуйте процесс взаимодействия с государственными органами. Не как инцидент-ответ, а как заранее согласованный протокол обмена информацией для целей атрибуции и правового преследования.
  5. Пересматривайте стратегию каждые 6–12 месяцев. Технологии и тактики атакующих меняются. Ваша матрица выигрышей и оценка затрат должны быть актуальными.

В условиях, когда соответствие регуляторным требованиям становится лишь базовым уровнем гигиены, стратегическое преимущество получает тот, кто мыслит на шаг впереди — не в терминах барьеров, а в терминах стимулов и сдерживающих факторов. Оптимальная стратегия киберсдерживания делает вашу организацию не самой защищённой в абсолютном смысле, а самой невыгодной для атаки в относительном. Именно это равновесие, а не простое выполнение check-листов, создаёт устойчивую безопасность в долгосрочной перспективе.

Читайте нас в Telegram: https://t.me/seberd_ru

Оставьте комментарий