«Классическая теория игр предлагает строгие, но порой оторванные от жизни модели. В реальных решениях, будь то поведение пользователя в корпоративной сети или выбор средств защиты, мы имеем дело с ограниченной рациональностью. Понимание этих границ — ключ к созданию более эффективных систем, будь то моделирование угроз или проектирование регуляторных требований, где нельзя полагаться на математический идеал».
От идеальной рациональности к ограниченной
Классическая теория игр построена на фундаменте «полной рациональности». Это означает, что все игроки обладают безграничными вычислительными способностями, абсолютной памятью и последовательны в своих предпочтениях. Такая модель порождает изящные решения вроде равновесия Нэша, но имеет один принципиальный изъян — она игнорирует реальные когнитивные ограничения человека или даже сложной информационной системы. Ни один администратор безопасности, архитектор системы или потенциальный нарушитель не обладает бесконечными ресурсами времени и внимания для анализа всех возможных стратегий и их последствий.
Что такое ограниченная рациональность в контексте ИБ и регуляторики
Ограниченная рациональность, это не глупость, а адаптация к сложному миру при наличии физических и когнитивных ограничений. В области информационной безопасности и выполнения требований регуляторов это проявляется в нескольких ключевых аспектах.
Когнитивная нагрузка и «сатисфайсинг»
Специалисты по ИБ или разработчики, выполняющие требования 152-ФЗ или ФСТЭК, редко ищут оптимальное, идеальное решение. Вместо этого они ищут «достаточно хорошее» — то, что удовлетворит основные критерии и требования в разумные сроки. Выбор средства защиты, например, происходит не из всестороннего сравнения всех продуктов на рынке, а на основе нескольких известных вариантов, рекомендаций и прошлого опыта. Это принцип «сатисфайсинга»: остановиться на первом варианте, который пересекает определённый порог приемлемости.
Эвристики и паттерны поведения
Ограниченность ресурсов заставляет игроков использовать эвристики — упрощённые правила принятия решений. В ИБ это может быть:
- Эвристика доступности: уделять больше внимания угрозам, о которых недавно писали в новостях.
- Эвристика репрезентативности: считать атаку похожей на уже известную, даже если она таковой не является.
- Привязка к первоначальным данным: например, начальный бюджет на проект ИБ часто становится якорем для всех последующих переговоров.
В моделировании нарушителя понимание этих эвристик важнее, чем предположение о его идеальной рациональности. Нарушитель с большей вероятностью будет использовать известный уязвимости, путь которых ему знаком, чем разрабатывать принципиально новую атаку.
Влияние среды и архитектуры выбора
Среда, в которой принимается решение, сама по себе ограничивает рациональность. Сложные, запутанные интерфейсы систем безопасности, неструктурированные требования регуляторов или отсутствие понятной метрики успеха — всё это снижает качество принимаемых решений. Теория игр с ограниченной рациональностью учитывает, что итог игры зависит не только от намерений игроков, но и от «архитектуры выбора», в которую они помещены. Проектируя эту архитектуру (например, создавая понятные формы отчётности или стандартные операционные процедуры), можно направлять решения в нужное русло без прямого принуждения.
Модели для анализа: квантовая реакция и QRE
Одним из наиболее практичных инструментов для работы с ограниченной рациональностью в теории игр является модель квантовой реакции. В её основе — простое допущение: игроки склонны ошибаться, причём вероятность выбора той или иной стратегии тем выше, чем больше её ожидаемая полезность.
В классической модели игрок всегда выбирает стратегию с максимальной полезностью. В модели QRE он может выбрать и худшую, но с меньшей вероятностью. Параметр точности модели определяет, насколько решения приближены к идеально рациональным: при нулевой точности выбор случайный, при бесконечной — мы возвращаемся к классическому равновесию Нэша.
Это не просто математическая абстракция. Представьте модель взаимодействия между аудитором (проверяющим) и администратором системы (проверяемым). Администратор может либо качественно подготовить систему к проверке, либо сделать это формально. Аудитор может провести глубокий аудит или поверхностный. В классической модели мы бы искали равновесие, где никто не хочет менять стратегию. В модели с ограниченной рациональностью мы можем смоделировать, что администратор иногда ошибается и делает формальную подготовку, даже когда это невыгодно, а аудитор — проводит поверхностную проверку, не заметив нарушений. QRE позволяет количественно оценить эти вероятности, что гораздо ближе к реальности, где перфекционизм встречается редко.
Применение в ИБ: моделирование угроз и проектирование защиты
Традиционное моделирование угроз часто предполагает рационального, целеустремлённого противника, выбирающего наиболее эффективный вектор атаки. Теория игр с ограниченной рациональностью предлагает более реалистичный подход.
Профилирование нарушителя с учётом его ограничений
Нарушитель — не всеведущий гений. У него ограничены время, вычислительные ресурсы, знания о конкретной системе и даже терпение. Его модель угроз должна включать эти параметры. Например, нарушитель с низким уровнем ресурсов с большей вероятностью будет использовать скрипт-кидди атаки или социальную инженерию, а не разрабатывать zero-day уязвимость. Защита, построенная с учётом этого, будет фокусироваться не только на самых сложных угрозах, но и на наиболее вероятных, исходя из профиля нарушителя.
Проектирование систем, устойчивых к человеческим ошибкам
Поскольку пользователи и администраторы действуют в условиях ограниченной рациональности, они будут совершать ошибки: использовать простые пароли, пропускать обновления, нажимать на подозрительные ссылки. Система информационной безопасности, построенная по принципам классической теории игр (где игрок всегда выбирает оптимальную защиту), окажется уязвимой. Нужно проектировать защиту, которая минимизирует последствия неизбежных ошибок: принцип наименьших привилегий, сегментацию сети, автоматическое применение политик, двухфакторную аутентификацию. Это создаёт «архитектуру выбора», где даже при ошибочном действии ущерб будет локализован.
Ограниченная рациональность и регуляторные требования
Требования таких регуляторов, как ФСТЭК или положения 152-ФЗ, по своей природе являются попыткой структурировать хаос. Но и их восприятие, и исполнение проходят через призму ограниченной рациональности всех участников.
- Для регулятора: Невозможно предусмотреть все возможные сценарии атак и уязвимости. Поэтому требования часто формулируются в виде принципов или минимальных необходимых мер. Это не недостаток, а осознанная адаптация к ограниченности знаний о будущих угрозах.
- Для проверяемой организации: Выполнение требований часто сводится к «чек-листовому» подходу — сделать то, что явно прописано, чтобы пройти проверку, а не к построению целостной системы защиты. Это типичный пример «сатисфайсинга» в условиях ограниченных бюджетов и дедлайнов.
- Для аудитора: Проверка на соответствие тоже ограничена по времени и глубине. Это порождает игру, где проверяемая организация стремится показать формальное соответствие, а аудитор ищет явные отклонения, используя известные шаблоны проверок.
Понимание этой динамики позволяет выйти за рамки формального соответствия. Например, можно проектировать систему защиты так, чтобы ключевые доказательства её работоспособности были очевидны и легко проверяемы, снижая когнитивную нагрузку на аудитора и повышая вероятность положительного исхода проверки.
Итог: практическая ценность подхода
Теория игр с ограниченной рациональностью не опровергает классическую, а расширяет её, добавляя в уравнения человеческий фактор и реальные ограничения. Её практическая ценность для специалистов в области ИТ и информационной безопасности заключается в смещении фокуса с поиска идеальных, математически выверенных решений на проектирование устойчивых систем и процессов, которые будут эффективно работать в условиях неполной информации, нехватки времени и неизбежных ошибок.
Этот подход заставляет задавать другие вопросы. Не «Какой вектор атаки самый эффективный?», а «Какой вектор атаки самый вероятный для нарушителя с данными ресурсами и знаниями?». Не «Соответствуем ли мы всем требованиям идеально?», а «Достаточно ли наша система защищена и доказуема для прохождения проверки в реальных условиях?». Ответы на эти вопросы, учитывающие границы рациональности, часто оказываются и более реалистичными, и более полезными для построения настоящей, а не бумажной, безопасности.