Мы защищаем не компьютеры, а организации, которыми управляют люди. Самая надёжная уязвимость, это наш собственный мозг, его паттерны и ошибки. Защита часто проигрывает не потому, что атака слишком изощрённая, а потому, что мы не замечаем очевидного.
Психические паттерны на службе защиты
Mental models, или ментальные модели,, это упрощённые представления о том, как устроен и работает сложный мир. В кибербезопасности без них не обойтись: ни один специалист не держит в голове все векторы атак, архитектуру всех систем и каждый пункт регуляторных требований. Вместо этого мы пользуемся наборами шаблонов: «цепочка кибератаки», «модель нарушителя», «принцип наименьших привилегий», «многослойная защита».
Эти модели помогают быстро принимать решения. Увидев в логах подозрительный вход с непривычного IP, вы мысленно сверяетесь с моделью «сценарий компрометации учётной записи» и запускаете процедуру реагирования. Но в этом же кроется и главная ловушка. Мозг, привыкший экономить энергию, стремится всё упростить и подогнать под знакомые шаблоны, что порождает когнитивные искажения — систематические ошибки мышления, которые искажают наше восприятие реальности, оценку рисков и принятие решений.
Почему мы не замечаем угрозы: главные искажения в SOC и при аудите
Ошибки, связанные с безопасностью, редко возникают на пустом месте. Часто их корни — в том, как устроено наше мышление.
Эффект подтверждения (Confirmation Bias)
Мы бессознательно ищем и переоцениваем информацию, которая подтверждает наши существующие убеждения или гипотезы, и игнорируем ту, что им противоречит. В SOC это выглядит так: аналитик, убеждённый, что инцидент, это ложное срабатывание, будет тратить время на поиск доказательств именно этой версии, упуская из виду слабые, но верные сигналы реальной атаки. При аудите соответствия 152-ФЗ аудитор, изначально считающий систему защищённой, может не придать значения незначительному, но критичному отклонению в настройках СЗИ.
Эвристика доступности (Availability Heuristic)
Мы оцениваем вероятность события по тому, насколько легко нам приходят на ум похожие примеры. Если в организации недавно был крупный инцидент с фишингом, следующие полгода все риски будут оцениваться через призму «фишинговой угрозы». При этом реальные, но менее «громкие» риски, например, связанные с инсайдерами или уязвимостями в legacy-коде бизнес-приложений, будут недооцениваться. После громких новостей об атаках на определённое ПО все кидают силы на его обновление, забывая про базовую гигиену.
Слепое пятно в отношении предвзятости (Bias Blind Spot)
Пожалуй, самое коварное искажение: мы легко замечаем когнитивные ошибки у других, но считаем себя от них immune. «Коллега проглядел индикатор потому, что невнимателен, а я — потому, что в тот день было слишком много алертов». Это создаёт иллюзию объективности и мешает внедрять процессы, которые компенсируют человеческий фактор: перекрёстную проверку, чек-листы, процедуры принятия решений.
Когнитивные ловушки в управлении рисками и работе с регуляторами
Процессы, которые должны быть максимально формализованными и объективными, тоже подвержены влиянию психических паттернов.
Иллюзия контроля (Illusion of Control)
Руководители и архитекторы безопасности переоценивают степень своего контроля над сложными системами. Установка дорогой DLP-системы или сертифицированного по требованиям ФСТЭК межсетевого экрана создаёт ощущение, что угроза утечек данных или несанкционированного доступа взята под полный контроль. Это приводит к недофинансированию «скучных» направлений вроде обучения сотрудников или регулярного анализа прав доступа, потому что кажется, что главная проблема уже решена.
Искажение в пользу статус-кво (Status Quo Bias)
Сопротивление изменениям — не всегда следствие лени или бюрократии. Часто это глубокая когнитивная предрасположенность оставлять всё как есть. Переход на новую систему управления паролями, миграция инфраструктуры с устаревшей, но привычной ОС, пересмотр укоренившихся, но неэффективных политик безопасности — все эти действия требуют ментальных усилий и несут неочевидные риски. Мозг предпочитает известные, пусть и высокие, риски неизвестным. Это прямо противоречит динамичной природе угроз.
Эффект якоря (Anchoring Effect)
Первая полученная информация (якорь) сильно влияет на все последующие оценки. Если при обсуждении бюджета на ИБ первым звучит большая сумма от вендора, все остальные предложения будут невольно сравниваться с ней. Если первое расследование инцидента указало на конкретного сотрудника, все дальнейшие версии будут отталкиваться от этого «якоря», даже если появятся свидетельства в пользу внешней атаки. При согласовании документов с регулятором первая трактовка нормы часто становится доминирующей и не подвергается сомнению.
Как противостоять: тактика для команды и процессов
Осознание проблемы — первый шаг, но недостаточный. Нужны практические методы, встроенные в ежедневную работу.
| Искажение | Проявление в ИБ | Способ противодействия |
|---|---|---|
| Эффект подтверждения | Аналитик ищет доказательства только своей первоначальной гипотезы об инциденте. | Внедрить обязательный этап «красной команды» в расследовании: один член команды должен целенаправленно искать доказательства альтернативной версии событий. |
| Эвристика доступности | Завышенное внимание к недавним или медийным угрозам в ущерб системным рискам. | Использовать формализованные методики оценки рисков (например, на основе стандартов), где вероятность и ущерб оцениваются по объективным критериям, а не по памяти. Регулярно обновлять матрицы угроз. |
| Иллюзия контроля | Переоценка защищённости после внедрения «волшебной» технологии. | Проводить регулярные тесты на проникновение и аудиты безопасности, фокусируясь не на проверке наличия средств защиты, а на поиске способов их обхода. Принцип «доверяй, но проверяй». |
| Искажение в пользу статус-кво | Нежелание менять устаревшие, но работающие процессы и технологии. | Внедрить практику регулярного, запланированного пересмотра архитектур и политик (например, раз в год). Сравнивать стоимость поддержки legacy-решения (включая скрытые риски) со стоимостью модернизации. |
Культура психологической безопасности
Слепое пятно в отношении предвзятости невозможно победить в одиночку. Требуется среда, где безопасно указывать на возможные ошибки в рассуждениях коллег. Фразы вроде «а давай посмотрим на это с другой стороны» или «какие доказательства говорят против нашей текущей версии?» должны стать нормой в обсуждениях инцидентов и архитектурных решений.
Протоколы и чек-листы
Человеческую память и внимание нельзя полагаться полностью. Критические решения — например, о присвоении классификации инциденту, о разблокировке учётной записи по звонку, о согласовании исключения в политике — должны приниматься по формализованным протоколам с обязательными проверочными вопросами, отсекающими импульсивные реакции.
Ментальные модели как инструмент, а не истина
Конечная цель — не избавиться от mental models и когнитивных искажений, что невозможно. Задача — осознанно управлять ими. Хорошая ментальная модель, как карта местности, полезна, но её нужно постоянно сверять с реальностью и обновлять. Понимание собственных когнитивных ловушек превращает их из скрытого врага в известный фактор риска, который можно учитывать при построении процессов.
Защита строится не на идеальных людях, а на продуманных системах, которые компенсируют человеческую природу. Самый важный объект защиты в этой системе — качество мышления команды безопасности.