Фрейминг рисков: как говорить о безопасности, чтобы вас услышали

от

«Ошибка многих специалистов по ИБ — считать, что риски передаются сами собой, как цифры в таблице. Между ними и решением стоит толстый слой психологии. Лучшие риски не те, что посчитаны, а те, что поняты и повлияли на поведение.»

Почему специалист по ИБ должен разбираться в фрейминге

В российской регуляторике, особенно в рамках 152-ФЗ и требований ФСТЭК, создание и актуализация моделей угроз и нарушителей — формализованный процесс. Специалист засыпает ответственных лиц таблицами, где угрозам присвоены веса, рассчитаны вероятности, описаны уязвимости. Однако после этого возникает проблема: заказчик или руководство не понимают смысла этих таблиц, не принимают предлагаемые дорогостоящие меры защиты и продолжают мыслить в категориях «у нас же антивирус стоит». Причина не в отсутствии у них технических знаний, а в том, что риски представлены на языке эксперта, а не на языке лица, принимающего решение (ЛПР).

Фрейминг, или фрейминг рисков,, это техника упаковки и подачи информации о рисках. Это выбор слов, контекста, сравнений и формата, который определяет, как аудитория воспримет угрозу. Один и тот же риск, описанный как «вероятность утечки данных 0.5%» и как «каждый месяц один из наших клиентов теряет свои персональные данные из-за этой дыры», вызовет абсолютно разную реакцию. Первое — абстрактная цифра. Второе — конкретная, эмоционально окрашенная история.

В ИБ фрейминг выходит за рамки простой коммуникации. Это инструмент управления ресурсами. Эффективный фрейминг может убедить бизнес выделить бюджет на SOC вместо покупки дополнительных лицензий на софт, который технически менее эффективен, но лучше «продаётся». Неэффективный фрейминг приводит к тому, что реальные риски игнорируются, а ресурсы тратятся на защиту от второстепенных угроз только потому, что о них громче говорят.

Психологические основы: почему мы не объективны в оценке рисков

Восприятие риска человеком сильно искажено рядом эвристик — ментальных сокращений, которые мозг использует для быстрой оценки ситуации. Их знание — ключ к построению эффективного сообщения.

  • Эвристика доступности. Риски, о которых чаще и ярче говорят (взломы крупных компаний в новостях), воспринимаются как более вероятные, чем те, статистика которых выше, но они менее заметны (например, инсайдерские утечки из-за халатности). В ИБ это значит, что после громкого инцидента в отрасли проще получить финансирование на защиту от аналогичных атак, даже если внутренняя статистика говорит о других приоритетах.
  • Эффект привязки. Первая полученная информация (якорь) влияет на все последующие оценки. Если в презентации сразу указать ущерб от возможного инцидента в сотнях миллионов рублей, то предложение о внедрении системы за несколько десятков миллионов будет воспринято как разумная экономия, а не как затрата.
  • Неприятие потерь. Психологическая боль от потери чего-либо примерно в два раза сильнее, чем удовольствие от приобретения того же самого. Сообщение «вы избежите ущерба в N миллионов» работает лучше, чем «вы сэкономите N миллионов на возможных штрафах». Первое акцентирует избегание потери, второе — получение выгоды.
  • Иллюзия контроля. Люди склонны переоценивать свою способность влиять на события, особенно если они технически подкованы. ЛПР в IT-компании может считать, что его команда «на шаре» и избежит атаки. Сообщение о риске должно аккуратно разрушать эту иллюзию, не задевая профессиональную гордость, например, через сравнение с аналогичными по уровню командами, которые всё же пострадали.

Фреймы, которые работают в ИБ

Существует несколько проверенных способов упаковки информации о рисках, адаптированных под задачи информационной безопасности.

Рамка последствий vs. рамка вероятности

Если риск с высокой серьёзностью последствий, но низкой вероятностью (например, целенаправленная атака APT), фокусироваться на вероятности — проигрышная стратегия. ЛПР отмахнётся: «Это маловероятно». Эффективнее описывать последствия в деталях: «При успешной реализации угрозы T1490 (Inhibit System Recovery) мы потеряем возможность восстановить работу ключевых сервисов на срок от 72 часов. Это означает остановку онлайн-продаж, нарушение SLA с ключевыми клиентами и прямой финансовый ущерб в размере X рублей в час. Для злоумышленника такая атака — один из стандартных шагов после получения доступа». Здесь риск увязан с бизнес-процессами и денежными потоками, а не с абстрактной техникой атаки.

Фрейминг через потерю репутации

Для многих российских компаний, особенно работающих с госсектором или персональными данными, репутационные риски часто весомее прямых штрафов по 152-ФЗ. Вместо сухого «нарушение статьи 13.11 КоАП» можно использовать формулировку: «Утечка баз данных клиентов приведёт к публикации информации на известных сливных форумах. Это станет достоянием отраслевых СМИ и конкурентов. Восстановление доверия клиентов потребует не менее 12–18 месяцев и многомиллионных затрат на PR-кампанию, при том что клиентская база может сократиться на Y%». Такой фрейм говорит на языке собственника бизнеса.

Сравнительный фрейминг (аналогии)

Сравнение с бытовыми или понятными в бизнес-среде рисками делает техническую угрозу осязаемой. Пример: «Отсутствие сегментации сети, это как хранить все ценности компании, от наличности в сейфе до печатей и ключей от офисов, в одном коридоре. Достаточно злоумышленнику проникнуть в этот коридор (получить доступ к одной рабочей станции), чтобы получить доступ ко всему». Или: «Запуск непроверенного ПО с правами администратора аналогично тому, как отдать ключи от всего склада водителю-разносчику пиццы только потому, что у него есть форма курьера». Важно, чтобы аналогия была точной и не вызывала отторжения своей примитивностью.

Структура эффективного сообщения о риске

Для оперативной коммуникации, особенно в условиях инцидента или при обосновании бюджета, можно использовать простую структуру из четырёх блоков.

  1. Суть в одном предложении (на языке бизнеса). Начинать нужно не с номера угрозы по ФСТЭК, а с понятной формулировки. «Мы рискуем не выполнить контракт с ключевым госзаказчиком из-за возможного простоя ИТ-систем».
  2. Конкретные последствия. Чем детальнее, тем лучше. Разбить на категории: финансовые (штрафы, простой, затраты на восстановление), операционные (остановка производства, нарушение сроков), репутационные (публикация в СМИ, потеря клиентов), регуляторные (проверки Роскомнадзора, ФСТЭК).
  3. Правдоподобный сценарий. Кратко, но связно описать, как это может произойти. «Сотрудник откроет фишинговое письмо -> злоумышленник установит бекдор -> переместится по сети к серверам 1С -> зашифрует базы данных». Это превращает абстрактный риск в нарратив.
  4. Предлагаемое действие и его стоимость. Чётко связать меру защиты с описанным риском. «Внедрение изолированного сегмента для финансовых систем за 1.2 млн рублей предотвратит сценарий перемещения злоумышленника к серверам 1С даже в случае компрометации рабочей станции в общем сегменте».

Что не работает: типичные ошибки ИБ-специалистов

Существует ряд подходов, которые кажутся логичными техническому специалисту, но проваливаются при коммуникации с бизнесом.

  • Запугивание апокалиптическими сценариями без правдоподобия. Фразы вроде «нас могут уничтожить за один день» вызывают не мобилизацию, а когнитивный диссонанс и недоверие. Если бы всё было так серьёзно, почему компания до сих пор жива? Риск должен быть реалистичным.
  • Использование только технического жаргона. CVE, CVSS, MITRE ATT&CK, TTPs, это внутренний язык для экспертов. Его использование при общении с ЛПР создаёт барьер и демонстрирует неумение специалиста говорить на языке бизнеса.
  • Обвинительный тон. «Из-за того что вы не утвердили бюджет на DLP, у нас нет контроля над инсайдерами». Такая подача заставляет собеседника занять оборонительную позицию. Эффективнее: «Анализ инцидентов в отрасли показывает, что основные утечки происходят через каналы, которые контролируются DLP-системами. Для снижения этого риска в нашей модели угроз предлагается рассмотреть следующий вариант…».
  • Представление рисков изолированно. Сообщение о риске должно быть увязано с бизнес-целями компании. Риск «несанкционированный доступ к серверу» сам по себе ничего не значит. Риск «несанкционированный доступ к серверу, что может привести к изменению данных о госконтрактах и, как следствие, к судебным разбирательствам и отзыву лицензии», это уже аргумент.

Практика: адаптация сообщения под аудиторию

Один и тот же риск нужно фреймировать по-разному для технического директора, финансового директора и генерального директора.

Аудитория Ключевые интересы Пример фрейма для риска «Отсутствие резервного ЦОД»
Технический директор / Руководитель IT Стабильность, SLA, сложность восстановления, ресурсы команды. «При отказе основного дата-центра время восстановления (RTO) для критичных ERP и CRM-систем составит 24+ часа из-за необходимости развёртывания инфраструктуры с нуля. Это превышает допустимый SLA для внутренних сервисов в 4 раза. Команде потребуется работать в авральном режиме, что повысит риск человеческой ошибены при восстановлении.»
Финансовый директор Прямые финансовые потери, штрафы, бюджет, ROI. «Простой ключевых систем на 24 часа в результате отказа ЦОД приведёт к прямому финансовому ущербу от простоя в размере ~Z рублей в день (расчёт прилагается). Кроме того, это создаст риск неустойки по договорам с клиентами K и L. Годовые затраты на аренду и поддержку резервного сегмента составят N рублей, что в 15 раз меньше потенциального ущерба от одного инцидента.»
Генеральный директор / Собственник Репутация, выполнение стратегических обязательств, непрерывность бизнеса, ответственность. «Отказ ИТ-инфраструктуры оставит наших ключевых госзаказчиков без возможности работы с нами в течение суток. Это поставит под срыв выполнение госконтракта №XXX, что, согласно договору, может стать основанием для его расторжения и внесения компании в реестр недобросовестных поставщиков. Резервный ЦОД, это страховка стратегической устойчивости бизнеса.»

Интеграция фрейминга в процессы регуляторики

Фрейминг, это не разовая акция для презентации. Его принципы можно и нужно встраивать в ежедневные процессы, предписанные 152-ФЗ и документами ФСТЭК.

  • Модель угроз. Помимо технического описания угрозы из Банка данных ФСТЭК, для каждой критичной позиции добавляйте краткую аннотацию на бизнес-языке: «Чем это грозит бизнесу?». Эта аннотация станет готовым фреймом для будущих коммуникаций.
  • Отчёты о результатах СОВ. Вместо сухого перечня уязвимостей с уровнем опасности, группируйте их по бизнес-рискам. Не «Обнаружено 5 уязвимостей Critical на WEB-серверах», а «Обнаружены уязвимости, позволяющие удалённо получить контроль над серверами, ответственными за онлайн-оплату. Их эксплуатация может привести к…».
  • Регламенты и политики. Даже внутренние документы будут лучше исполняться, если их преамбула объясняет «почему это важно» не цитатой из закона, а через последствия для сотрудника и компании. Например, в политике парольной безопасности: «Слабый пароль, это ключ, который может подойти к дверям коллег. Его компрометация может привести к утечке вашей переписки и личной ответственности за инцидент».

В итоге, мастерство фрейминга превращает специалиста по ИБ и регуляторике из поставщика пугающих цифр в стратегического советника. Риск, правильно упакованный и донесённый, перестаёт быть проблемой технического отдела и становится понятной бизнес-задачей, решение которой — в зоне ответственности всего руководства. Это меняет расстановку сил: вместо того чтобы «выбивать» бюджет, вы формируете спрос на безопасность. И это именно то, чего требует современная регуляторика — не формальное закрытие чек-листов, а осознанное управление рисками.

Оставьте комментарий