“Теория перспектив объясняет, почему рациональные с точки зрения цифр решения в безопасности — проигрывают. Риск — это не статистика, а субъективная история о выгодах и потерях, которую мозг рассказывает себе каждый раз, когда сталкивается с решением.”
Что такое теория перспектив и почему она важна в безопасности
В кибербезопасности решения часто принимаются на основе расчётов: вероятность инцидента умножить на потенциальный ущерб. Но когда дело доходит до выбора, люди действуют вопреки этим расчётам. Теория перспектив, разработанная психологами Даниэлем Канеманом и Амосом Тверски, объясняет эти отклонения от рациональности. Её суть — в асимметричном восприятии выгод и потерь.
Воспринимаемая ценность результата не линейна. Потеря определённой суммы субъективно ощущается сильнее, чем приобретение той же суммы. Это называется «неприятием потерь». Второй ключевой принцип — «эффект определённости»: люди склонны переоценивать гарантированные, но скромные выгоды и недооценивать вероятные, но крупные потери, если они не стопроцентны.
Эти когнитивные искажения не ошибка, а особенность работы мозга в условиях неопределённости. В контексте ИБ они формируют «слепые зоны» в оценке рисков: дорогостоящие, но вероятные угрозы игнорируются, а редкие, но эмоционально заряженные — получают непропорционально высокое внимание и финансирование.
Эффект определённости и иллюзия контроля в ИБ
Эффект определённости заставляет переплачивать за видимость полного контроля. Внедрение точечного, но понятного решения (например, антивируса на все рабочие станции) воспринимается как гарантированное снижение риска, даже если его реальная эффективность против целевых атак минимальна.
Это порождает «иллюзию контроля» — склонность верить, что набор стандартных мер создаёт непроницаемый барьер. На практике такой подход создаёт хрупкую систему: средства защиты есть, но они не адаптированы под реальные угрозы бизнесу, их взаимосвязи не проработаны.
Обратная сторона эффекта — недооценка вероятных, но не гарантированных угроз. Например, риск утечки данных из-за человеческого фактора (фишинг, ошибки конфигурации) часто отодвигается в сторону в пользу борьбы с гипотетическими хакерскими атаками нулевого дня, потому что первый кажется «неизбежным злом», а второй — драматичной, но маловероятной катастрофой.
Неприятие потерь: как оно блокирует превентивные инвестиции
Неприятие потерь — главный тормоз для превентивных инвестиций в безопасность. Расходы на внедрение DLP-системы, обучение сотрудников или пентесты воспринимаются как гарантированные потери здесь и сейчас. Потенциальный ущерб от утечки, который эти меры предотвращают, — лишь вероятная потеря в будущем. Мозг даёт первой категории субъективно больший вес.
Это приводит к парадоксальной ситуации: компания годами откладывает модернизацию устаревшей системы контроля доступа, экономя условные 2 миллиона рублей. Когда же происходит инцидент с компрометацией учётных записей, прямые и репутационные потери исчисляются десятками миллионов, не считая штрафов регулятора. В момент кризиса та же компания готова потратить любые суммы на ликвидацию последствий — потому что потери стали реальными и ощутимыми.
Такой подход создаёт цикл «реагирования, а не предотвращения», где бюджет безопасности расходуется по остаточному принципу до инцидента и экстренно наращивается после него.
Ошибка изоляции и как она искажает приоритеты
При оценке вариантов люди склонны рассматривать их изолированно, вне общего контекста, — это «ошибка изоляции». В ИБ это проявляется при выборе средств защиты: решение оценивается по его заявленным характеристикам, а не по тому, как оно впишется в существующую архитектуру и покроет конкретные риски бизнеса.
Например, при выборе SIEM-системы фокус смещается на сравнение количества поддерживаемых форматов логов или готовых корреляционных правил. Более важные вопросы — кто и как будет анализировать алерты, как система интегрируется с процессами реагирования, какие ресурсы потребуются на её содержание — часто остаются на втором плане. В результате приобретается мощный, но не используемый на полную потенциал инструмент, создающий иллюзию защищённости.
Тот же принцип работает при планировании: выделяется бюджет на «затыкание дыр», выявленных последним аудитом, без анализа системных слабостей и долгосрочной стратегии. Риски рассматриваются по отдельности, а не как взаимосвязанная сеть угроз.
Рамки принятия решений: как формулировка меняет выбор
Теория перспектив показывает, что один и тот же выбор, представленный в разных «рамках», воспринимается по-разному. «Рамка выигрыша» (акцент на сохранении активов) и «рамка потерь» (акцент на избегании ущерба) приводят к противоположным решениям.
| Ситуация | Рамка выигрыша | Рамка потерь | Вероятный выбор |
|---|---|---|---|
| Внедрение многофакторной аутентификации | «Защитите доступ к критическим системам от несанкционированного вмешательства» | «Избежите компрометации учётных записей и последующих убытков» | В рамках потерь воспринимается как более срочная и необходимая мера. |
| Выделение бюджета на обучение сотрудников | «Повысьте осведомлённость персонала и культуру безопасности» | «Сократите количество инцидентов, вызванных человеческим фактором, на X%» | Формулировка через конкретное снижение потерь чаще находит поддержку у руководства. |
Для специалистов по безопасности это значит, что презентуя инициативы, эффективнее использовать «рамку потерь», говоря на языке предотвращаемого ущерба, а не абстрактного повышения уровня защиты.
Как применять эти принципы на практике
Понимание теории перспектив не отменяет необходимость риск-ориентированного подхода, но позволяет дополнить его, учитывая человеческий фактор в принятии решений.
- Переводите риски в «рамку потерь». Вместо «риск утечки данных составляет 20%» используйте формулировки: «с вероятностью 20% мы потеряем N миллионов рублей из-за штрафов, судебных издержек и потери клиентов». Конкретные, измеримые потенциальные потери воспринимаются острее.
- Дробите крупные превентивные инвестиции. Большой единовременный расход — это гарантированная потеря. Предложите поэтапный план внедрения с видимыми промежуточными результатами после каждого этапа. Это превращает потерю в серию меньших, более приемлемых шагов, каждый из которых приносит ощутимую выгоду (повышение уровня зрелости, закрытие конкретных уязвимостей).
- Используйте эффект определённости в свою пользу. Предлагайте решения, которые дают быстрый и понятный результат по конкретному, значимому риску. Например, внедрение контроля привилегий для администраторов сначала в самой критичной системе. Успех этого пилота станет аргументом для масштабирования.
- Говорите на языке бизнеса, а не технологий. Связывайте меры безопасности не с техническими показателями (количество заблокированных атак), а с бизнес-целями: обеспечение непрерывности работы, сохранение репутации, выполнение требований контрактов.
Ограничения и этические аспекты
Использование знаний о когнитивных искажениях несёт не только практическую пользу, но и ответственность. Цель — не манипулировать, а создавать прозрачную и понятную систему аргументации, которая помогает преодолеть естественные барьеры в восприятии рисков.
Важно не скатываться в «менеджмент страхом», постоянно акцентируя лишь апокалиптические сценарии. Это приводит к выгоранию сотрудников, принятию необдуманных решений под давлением и формированию токсичной культуры, где безопасность воспринимается как помеха, а не элемент бизнес-процесса.
Баланс заключается в объективной демонстрации рисков, их реалистичных последствий и выгод от их смягчения. Теория перспектив — это инструмент для построения моста между технической оценкой угроз и человеческим механизмом принятия решений.