Безопасность в киберпространстве, это иллюзия, которую мы принимаем за норму, пока не сталкиваемся с последствиями её отсутствия. Мы платим за антивирусы и настраиваем межсетевые экраны, думая, что защищаемся, но на самом деле лишь создаём минимальный барьер в системе, где уязвимость одного ведёт к поражению всех. Главная проблема не в вирусах, а в том, что кибербезопасность работает как общественное благо: её потребляет каждый, но поддерживать в одиночку невозможно, а выгода от бездействия — сиюминутная и разрушительная.
Что такое общественное благо и как оно связано с безопасностью
Экономика определяет общественное благо через два свойства: неисключаемость и неконкурентность. Первое означает, что если благо предоставлено одному, его нельзя отказать другим. Уличное освещение, национальная оборона, чистота воздуха — если они есть, их потребляют все в зоне действия, независимо от взносов. Второе свойство — потребление благо одним не уменьшает его доступность для других. Радиосигнал — классический пример.
Кибербезопасность инфраструктуры, особенно на уровне сетей и критических сервисов, ведёт себя похожим образом. Когда интернет-провайдер внедряет систему фильтрации DDoS-атак на уровне своей сети, он защищает не только своих платящих клиентов, но и всех, кто обменивается с ними трафиком. Безопасность операционной системы, обнаруживающей и блокирующей уязвимость нулевого дня, повышает устойчивость всей экосистемы, даже для тех, кто эту ОС не использует. Однако здесь есть важная оговорка: цифровая безопасность не является чистым общественным благом. Она обладает свойствами сетевого эффекта и позитивного внешнего эффекта, но её можно сделать частично исключаемой (платные решения, закрытые API) и конкурентной (ресурсы специалистов конечны). Эта гибридная природа и порождает основные проблемы.
Эффект безбилетника: почему выгодно не платить
Проблема «безбилетника» возникает там, где выгоду от общественного блага можно получить, не неся за него затрат. В контексте безопасности это проявляется повсеместно.
- Обновления ПО и ответственность вендоров. Пользователи откладывают установку критических патчей, полагаясь на то, что «остальные обновятся, и угроза снизится». Вендоры, в свою очередь, иногда скрывают информацию об уязвимостях, чтобы избежать репутационных издержек и затрат на срочный выпуск фикса, перекладывая риски на сообщество.
- Коллективное реагирование на инциденты. Многие компании, особенно небольшие, не вкладываются в собственный SOC или threat intelligence, ожидая, что информация об атаках и IoC будет публиковаться крупными игроками или государственными CERTами бесплатно. Они пользуются результатами чужой работы, не делясь своими данными в ответ.
- Безопасность цепочек поставок. Разработчик библиотеки с открытым исходным кодом поддерживает её безопасность на свой энтузиазм или спонсорские взносы. Тысячи компаний включают эту библиотеку в свои коммерческие продукты, получая выгоду от её надежности, но не возвращая в проект ни ресурсов, ни финансирования.
Рациональное экономическое поведение отдельного участника подсказывает ему минимизировать издержки. Если безопасность отчасти «производится» другими, логично сэкономить на собственных мерах. Но когда так думают все, производство общественного блага — то есть общий уровень защищённости — стремится к нулю.
Проблема коллективных действий: кто должен действовать первым
Даже когда участники осознают необходимость совместных усилий, они сталкиваются с дилеммой координации. Безопасность требует единых стандартов, протоколов обмена данными и правил игры. Но чей стандарт станет основным? Кто понесёт первоначальные и, зачастую, наибольшие издержки по его внедрению?
Рассмотрим создание отраслевого ISAC (Information Sharing and Analysis Center) — центра обмена информацией об угрозах. Преимущества от его работы получат все участники рынка. Однако первые инициаторы сталкиваются с высокими барьерами: юридические риски, связанные с обменом конфиденциальными данными об инцидентах; затраты на создание доверенной площадки; опасения, что конкуренты получат больше выгоды. В результате проект может годами оставаться на стадии обсуждений, пока не появится внешний катализатор — масштабная атака на всю отрасль или жёсткое требование регулятора.
Другой пример — переход на безопасные протоколы связи (например, с TLS 1.2 на TLS 1.3). Это повышает безопасность всего интернета. Но для владельцев устаревших клиентских приложений или парка IoT-устройств миграция связана с затратами и риском потерять часть аудитории. Они будут откладывать переход, пока достаточное число других игроков не сделает это, создав де-факто новый стандарт.
Это не просто техническая сложность, а классическая проблема коллективных действий: максимальная выгода достигается при всеобщем участии, но индивидуальный интерес каждого — подождать, пока другие начнут действовать.
Государство как «производитель» безопасности и ловушка централизации
Классическое экономическое решение проблем общественных благ — вмешательство государства. Оно может принудительно собрать «платежи» (налоги, штрафы за несоответствие) и централизованно обеспечить производство блага. В России эту роль во многом выполняют регуляторы, такие как ФСТЭК России, и законодательство в лице 152-ФЗ о персональных данных и 187-ФЗ о безопасности КИИ.
Они устанавливают обязательные к исполнению требования (защитные меры, аттестация объектов), создавая базовый уровень безопасности для критически важных объектов. Это попытка преодолеть проблему безбилетника на ключевых направлениях: если ты работаешь в регулируемой области, ты не можешь отказаться от инвестиций в ИБ.
Однако здесь кроется ловушка. Государственное регулирование часто фокусируется на формальном соответствии — на наличии предписанных документов, сертифицированных средств защиты, отчётности. Это создаёт «коробочную» безопасность, которая может быть слабо связана с реальными, динамично меняющимися угрозами. Компании выполняют минимум для прохождения проверки, а не для повышения своей устойчивости. Происходит подмена цели: не безопасность как таковая, а выполнение регуляторных требований становится ключевым драйвером затрат. Это новый вид проблемы коллективных действий, где все участники заинтересованы в сохранении предсказуемого, хоть и не всегда эффективного, статус-кво.
Рынок и технология: несовершенные решения
Может ли рынок сам решить эти проблемы? Частично. Появляются модели, которые пытаются интернализировать внешние эффекты безопасности.
- Киберстрахование. Страховые компании, оценивая риски, начинают требовать от клиентов соблюдения определённых стандартов безопасности (например, наличия MFA, регулярного пентеста) как условие для получения полиса или низкой ставки. Это создаёт финансовый стимул для инвестиций в ИБ, который проще измерить, чем предотвращённый ущерб.
- Платформы Bug Bounty. Они монетизируют поиск уязвимостей, превращая потенциальных злоумышленников или независимых исследователей в легальных поставщиков услуг по безопасности. Однако такие программы по-прежнему доступны в основном крупным компаниям.
- Атрибуция атак и репутационные риски. Способность сообщества (например, через CERTы или группы аналитиков) публично атрибутировать сложные атаки к определённым группам или государствам-спонсорам создаёт политические и репутационные издержки для агрессоров. Это меняет расчёт стоимости атаки, но является крайне сложным коллективным действием, требующим беспрецедентного уровня доверия и координации между частными компаниями и государствами.
Технологии вроде блокчейна предлагают децентрализованные модели доверия и координации, но они сами по себе не решают социально-экономическую проблему мотивации. Можно создать идеальную систему для безопасного обмена индикаторами компрометации, но нельзя заставить компании делиться самыми ценными из них.
Что остаётся в сухом остатке
Понимание кибербезопасности как проблемы общественного блага и коллективных действий снимает розовые очки. Становится ясно, почему даже при обилии технологий и регуляторов общий ландшафт не становится радикально безопаснее.
- Не ждите, что другие решат проблему за вас. Инвестиции в собственную безопасность, это не только защита себя, но и вклад в общую устойчивость экосистемы, в которой вы работаете. Начинайте с себя, даже если выгода неочевидна в краткосроке.
- Ищите формы кооперации с минимальными барьерами. Вместо попыток создать глобальный ISAC с нуля начните с обмена анонимизированными данными об угрозах в рамках профессиональных сообществ или партнёрских сетей. Используйте существующие открытые платформы и feeds.
- Требуйте от вендоров ответственности за безопасность их продуктов на протяжении всего жизненного цикла. Голосуйте рублём за тех, кто практикует ответственное раскрытие уязвимостей, имеет программы bug bounty и обеспечивает долгосрочную поддержку.
- Воспринимайте регуляторные требования как базовый скелет, а не конечную цель. Наполняйте его мышлением, основанным на оценке реальных рисков, и практиками, которые работают против современных угроз, а не просто закрывают пункты чек-листа.
Кибербезопасность никогда не станет чистым общественным благом, которое можно полностью делегировать государству или рынку. Это постоянный и неравномерный процесс переговоров, инвестиций и кооперации между всеми участниками цифрового пространства. Осознание этого — первый шаг к тому, чтобы перестать быть «безбилетником» и начать строить ту самую общую защиту, на которую все надеются, но которую мало кто хочет оплачивать в одиночку.