Эмпирическая проверка не доказывает безопасность, а лишь подтверждает доверие

от

«По сути, безопасность, это вопрос оценки доверия, а не математического доказательства. Когда мы говорим ‘эмпирически проверена’, мы на самом деле утверждаем, что не заметили ничего плохого за определённый период. Это фундаментально отличается от доказательства отсутствия уязвимости.»

Почему мы даже пытаемся это доказать

Требования регуляторов и стандартов часто формулируются как необходимость «обеспечить» или «доказать» безопасность. Это создаёт первичное давление: отчитываться нужно фактами и цифрами. В итоге команды начинают собирать метрики — количество пройденных тестов, процент покрытия кода сканером, число исправленных багов. Эти цифры выглядят убедительно в отчетах, они создают видимость контроля и прогресса. Но фундаментальный вопрос остаётся: что именно эти числа доказывают?

Например, высокий процент покрытия статическим анализатором не доказывает отсутствие логических уязвимостей или ошибок бизнес-процесса. А сотни пройденных тестов безопасности не гарантируют, что не появится новый вектор атаки, который никто не предусмотрел. Эмпирическая проверка всегда ограничена рамками проведённых экспериментов — тестов, аудитов, сценариев.

Эмпирика vs. Формальные доказательства

В математике или формальной логике доказательство строится на строгих правилах и приводит к абсолютному утверждению, которое невозможно оспорить в рамках принятой системы. В безопасности информационных систем такая строгость недостижима. Системы слишком сложны, их конфигурация меняется, а угрозы эволюционируют.

Эмпирический подход, это наблюдение и эксперимент. Мы запускаем сканеры, проводим пентесты, мониторим инциденты. Если за определённое время не было обнаружено критических проблем, мы делаем вывод: «система выглядит безопасной». Но этот вывод по своей природе статистический и вероятностный. Он говорит: «при данных условиях и методах проверки мы не нашли уязвимостей». Это не равно утверждению «уязвимости не существует».

Что мы можем эмпирически подтвердить

  • Конкретные уязвимости отсутствуют в проверенных компонентах (при условии, что инструмент проверки их обнаруживает).
  • Реализованы определённые меры защиты (наличие файрвола, работа шифрования).
  • Процессы реагирования на инциденты функционируют в тестовых сценариях.

Что эмпирически недоказуемо

  • Отсутствие всех возможных уязвимость.
  • Неспособность будущего злоумышленника найти новый путь атаки.
  • Абсолютная устойчивость системы к неизвестным (zero-day) угрозам.

Парадокс эмпирической «безопасности»

Часто безопасность считается доказанной после успешного прохождения аттестации или аудита. Но аттестация по 152-ФЗ или проверка ФСТЭК, это тоже эмпирический процесс в заданных рамках. Эксперты проверяют соответствие документации, проводят выборочные тесты, оценивают процессы. Их заключение, это экспертное мнение, основанное на наблюдении в момент проверки. Система может быть «аттестована», но это не делает её иммунной к атакам, которые используют методы, не рассматриваемые в рамках проверки, или к уязвимости, появившейся после обновления компонента.

.

Это приводит к парадоксу: мы тратим ресурсы на сбор «доказательств» безопасности, которые по сути являются свидетельствами отсутствия обнаруженных проблем. Основное доказательство часто заключается в самом процессе постоянных проверок и мониторинга — в демонстрации того, что организация способна обнаруживать и реагировать на проблемы, а не в том, что проблемы никогда не возникнут.

Сдвиг цели: от доказательства к управлению доверием

Более продуктивный подход — перестать пытаться «доказать безопасность» как статичное состояние и начать демонстрировать способность управлять рисками и поддерживать определённый уровень доверия. Это меняет фокус отчетности.

Традиционный подход (попытка доказать) Практический подход (управление доверием)
Отчеты с метриками покрытия тестами и сканированиями. Отчеты о процессе: регулярность проверок, скорость закрытия найденных уязвимостей, анализ новых угроз.
Цель: показать, что система «чистая». Цель: показать, что организация видит и контролирует состояние безопасности.
Фиксируется состояние в момент аттестации. Фиксируется динамика и улучшение процессов.
Доверие основано на одном акте проверки. Доверие основано на наблюдаемой культуре и операционной дисциплине.

В контексте регуляторики это означает, что вместо попытки представить окончательное «доказательство» соответствия, лучше строить непрерывный цикл представления доказательств операционной деятельности: планы тестирования, результаты мониторинга, отчеты об инцидентах и их устранении. Это эмпирически подтверждаемый процесс, который действительно можно наблюдать и оценивать.

Эмпирические методы, которые действительно работают

Несмотря на невозможность абсолютного доказательства, некоторые эмпирические методы создают высокий уровень уверенности. Их сила не в доказательстве «безопасности», а в демонстрации устойчивости к конкретным, известным угрозам и в выявлении слабых точек.

  • Красные команды (Red Team) и полноценные упражнения по модели реальной атаки показывают, как система и люди реагируют на сложные, многоэтапные воздействия. Это не доказательство безопасности, а доказательство (или отсутствие) операционной готовности.
  • Хакатоны и публичные конкурсы на поиск уязвимости в конкретных продуктах, это массовая эмпирическая проверка. Если после такого события критических уязвимостей не найдено, доверие к продукту возрастает, хотя абсолютной гарантии нет.
  • Длительный мониторинг эксплуатации системы в реальных условиях, особенно под нагрузкой и в разных сценариях, предоставляет данные о её фактической устойчивости. Отсутствие инцидентов за продолжительный период — весомый, хотя и статистический, аргумент.

.

Ключ — в комбинации методов и во времени. Однократный пентест даёт мало данных. Регулярное сканирование, периодические глубокие аудиты, постоянный мониторинг и анализ инцидентов вместе создают многомерную картину, которая гораздо ближе к «доказанной» устойчивости, чем любой отдельный метод.

Что отвечать регулятору

Когда регулятор или внутренний аудитор требует «доказать безопасность», ответ должен строиться не на попытке представить финальный, абсолютный вердикт. Вместо этого стоит предоставить:

  1. Описание реализованных мер защиты и их соответствия требованиям стандартов (это факт, который можно проверить).
  2. Результаты регулярных проверок и тестов, демонстрирующие, что известные угрозы контролируются.
  3. Процессы управления рисками, включая оценку новых угроз и планы по адаптации защиты.
  4. Историю инцидентов и их устранения, показывающую, что организация способна обнаруживать и реагировать на проблемы.
  5. План непрерывного улучшения, основанный на результатах проверок и изменяющейся угрозной модели.

Это эмпирически проверяемые данные. Их можно наблюдать, изучать, оценивать. Они не доказывают, что система абсолютно безопасна, но доказывают, что организация серьёзно управляет её безопасностью — что, в конечном итоге, является более реалистичной и важной целью.

Итог: безопасность как наблюдаемый процесс

Доказать безопасность эмпирически в абсолютном смысле нельзя. Можно лишь собрать весомые свидетельства, что система демонстрирует устойчивость к известным угрозам в рамках проведённых проверок, и что организация поддерживает эффективные процессы управления рисками. Самое сильное «доказательство» в современном понимании, это не папка с результатами одноразового аудита, а живая, постоянно обновляемая документация операционной безопасности, открытая для проверки и показывающая динамику. Именно на эту непрерывную демонстрацию контроля и должны опираться доверие регулятора, руководства и пользователей.

Оставьте комментарий