«Теория игр, это не про шахматы или покер, а про то, как рациональный оппонент просчитывает твои ходы на годы вперёд, и как в этой игре нет единственного правильного ответа. Если в регуляторике думать только о соответствии чек-листам, реальные угрозы проходят мимо: их обнаруживают уже после, когда игра по сути проиграна.»
Что такое игра на самом деле
Теория игр изучает взаимодействие рациональных участников, где результат каждого зависит от действий всех. В классическом понимании, это математическая модель для анализа конфликтов и сотрудничества. В кибербезопасности под «участниками» подразумевают злоумышленника и защищающуюся организацию. Но это не классическая игра с нулевой суммой, где выигрыш одного равен проигрышу другого. Здесь «проигрыш» может быть несимметричным: компания теряет репутацию и деньги, а злоумышленник получает данные для дальнейших атак или продажи. В таких условиях простое соответствие стандарту часто недостаточно, так как модель угроз динамична и зависит от действий обеих сторон.
Зачем это нужно регулятору и специалисту по ИБ
Российские регуляторы, такие как ФСТЭК и Роскомнадзор, формулируют требования в рамках 152-ФЗ и приказов. Эти требования часто описывают необходимый уровень защиты, но не всегда учитывают, что атакующая сторона может адаптироваться. Например, требование о двухфакторной аутентификации повышает барьер, но не останавливает целевые атаки с социальной инженерией. Теория игр помогает взглянуть на эти меры не как на статический чек-Jлист, а как на ход в долгой партии. Она отвечает на вопросы: как злоумышленник может обойти новое требование? Насколько дорого обойдётся это обход? И стоит ли ожидать, что после введения меры атаки переместятся в другую, менее защищённую область? Для специалиста это инструмент для приоритизации и аргументации перед руководством: не «потому что так требует ФСТЭК», а «потому что это смещает баланс рисков в нашу пользу и делает атаку менее вероятной или более дорогой для противника».
Базовые модели: матрица выигрышей и дерево решений
Самый простой способ представить взаимодействие, это матрица выигрышей (payoff matrix). По горизонтали — действия защитника (например, «внедрить EDR» или «не внедрять»), по вертикали — действия атакующего (например, «атаковать через уязвимость нулевого дня» или «использовать фишинг»). На пересечении — оценка последствий для каждой стороны. Эти оценки редко бывают числовыми в чистом виде, но их можно выразить через порядок величин: финансовые потери, репутационный ущерб, затраты злоумышленника.
| Действия сторон | Атакующий: Эксплойт нулевого дня | Атакующий: Массовый фишинг |
|---|---|---|
| Защитник: EDR есть | Высокие затраты атакующего; низкий ущерб организации | Низкие затраты атакующего; средний ущерб (если пользователи обучены) |
| Защитник: EDR нет | Средние затраты атакующего; критический ущерб организации | Низкие затраты атакующего; высокий ущерб организации |
Более сложная модель — дерево решений (extensive form game). Оно отражает последовательность ходов и то, какая информация доступна игроку в каждый момент. Например, сначала организация решает, инвестировать ли в систему обнаружения аномалий трафика (DDoS-защита). Затем, зная или не зная об этом решении, злоумышленник выбирает, проводить ли DDoS-атаку. Если организация инвестировала, атака может быть отражена с минимальными потерями, но затраты на защиту уже понесены. Если не инвестировала, ущерб может быть значительным. Такое дерево помогает моделировать не только одновременные, но и последовательные решения, что ближе к реальным сценариям долгосрочного противостояния.
Равновесие Нэша: почему не всегда стоит ожидать «лучшего» исхода
Равновесие Нэша, это ситуация, в которой ни один игрок не может улучшить свой результат, односторонне изменив стратегию, если другие игроки свою стратегию не меняют. В контексте кибербезопасности это часто означает устойчивое, но не оптимальное состояние. Например, организация может решить не инвестировать в дорогую защиту от редких атак, считая вероятность низкой. Злоумышленник, в свою очередь, может решить не проводить сложную атаку на такую организацию, предпочитая более лёгкие цели. Это равновесие, но оно хрупкое: если организация вдруг станет более привлекательной целью (получит контракт с государством), или если злоумышленник найдёт дешёвый способ атаки, равновесие нарушится.
Понимание равновесия Нэша важно для управления рисками: оно показывает, что текущая «тихая» ситуация может быть не следствием хорошей защиты, а результатом временного баланса интересов, который легко сдвинуть.
Динамические игры и повторяющиеся взаимодействия
Реальные киберконфликты редко являются одноразовыми играми. Это повторяющиеся взаимодействия, где участники помнят прошлые ходы и корректируют будущие. Например, если организация успешно отразила атаку и публично заявила об этом, это сигнал для злоумышленника. Следующая атака может быть более изощрённой или, наоборот, атакующий может переключиться на другую цель, посчитав эту слишком «жёсткой». В таких условиях стратегия «зуб за зуб» (tit-for-tat), когда на каждую враждебную атаку отвечают пропорциональным усилением защиты или даже контратакой (в рамках правового поля), может быть эффективна для создания репутации «непростой цели».
Динамические модели также учитывают, что затраты и выгоды распределены во времени. Инвестиции в безопасность сегодня могут принести пользу только через несколько лет, когда произойдёт попытка атаки. Это усложняет экономическое обоснование для руководства, но теория игр предлагает инструменты для моделирования таких сценариев, например, дисконтирование будущих потерь.
Информационная асимметрия: кто что знает
Одна из ключевых особенностей киберконфликтов — неравномерное распределение информации. Атакующий часто знает о своих методах и целях больше, чем защитник знает о своих уязвимостях. Защитник, в свою очередь, может скрывать факт взлома или, наоборот, демонстрировать силу своих систем. Модели с неполной информацией (games of incomplete information) пытаются учесть этот фактор. В них у каждого игрока есть «тип» — набор приватных характеристик, известных только ему. Например, «тип» организации, это реальный уровень её защищённости, который может быть высоким или низким. «Тип» злоумышленника — его ресурсы и настойчивость.
Игроки делают выводы о «типе» оппонента по его действиям. Если организация быстро и публично реагирует на инциденты, она сигнализирует о высоком «типе» защищённости. Если молчит и скрывает, это может быть воспринято как слабость. Здесь возникает парадокс: иногда для сдерживания атак выгодно создать видимость силы, даже если реальные возможности скромнее. Этот аспект напрямую связан с управлением инцидентами и коммуникацией в рамках требований регуляторов о reporting.
Смешанные стратегии: элемент непредсказуемости
В играх, где чистая стратегия (одно определённое действие) приводит к предсказуемому и невыгодному результату, оптимальным может быть использование смешанной стратегии — случайного выбора действия с определённой вероятностью. В кибербезопасности это не означает «защищаться случайным образом». Речь идёт о внесении элемента непредсказуемости для противника. Например, время проведения учебных тренировок по реагированию на инциденты, паттерны ротации паролей администраторов или даже маршруты резервного копирования могут варьироваться по заранее заданному, но неочевидному для внешнего наблюдателя алгоритму. Это усложняет разведку для злоумышленника и планирование долгосрочной атаки.
С практической точки зрения, внедрение элементов смешанной стратегии требует тщательного внутреннего планирования и контроля, чтобы не нарушить операционные процессы.
Применение к требованиям 152-ФЗ и ФСТЭК
Требования российского законодательства в области защиты информации часто носят нормативный характер: необходимо выполнить конкретные меры. Теория игр не отменяет этих требований, но позволяет интерпретировать их как набор «ходов», меняющих игровое поле. Рассмотрим на примерах:
- Требование о категорировании ИСПДн: Это ход, который делает организацию более «видимой» для себя самой и, потенциально, для атакующего (через косвенные признаки). С точки зрения игры, это увеличивает затраты атакующего на разведку, так как теперь ему нужно понять, какая именно система является критичной и как она защищена. Баланс смещается в пользу защитника, если разведка становится дороже.
- Требования ФСТЭК о средствах защиты информации (СЗИ): Установка сертифицированных межсетевых экранов или систем обнаружения вторжений (СОВ), это значительное увеличение «стоимости входа» для атакующего. В матрице выигрышей это переводит многие ячейки из «критический ущерб» в «высокие затраты атакующего/низкий ущерб». Однако, если все организации выполняют одни и те же типовые требования, атакующий может разработать стандартные методы их обхода. Здесь полезна идея смешанных стратегий и неполной информации — конфигурация и настройка СЗИ должны иметь уникальные, нестандартные элементы.
- Требование об обучении персонала: Это ход, направленный на снижение эффективности атак социальной инженерии. Он меняет вероятности успеха для определённых действий атакующего (фишинг), вынуждая его либо нести более высокие затраты на подготовку качественной приманки, либо переходить к другим, возможно, более дорогим для него методам.
Ограничения и критика
Применение теории игр в кибербезопасности имеет свои границы. Во-первых, модель предполагает рациональность игроков, что не всегда верно: атаки могут быть иррациональными, идеологически мотивированными или автоматизированными. Во-вторых, крайне сложно точно количественно оценить «выигрыши» и «проигрыши», особенно такие нематериальные активы, как репутация. В-, третьих, реальные конфликты часто включают более двух игроков (несколько групп атакующих, регулятор, партнёры, инсайдеры), что делает модели чрезвычайно сложными.
Критики также указывают, что чрезмерное увлечение абстрактными моделями может отвлечь от практической реализации базовых мер гигиены безопасности, которые по-прежнему блокируют большую часть угроз. Теория игр, это не замена для патчей, надёжных паролей и резервного копирования, а надстройка для стратегического мышления в условиях целевых и продолжительных угроз.
От теории к практике: первые шаги
Чтобы начать использовать этот подход, не нужна глубокая математическая подготовка. Достаточно изменить угол зрения.
- Определите основных «игроков»: Кто ваши вероятные противники? Каковы их возможные цели и ограничения в ресурсах?
- Составьте простую матрицу для ключевого сценария: Выберите одну важную систему или актив. По горизонтали запишите два-три ваших возможных действия по её защите (например, «оставить как есть», «внедрить дополнительный контроль», «полностью изолировать»). По вертикали — два-три возможных действия атакующего (например, «попытка кражи данных», «отказ в обслуживании», «компрометация для доступа к смежным системам»). Оцените последствия в каждой ячейке качественно: «катастрофические», «высокие», «средние», «низкие» потери для вас и «очень дорого», «дорого», «дёшево» для него.
- Ищите равновесие и точки давления: В какой ячейке ни вам, ни ему не выгодно менять действие? Что произойдёт, если вы сделаете ход (внедрите меру), смещающий это равновесие? Станет ли атака менее вероятной или просто изменится её вектор?
- Учитывайте динамику: Подумайте, как ваши вчерашние действия (или бездействие) могут повлиять на завтрашние решения противника. Демонстрируете ли вы силу или слабость через свои публичные действия и отчёты об инцидентах?
Этот мысленный эксперимент помогает перейти от пассивного выполнения требований к активному управлению ландшафтом угроз, где ваши решения, это стратегические ходы, а не просто галочки в отчёте. В условиях, когда формальное соответствие уже не гарантирует реальной безопасности, такой подход становится не интеллектуальным упражнением, а практической необходимостью.