«Проблема демаркации, это вопрос о том, где проходит граница между наукой и псевдонаукой. В IT-безопасности эта граница размыта как никогда. Мы окружены практиками, которые выглядят научно, но при ближайшем рассмотрении оказываются ритуалами, основанными на вере, а не на доказательствах. Это не просто академический спор — от этого зависит, на что мы тратим бюджеты и какую безопасность в итоге получаем.»
Что такое проблема демаркации и почему она важна для security
Проблема демаркации, это философский вопрос о том, как отличить науку от ненауки. Классические критерии, такие как фальсифицируемость Карла Поппера, проверяемость или соответствие научному методу, в чистом виде работают плохо. В IT-безопасности эта проблема приобретает практическое измерение. Здесь смешиваются инженерные дисциплины, математическая криптография, социальные науки о поведении пользователей и огромный пласт эмпирических знаний. На этом фоне легко маскируются подходы, которые лишь имитируют научность, но не приносят измеримой пользы.
Важность вопроса в том, что от его решения зависит распределение ресурсов. Бюджеты на безопасность не безграничны. Каждый рубль, потраченный на неэффективную или псевдонаучную практику,, это рубль, не вложенный в реальную защиту. Более того, ложное чувство безопасности, порождаемое такими практиками, часто опаснее, чем его отсутствие.
Признаки псевдонаучных подходов в безопасности
Псевдонаука в security редко заявляет о себе открыто. Она маскируется под экспертизу, передовой опыт или «проверенные временем» методики. Её можно распознать по нескольким характерным признакам.
Отсутствие фальсифицируемости и измеримых результатов
Научное утверждение должно быть сформулировано так, чтобы его можно было опровергнуть. Псевдонаучный подход в безопасности часто строится на расплывчатых обещаниях: «повышает общую устойчивость», «снижает риски», «улучшает security-культуру». Если невозможно определить, при каких условиях эти утверждения окажутся ложными, и как это измерить, перед вами не наука, а вера.
Пример: утверждение «внедрение блокчейна делает систему безопаснее». Без конкретики — от каких атак защищает, в сравнении с чем, и как измерить прирост безопасности, это псевдонаучный тезис.
Апелляция к авторитету и «секретному знанию»
Вместо публичных данных, воспроизводимых экспериментов и открытой методологии используется ссылка на авторитет «гуру», закрытые отчеты или «уникальный опыт» команды. Аргумент сводится к «поверьте, мы знаем, как надо». Настоящая научная и инженерная практика стремится к документированию и передаче знаний так, чтобы их мог проверить и повторить независимый специалист.
Игнорирование контраргументов и отрицательных результатов
Научный метод ценит отрицательный результат — он тоже знание. Псевдонаучная практика либо игнорирует случаи, когда она не сработала, списывая их на «неправильное применение», либо объявляет любую критику происками конкурентов или непониманием «глубины» подхода.
Создание собственного, замкнутого понятийного аппарата
Для описания практики вводятся сложные, необщепринятые термины, которые не имеют четких определений вне данного контекста. Это создает барьер для входа и критики, превращая обсуждение в ритуал с использованием «правильных» слов.
Примеры псевдонаучных практик в российской регуляторике и индустрии
Рассмотрим области, где размытие границ между наукой, инженерией и ритуалом проявляется особенно ярко.
Чрезмерный фетишизм формального соответствия
Речь не о самих требованиях 152-ФЗ или ФСТЭК, которые задают необходимый минимум. Проблема в практике, когда формальное закрытие чек-листа (наличие документа, подписи, отметки в системе) подменяет собой достижение реальной цели — безопасности информации. Это превращает аттестацию в ритуал, где главное — правильно заполнить бумаги, а не понять и устранить уязвимости. Эффективность таких «защитных» мер не измеряется и не фальсифицируется, потому что формально задача считается выполненной.
«Волшебные» технологии и серебряные пули
Циклически возникают технологии, которым приписывают универсальные защитные свойства вне контекста их применения. Несколько лет назад это был блокчейн, сегодня — искусственный интеллект и машинное обучение для обнаружения аномалий. Сами по себе технологии нейтральны. Псевдонаучным является нарратив: «просто внедрите нашу нейросеть, и она решит все проблемы с APT-атаками». Такие утверждения не содержат условий проверки, игнорируют вопросы качества обучающих данных, ложных срабатываний и адаптации злоумышленников.
Количественные метрики безопасности, измеряющие не то
Попытки применить «научный» подход через метрики иногда дают обратный эффект. Например, метрика «количество устраненных уязвимостей в месяц». Команда начинает фокусироваться на массовом закрытии низкоуровневых issues, игнорируя сложные системные риски, потому что так лучше для отчетности. Метрика есть, измерение есть, но связь с реальным повышением безопасности системы отсутствует. Это псевдонаучный менеджмент, имитирующий объективное управление.
Эзотерические методологии оценки рисков
Существуют закрытые или чрезмерно усложненные методологии оценки рисков, которые требуют специального обучения у конкретного вендора. Их внутренняя «кухня» непрозрачна, формулы расчета дают иллюзию точности (риск = 4.57), но исходные данные носят субъективный характер. Воспроизвести или оспорить такую оценку невозможно, что является классическим признаком псевдонауки.
Почему псевдонаука процветает в сфере безопасности
У этого явления есть системные причины, коренящиеся в специфике самой области.
- Высокая неопределенность и сложность. Полная защита невозможна, атаки разнообразны, а причинно-следственные связи часто неочевидны. В условиях неопределенности люди тяготеют к простым объяснениям и ритуалам, которые создают иллюзию контроля.
- Асимметрия информации. Нападающий всегда знает больше о методе атаки, чем защитник — о возможных угрозах. Этим пользуются вендоры и консультанты, предлагающие «секретное оружие» против неизвестных угроз.
- Регуляторное давление. Необходимость выполнять формальные требования порождает рынок услуг по «галочкам», где ценность смещается с результата на процесс его симуляции.
- Отсутствие культуры измерений. В отличие от performance или reliability, безопасность сложно измерить количественно. Что считать успехом? Отсутствие инцидентов? Это может быть как признаком хорошей защиты, так и следствием того, что атаки просто не обнаружены. Вакуум измеримости заполняется псевдонаучными метриками.
Как двигаться к научному подходу: практические шаги
Цель — не объявить всю индустрию лженаукой, а начать последовательно отделять зерна от плевел. Вот направления для работы.
Требуйте формулировок, которые можно опровергнуть
На любом совещании, при оценке любого инструмента или методологии задавайте вопрос: «При каких условиях мы поймем, что это не работает?». Если ответа нет или он сводится к «это работает всегда», перед вами ненаучное утверждение.
Смещайте фокус с compliance на security outcomes
Вместо вопроса «соответствуем ли мы требованию X?» чаще спрашивайте: «Как требование X снижает конкретный риск Y, и как мы можем измерить это снижение?». Это меняет мышление с ритуального на инженерное.
Внедряйте измеримые эксперименты (security experiments)
Относитесь к новым мерам защиты как к гипотезам. «Мы предполагаем, что внедрение контроля Z снизит вероятность успешной фишинговой атаки на 30% в течение квартала». Затем измеряйте базовый уровень, внедряйте контроль и смотрите на результат. Допускайте возможность отрицательного или нулевого результата, это ценная информация.
Развивайте культуру открытого обсуждения неудач
Создавайте среду, где можно говорить о том, какие меры не сработали, без страха наказания. Анализ провалов — краеугольный камень научного метода. Post-mortem инцидента или неудачного внедрения инструмента должен быть направлен на извлечение знаний, а не на поиск виноватых.
Критически оценивайте метрики
Для каждой метрики безопасности задавайтесь вопросами: что именно она измеряет? Как этим данным можно манипулировать? Какие полезные действия она стимулирует, а какие — подавляет? Избавляйтесь от метрик, которые измеряют активность, а не результат.
Итог: безопасность как инженерная дисциплина
IT-безопасность, это не чистая наука, но она должна стремиться быть строгой инженерной дисциплиной. Инженерия основана на науке, но работает в условиях ограничений и неопределенности. Её инструменты — модели, эксперименты, измерения и итеративные улучшения.
Проблема демаркации напоминает, что путь к зрелости лежит через отказ от магического мышления и ритуалов. Это требует мужества сомневаться в общепринятых практиках, постоянно задавать неудобные вопросы о доказательной базе и ценить измеримый результат выше красивого отчета. Только так можно превратить безопасность из области суеверий в область инженерной надежности.