“Продольные исследования, это не просто долгие наблюдения. Это единственный способ увидеть, как меняются угрозы, технологии и защита в реальном времени, а не в снимках. Но в ИБ их почти нет. Почему? Потому что они требуют не денег, а доверия, открытости и готовности признать, что многие наши сегодняшние решения через пять лет окажутся неэффективными. Это исследование, которое ставит под сомнение само поле.”
Что такое продольное исследование и зачем оно нужно в ИБ
В социологии или медицине продольное исследование, это стандартный инструмент. Группу объектов наблюдают на протяжении длительного периода, фиксируя изменения. В ИБ такой подход встречается редко. Большинство отчётов, статей и аналитик, это снимки состояния на конкретный момент: статистика атак за год, обзор новых уязвимостей, описание конкретного инцидента. Это даёт картину, но не показывает динамику.
Продольное исследование в контексте информационной безопасности могло бы ответить на вопросы, которые иначе остаются гипотезами. Как меняется эффективность определённого типа защиты (например, сигнатурного антивируса или WAF с определёнными правилами) по мере эволюции угроз? Как долго «живёт» уязвимость в реальной инфраструктуре — от момента появления и до фактического устранения? Как коррелирует рост расходов на ИБ в компании с количеством успешно отражённых инцидентов? Ответы на эти вопросы требуют данных, собранных не разово, а системно, на протяжении лет.
Основные препятствия для longitudinal studies в ИБ
Причины, по которым такие исследования остаются редкостью, носят не технический, а в первую очередь организационный и культурный характер.
Конфиденциальность и закрытость данных
ИБ — область, построенная на принципах ограничения доступа к информации. Данные об инцидентах, конфигурациях систем защиты, внутренних метриках эффективности считаются критически чувствительными. Их раскрытие, даже в обезличенном и агрегированном виде, воспринимается как риск для репутации и безопасности. Немногие организации готовы годами делиться такими данными с внешними исследователями, даже под NDA.
Отсутствие стандартизированных метрик и методологий
В отличие от медицины, где есть протоколы клинических испытаний, в ИБ нет общепринятых стандартов для измерения «здоровья» или «эффективности». Что считать успешной защитой? Отсутствие инцидентов? Минимизация ущерба? Скорость реагирования? Без консенсуса по метрикам невозможно построить сравнимое исследование, которое можно было бы повторить в другой организации или в другой временной период.
Высокая динамика изменений
Технологический ландшафт ИБ меняется быстрее, чем может завершиться типичное продольное исследование. За пять лет может смениться несколько поколений систем защиты, устареть используемые протоколы, измениться сама архитектура защищаемых активов. Исследование, начатое на одной технологической базе, к моменту завершения может потерять актуальность, так как его объект изучения уже не существует в первоначальном виде.
Финансирование и практическая отдача
Продольные исследования требуют долгосрочных вложений без гарантии сиюминутного, прикладного результата. Фонды и гранты чаще ориентированы на быстрые, осязаемые итоги. Бизнес-заказчики ждут решений для текущих проблем, а не отчёта о десятилетних тенденциях. Академическая среда в ИБ в России слабо развита, чтобы брать на себя такие масштабные проекты.
Кадровый вопрос
Для ведения такого исследования нужны не просто аналитики, а специалисты, сочетающие глубокие знания в ИБ с компетенциями в data science и статистике. Они должны уметь работать с «грязными», неполными данными, выстраивать долгосрочные отношения с источниками информации. Таких кадров мало, и их труд дорого стоит.
Какие longitudinal studies могли бы изменить отрасль
Несмотря на препятствия, можно представить несколько направлений, где такой подход дал бы прорывные результаты.
- Эффективность регуляторных требований. Наблюдение за тем, как внедрение и изменение требований регуляторов (например, новых положений 152-ФЗ или приказов ФСТЭК) реально влияет на безопасность организаций в долгосрочной перспективе. Снижается ли количество инцидентов определённого типа? Растут или падают реальные затраты на compliance?
- Жизненный цикл уязвимости в enterprise-среде. Отслеживание судьбы одной и той же критической уязвимости в десятках организаций: как быстро её обнаруживают, как принимают решение о патчинге, сколько времени уходит на тестирование и развёртывание исправления, как часто патч приводит к проблемам в работе.
- Эволюция внутренних угроз. Исследование поведения сотрудников и их взаимодействия с системами защиты на протяжении нескольких лет. Как меняются модели рискового поведения с ростом цифровизации? Какие меры awareness-тренингов дают долгосрочный эффект, а какие — лишь кратковременный?
Почему без них отрасль теряет в эффективности
Отсутствие долгосрочных данных приводит к нескольким системным проблемам.
Цикличность и повторение ошибок. Отрасль склонна «изобретать велосипед». Подходы или технологии, признанные неэффективными 10-15 лет назад, забываются, а затем внедряются вновь под новыми названиями, потому что не осталось качественных исследований, документально зафиксировавших их провал.
Доминирование маркетинга над доказательствами. Решения часто покупаются и продаются на основе точечных кейсов, красивых графиков и страха, а не на данных об их долгосрочной эффективности в сравнении с аналогами. Это создаёт рынок, где побеждает не лучшее решение, а самое громкое.
Некорректное планирование бюджетов. Инвестиции в ИБ часто распределяются реактивно — после крупного инцидента в отрасли. Продольные исследования могли бы показать, какие направления защиты дают наибольшую отдачу в долгосрочной перспективе, позволяя перейти от реактивного финансирования к стратегическому.
Что можно сделать уже сейчас
Ждать появления идеальных условий для масштабных академических проектов бессмысленно. Но движение в эту сторону возможно.
- Начинать с внутренних исследований. Крупные организации с развитой ИБ-службой могут начать собирать и анализировать свои собственные долгосрочные метрики. Даже внутренний анализ данных за 3-5 лет может дать уникальные инсайты об эффективности процессов.
- Развивать консорциумы и клубы по интересам. Несколько компаний из одной отрасли (например, финансового сектора), не являющихся прямыми конкурентами, могли бы объединиться для анонимного обмена агрегированными метриками безопасности. Это снизило бы риски и повысило ценность данных за счёт сравнения.
- Создавать открытые датасеты на основе симуляций. Если реальные данные недоступны, можно создавать сложные симулированные среды, которые эволюционируют по заданным правилам, и проводить исследования на них. Хотя это не заменит реальных данных, это позволит отработать методологии.
- Интегрировать longitudinal-мышление в регуляторику. Регуляторы могли бы стимулировать сбор долгосрочных метрик, не как отчётность «на полку», а как инструмент для последующего анализа и корректировки самих требований, делая их более адекватными реальным угрозам.
Продольное исследование, это инвестиция в будущее всей области. Его отсутствие означает, что мы строим защиту, опираясь на вчерашние угрозы и сегодняшние страхи, не понимая, что будет работать завтра. Первый шаг — признать ценность таких данных и начать их по крупицам собирать, даже если результат будет виден не сразу.