Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems
Я достаточно часто критикую действия отечественных регуляторов в области информационной безопасности – Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности (ФСБ России). Многие соглашаются с этой критикой и даже идут дальше, считая, что регуляторы выдохлись и уже не соответствуют реалиям нашего времени, живя требованиями прошлого, застыли на стыке 90-х – 2000-х годов. Но так ли это на самом деле? Не заблуждение ли это?
Давайте посмотрим на самые одиозные требования, которые вызывают наибольшее количество нареканий и которые я уже развенчивал ранее. Речь идет об аттестации информационных систем, об обязательности лицензирования деятельности по технической защите конфиденциальной информации, о применении сертифицированных средств защиты, о защите от утечек по техническим каналам (например, ПЭМИН) и т.д. Но так ли эти требования плохи и неадекватны?
Давайте обратимся к истории? Как и для чего появиись ФСТЭК (ранее называвшаяся Гостехкомиссией России) и ФСБ (ранее функции по защите информации лежали на ФАПСИ, а до этого на КГБ)? Исторически они отвечали за две ключевые задачи – обеспечение защиты сведений, составляющих государственную тайну, и противодействие действиям иностранных технических разведок. Эти же задачи остались и сейчас.
Попробуем транслировать вышеприведенные «одиозные» требования на область гостайны. Нужна ли лицензия на работу со сведениями, составляющими государственные секреты? Конечно. Это требование федерального законодательства. Нужна ли аттестация систем, обрабатывающих гостайну? Безусловно. Причем компьютеров, которые с ней работают немного и места их дислокации заранее известны и ограничены. Нужны ли сертифицированные системы защиты или можно обойтись на коленях сделанной поделкой? А вдруг в этой системе врагом оставлены или внедрены закладки? Как их выявить без процедуры сертификации? Как может враг подслушать секретные переговоры? Только ли через компьютер? Конечно нет. Эти данные настолько важны, что он не будет пренебрегать съемом информации с слаботочки, системы сигнализации, освещения, кондиционирования и просто с окна (за счет его вибрации от голосовых волн). Все эти технические каналы утечки должны быть блокированы с помощью специальных технических средств. Что же получается? Описанные выше требования не такие уж и глупые? И ФСТЭК с ФСБ не так уж и плохо справляются с их реализацией и контролем.
Но в середине 90-х к сфере компетенции регуляторов добавилось именно то, чем мы с вами и занимаемся – безопасность тайны, отличной от государственной. Речь идет о банковской тайне, коммерческой, страховой, врачебной и, конечно же, персональных данных. И в этой области именно обладатель информации должен определять меры по ее защите – именно об этом говорит Федеральный закон «Об информации, информационных технологиях и защите информации». И пришедшие из гостайны требования необходимо обязательно пересматривать.
Но почему эксперты ФСТЭК и ФСБ этого не делают? Ответ мы найдем на стыке ряда наук – психологии риска, психологии принятия решений, поведенческой экономики и неврологии. Эта область получила название психологии восприятия риска и она сейчас начинает получать распространение в среде профессионалов. О чем она говорит? О том, что реальность безопасности и ощущения безопасности – это не одно и тоже. Наши действия (как и действия регуляторов) диктуются нам не реальностью, а нашими ощущениями, зависящими от нашего опыта, образования и множества других факторов. Нашему мозгу свойственно преувеличивать одни риски и преуменьшать другие.
Люди преувеличивают риски, которые | Люди преуменьшают риски, которые |
|---|---|
Производят глубокое впечатление | Не привлекают внимание |
Случаются редко | Являются обычными |
Персонифицированы | Анонимны |
Неподконтрольны или навязаны извне | Контролируются в большей степени или принимаются добровольно |
Обсуждаются | Не обсуждаются |
Преднамеренные или спровоцированные человеком | Естественные |
Угрожают непосредственно | Угрожают в будущем, или границы которых размыты |
Внезапны | Развиваются медленно, со временем |
Угрожают человеку лично | Угрожают другим |
Новые и незнакомые | Знакомые |
Неопределенные | Понятные |
Угрожают их детям | Угрожают им самим |
Оскорбительные с моральной точки зрения | Желательные с моральной точки зрения |
Полностью лишенные выгод | Связанные с дополнительными выгодами |
Выходят за рамки обычной ситуации | Характерны для обычной ситуации |
Из недоверенных источников | Из доверенных источников |
Наше восприятие риска чаще всего «хромает» в пяти направлениях:
- Степень серьезности риска
- Вероятность риска
- Объем затрат
- Эффективность контрмер
- Возможность адекватного сопоставления рисков и затрат.
А так как человек не анализирует риски безопасности с точки зрения математики (вероятность негативного или позитивного события наш мозг оценивает не так как компьютер или математик с ручкой в руках), а также люди не могут анализировать каждое свое решение, то все мы используем готовые рецепты, общие установки, стереотипы, предпочтения и привычки.
Психология восприятия риска подсказывает нам и ответ на вопрос: «Почему столь уважаемые ведомства, как ФСТЭК и ФСБ, разработали «такие» документы по безопасности, например, персональных данных?» Только ленивый не прошелся по их качеству и принципам, положенным в их основу. Как можно было предложить информацию о цвете кожи, религиозных и политических убеждениях нашего Президента, как субъекта персональных данных, защищать на уровне государственной тайны? Ведь мы видим эти его биометрические и специальные персональные данные каждый день по телевизору. Защитные меры совершенно неадекватны ни природе защищаемых персональных данных, ни стоимость защищаемой информации.
Но это все лирика. А психология восприятия риска подсказывает нам правильный ответ. Сотрудники ФСТЭК и ФСБ всю свою сознательную жизнь боролись со шпионами и террористами; они занимались государственной тайной и противодействием иностранным техническим разведкам. И они свой богатый (у многих двадцатилетний и тридцатилетний) опыт транслировали на новую для них область – персональные данные. Такие же завышенные требования описаны в документах ФСТЭК по защите коммерческой тайны. А все потому, что эксперты двух наших регуляторов просто не сталкивались с менее серьезными угрозами, которые в массе своей и существуют для персональных данных. А спросить у специалистов за пределами своих ведомств им не позволила уверенность в своих силах (или самоуверенность), что также объясняется с точки зрения психологии.
Например, психологи отмечают следующий факт – риски, имевшие место когда-либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался. Следовательно мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы. А «писатели» нормативных документов будут описать требования для угроз, с которыми они встречались на протяжении всей своей жизни, – закладки в программном обеспечении, шпионы, утечки через батарею или электрическую розетку.
Что же у нас получается? Регуляторы не так и плохи, как казалось сначала. Теперь мы понимаем, почему они выпускают «такие» требования. Не потому, что они ничего не понимают в безопасности, а потому, что они заботятся об обществе, гражданах и бизнесе с высоты своей «колокольни». Все, что им нужно сделать, - это либо поручить разработку нормативной базы «для бизнеса» самому бизнесу или создать экспертный совет из признанных профессионалов отрасли, через которых и нужно пропускать все публикуемые нормативные документы. Это позволит не только учесть реалии современного коммерческого предприятия, но и превратить информационную безопасность из угрозы для бизнеса (а именно так сейчас воспринимают многие регуляторов и их требования) в его эффективного помощника.
