Network World, США

Брюс Шнайер: принятие решений в области безопасности в меньшей степени обусловлено факторами целесообразности, чем следовало бы
Брюс Шнайер: «Безопасность — это всегда компромисс. От чего вам придется отказаться и что вы получите взамен? Искать подобные компромиссы нам приходится ежедневно, причем не только нам, а вообще любому живому существу. В мире бизнеса при выборе способа защиты психология человека играет определяющую роль»

В ходе своего выступления на конференции RSA Conference, прошедшей в начале февраля, один из наиболее авторитетных специалистов по безопасности Брюс Шнайер отметил, что решения, связанные с защитой информационных систем, довольно часто грешат против логики и принимаются фактически на интуитивном уровне.

Технический директор компании BT Counterpane, прославившийся благодаря таланту криптографа и критическим взглядам на использование технологий, постарался обратить внимание присутствующих на важность анализа поведения человека при принятии им решений, связанных с управлением рисками.

С точки зрения Шнайера, менеджеры по безопасности, руководители бизнес-подразделений и конечные пользователи часто принимают критически важные решения не только после тщательного изучения фактов, но и под влиянием страха или необоснованных предположений.

«Безопасность — это всегда компромисс, — подчеркнул Шнайер. — От чего вам придется отказаться и что вы получите взамен? Независимо от того, сознательно вы приходите к компромиссу или нет, изначально существовали несколько вариантов выбора. По-видимому, ни на ком из участников конференции не надет пуленепробиваемый жилет, потому что риск подвергнуться нападению крайне мал, в то время как сам жилет весьма неудобен, да и немоден. Искать подобные компромиссы нам приходится ежедневно, причем не только нам, а вообще любому живому существу. В мире бизнеса при выборе способа защиты психология человека играет определяющую роль».

Презентация Шнайера была по­строена на основе его научного труда, в котором изучались поведение и психология человека. При подготовке материала использовались также университетские исследования, посвященные поиску причин, которые заставляют человека сделать тот или иной выбор. Результаты исследований дали Шнайеру серьезные основания утверждать, что принятие решений в области безопасности обусловлено факторами целесообразности в меньшей степени, чем всем нам хотелось бы.

«Некоторые наши ощущения противоречат реальности, — отметил Шнайер. — Вы можете чувствовать себя в безопасности, хотя на самом деле это не так. И наоборот, можете находиться в безопасности, в то время как ощущения говорят об обратном».

За чувство страха и инстинкт самосохранения отвечает рудиментарная часть мозга — мозжечковая миндалина. Она реагирует на раздражение очень быстро, быстрее, чем сознание. Впрочем, реакцию мозжечковой миндалины могут блокировать более развитые части мозга.

Позднейшее формирование — кора головного мозга, или неокортекс, которая у млекопитающих непосредственно связана с сознанием, реагирует медленнее, но является более «гибкой и адаптируемой». Она позволяет совладать со страхом и принять правильное решение, которое обеспечит более высокий уровень безопасности.

Среди недооцененных рисков следует отметить риски «прозаичные, широко распространенные, находящиеся, как правило, под контролем, не являющиеся предметом обсуждения, естественные, долгосрочные, медленно набирающие силу и затрагивающие других людей».

Шнайер обратил внимание на исследования, показывающие, что люди часто «склонны к необоснованному оптимизму — они начинают думать, что будут удачливее других». А между тем психологические опыты, во время которых люди вспоминали произошедшие с ними события, показывают, что наиболее ярко и прочно в памяти запечатлеваются негативные ситуации.

Среди других особенностей, присущих человеческой психологии, следует отметить так называемое «якорение» — изначально предвзятое отношение к предлагаемым вариантам, непосредственно отражающееся на выборе, — которое приводит к принятию совершенно нерационального решения.

Учитывая психологию человека, менеджерам по информационной безопасности следует понимать, что реакция руководства и пользователей на риски, связанные с безопасностью, иногда может оказаться совершенно абсурдной.

«Когда наши ощущения идут вразрез с реальностью, компромиссы, призванные обеспечить безопасность, очень часто оказываются крайне неудачными, — пояснил Шнайер. — Вы сами не раз могли наблюдать, как поставщики или политики с успехом манипулируют предпочтениями людей».

Единственное преимущество, которое менеджеры по безопасности могут извлечь для себя из несоответствия ощущений людей объективным жизненным реалиям, заключается в использовании «той части обоснованных опасений», которая поможет выстроить систему безопасности или даже «позволит людям почувствовать себя лучше».