От управления рисками к управлению неопределённостью в цифровом мире
За прошлый год виртуальные угрозы катапультировали от знатоков компьютеров и военных стратегов к общественности. Открытие компьютерного вируса «Стакснет», повергшего в ужас политиков и бизнесменов по всему миру, многочисленные истории о (китайском) кибершпионаже, рост киберприступности, судя по учащению случаев мошенничества, секретная американская дипломатическая переписка в «Wikileaks» и ответные действия анонимов и хакерские атаки группы «Lulzsec» свидетельствуют об учащении кибератак, их организованности и увеличении наносимого ими ущерба.
В свете последних событий создалось впечатление, что виртуальные происшествия стали носить более частый характер, хорошо организованы и наносят более ощутимый в финансовом плане ущерб. Пока мы ежедневно сталкиваемся с мелкими неприятностями, но виртуальные происшествия грозят стать систематическими. Однако установить частоту их возникновения невозможно. Системные киберриски невозможно ни предсказать, ни просчитать в силу окружающей их неопределённости. В силу сложности социально-технической среды, которую они создают, традиционные подходы к линейному управлению рисками теряют свой смысл.
Автор данной статьи утверждает, что вместо безуспешных попыток взять под контроль то, за что не можешь ухватиться, лучше учиться влиять на неопределённость, имея дело с виртуальной реальностью. Это обращает наше внимание на необходимость диалога и обмена информацией с целью углубления понимания ситуации, фокусирования на усилении технической и социальной устойчивости, а также на продолжении культивирования политической культуры отказоустойчивости, позволяющей продолжать жить даже в условиях неопределённости.
Надвигающийся киберапокалипсис ...
Несмотря на многолетние предупреждения о надвигающемся киберапокалипсисе, исходе происшествий или мошенниках, такой сценарий все равно остаётся вымышленным. Миру ещё предстоит испытать на себе «кибертерроризм» или «кибервойну», достойной этих ярлыков. Конечно, лет через десять различные формы киберконфликтов будут сопровождаться конфликтами политическими, экономическими и военными.
Кроме того, криминальная активность и шпионаж при помощи компьютера имеют место каждый день по всему миру. Неоспорим факт, что виртуальные происшествия создают как мелкие, так и серьёзные неудобства. Это может быть потеря интеллектуальной собственности или других данных, ремонт и техническое обслуживание, потеря дохода и увеличение затрат на обеспечение безопасности. Помимо прямого воздействия кибератаки также наносят урон и корпоративной (и правительственной) репутации и теоретически, если участятся, могут, по меньшей мере, пошатнуть общественное доверие в безопасность интернет-транзакций и электронной коммерции.
Однако за всю историю существования компьютерных сетей известно лишь несколько примеров атак или других видов происшествий, которые можно было бы назвать системными или которые могли бы вызвать глобальный шок. Немногочисленны примеры кибератак, приведших к совершению реального физического насилия над людьми или их имуществом. Огромное количество, если не все, кибератаки и происшествия создавали неудобства или наносили мелкий урон без серьёзных и долгосрочных последствий. Это операционные риски микроуровня, с которыми можно справиться самостоятельно, прибегнув к стандартным способам защиты.
Может ли это повлиять на будущее? Столкнёмся ли мы с тем, что виртуальные события станут носить характер систематической угрозы не только вероятной, но и непредотвратимой? Эксперты по системам безопасности обеспокоены проблемой обеспечения безопасности так называемой критической инфраструктуры: физической, виртуальной и организационной структур, необходимых для жизнедеятельности общества, при долгой недоступности которых по всем сценариям наступает социальная нестабильность и повсеместный кризис. Сегодня эти объекты критической инфраструктуры имеют форму взаимосвязанных, сложных и всё более виртуальных систем. Высокий уровень доверия к виртуальным средствам контроля и управления этой инфраструктурой увеличил риск большой беды (или системного риска), повысив вероятность мутации локальных микроинцидентов в системные макропоследствия. Существует два типа воздействий на систему, вызывающих опасения: неожиданное воздействие отрицательного и положительного циклов обратной связи, образованных вследствие взаимодействия между агентами в системе - каскадный эффект, вызывающий цепь событий в разных географических точках, в разное время и в различных типах систем.
... как "надуманная катастрофа "
С учётом этого существующего сценария какова же вероятность риска макрокатастрофы, которая затронет (критическую) инфраструктуру?
На этот вопрос прямого ответа нет и не будет. Первая проблема заключается в отсутствии достоверных данных об оценке убытков или ущерба в рамках нашего сегодняшнего виртуального шаблона виртуального использования, и мала вероятность того, что когда-нибудь появится решение этой проблемы. Попытки сбора такой информации не увенчались успехом вследствие непреодолимых трудностей в том, что и как оценивать и что делать с данными о случаях, о которых стало известно слишком поздно или так и не стало известно вообще. Поэтому неудивительно, что в существующих публикациях очень туманно говорится о фактическом уровне риска. Существует огромное количество таких слов, как "могло бы", "возможно" и "вероятно", описывающих киберинциденты, и туманное выражение "что было бы, если бы", употребляемое при обсуждении анекдотических случаев.
И венчает всё это неоднозначная интерпретация существующей информации об оценке угроз. Во-первых, так как борьба с киберугрозами стала очень политизированным вопросом, правительственные заявления об уровне угроз должны быть видны в контексте различных бюрократических лиц, соревнующихся друг с другом за ресурсы и влияние. Обычно это осуществляется путём заявления об острой необходимости в действиях (которые они предпримут) и общем описании угрозы как серьёзной и нависающей. В результате дебаты характеризуются риторической драматизацией и паникерскими предупреждениями. Масла в огонь подливают средства массовой информации, неустанно клепающие сенсационные заголовки. Во-вторых, основные источники оценки текущих угроз - это отчёты, подготавливаемые именно той отраслью промышленности, которая сама же и подверглась возникновению этой угрозы. В-третьих, по результатам психологических исследований восприятие риска в большой степени зависит от интуиции и эмоций. Киберриски, особенно в их наиболее экстремальной форме, создают профиль так называемых "ужасных рисков", которые невозможно контролировать, которые катастрофичны, фатальны и неизвестны. Люди склонны к диспропорциональной боязни таких рисков, учитывая их низкую вероятность, которая трансформируется в требование регулирующих мероприятий всех видов и нежелание нести большие расходы при неопределённой прибыли.
Учитывая то, что не достигнуто даже согласия по оценке величины угрозы на сегодняшний день или в прошлом, неудивительно, что эксперты повсеместно также не могут прийти к согласию о будущих сценариях киберапокалипсиса. Вторая основная проблема, не позволяющая оценить будущие киберриски, - это их собственный характер. Пока существует, по меньшей мере, доказательство и фактически совершенные киберпреступления, кибершпионаж или другие менее серьёзные формы киберинцидентов, совершаемых ежедневно, макроуровень киберинцидентов существует только в форме историй или рассказов. Это так называемые «надуманные катастрофы». От других событий или инцидентов их отличает компонент рассказа - разговор о следующей волне пандемии или следующем теракте - в общем, о том, чего ещё не случилось. Попытки сделать системные кибирриски более реальными, определив степень вероятности для них или путём оценки их возможных последствий в денежном эквиваленте, обречены на неудачу, так как они существуют лишь в форме историй, сценариев и даже мифов. То, как мы представляем их себе, влияет на наше суждение об их вероятности, а мы можем представлять их совершенно по-разному.
Как следствие этих двух проблем системные кибирриски непредсказуемы и не подаются расчёту. Они спрятаны от нас за двумя типами взаимосвязанной неопределённости: эпистемологической, изначально являющейся мерой степени игнорирования и относящейся к отсутствию знаний, и онтологической неопределённостью, возникающей из факта, что мир киберрисков находится в постоянном движении, намеренно и ненамеренно изменяясь по своему характеру и сути вследствие действий различных действующих лиц. Подоплёка обеих форм неопределённости - это комплексность, выведенная на первый план и поддерживаемая виртуальной инфраструктурой и её ролью для сегодняшнего общества.
Сложность и ограничения оценки и управления рисками
Почти прописной истиной стало утверждение, что мы живём в сложном мире. Однако главной темой виртуальных дебатов является именно сложность. В самом сердце виртуальных дебатов находится «Интернет», крупнейшая созданная человеком сложная система, свойства и компоненты которой могут провоцировать возникновение неожиданных феноменов. Сложность мировой информационной инфраструктуры по-прежнему возрастает вследствие расширения географии и объёма предлагаемых услуг, внедрения новых компонентов, более функционально использующих различные технологии, растущего количества сетей, узлов и ссылок и их взаимозависимостей, а также наложения слоёв систем друг на друга.
Вышеназванные критические инфраструктуры, как точка фиксации дебатов о киберрисках, также состоят из сложных сетей различного размера вследствие растущего доверия виртуальной инфраструктуре как для внутреннего пользования, так и для взаимодействия с внешними системами. Связанные между собой посредством информации системы критических инфраструктур стали взаимосвязаны в разных слоях: организационном, процессуальном, информационном и материальном. В силу взаимодействия частей, движущихся на разных по отношению друг к другу скоростях, будущее поведение становится трудно предугадать. В то же время современная критическая инфраструктура не позволяет отделить человека от технологий. Технологии - не просто инструмент жизнеобеспечения, а комплекс инструментов, характеризующихся субъективностью единства материала и человеческого фактора. Вследствие такого «экологического» понимания субъективности возникает определённый образ общества: общество становится неотделимо от сетей критической инфраструктуры. Таким образом, системными рисками, расцениваемыми как риски критической инфраструктуры, являются риски всей системы современной жизни.
Сложность системы чревата двумя незамедлительными последствиями. Во-первых, всем известная теория гласит, что технологические системы, сложные и интерактивно связанные между собой, пострадают в результате непредотвратимых инцидентов. В силу своей сложности взаимозависимые неудачи будут воздействовать друг на друга так, что их невозможно будет предсказать ни операторам, ни проектировщикам. Если в системе существует тесная взаимосвязь, неудачи быстро выходят из-под контроля до того, как становится понятно, что случилось и что можно предпринять. Именно связанность компонентов критической инфраструктуры посредством виртуальных инструментов представляет опасность в силу их внутренней пертурбации в каскадном порядке в крупные катастрофы очень быстро и вне нашего контроля.
Во-вторых, комплексное взаимодействие децентрализованных, открытых и не связанных между собой систем приводит к перегрузке нашей способности воспринимать и оценивать их. Комплексные системы ведут себя вопреки интуиции вследствие параллельных случаев, имеющих место при разных скоростях, с разной частой и в отсутствие линейности/эффекта взаимоотношений. В результате человеческий мозг не может "читать" эти системы правильно. Однако аналитические структуры, разработанные для аварий с опасными материалами в химической промышленности и на атомных электростанциях, всё ещё являются средой для возникновения киберрисков, связанных с важнейшими инфраструктурами. Эти традиционные инструменты оценки рисков ограничиваются точной оценкой и прогнозным моделированием (которые основаны на поведении и опыте в прошлом) и линейном причинно-следственном мышлении. Они неизбежно приведут к краху их назначения при применении к действительно сложным и неопределённым ситуациям.
Охватывая непознаваемое ...
Если системные киберриски действительно непредсказуемы и неисчислимы, как утверждается выше, то термин «киберриск» является неверным. В работе Фрэнка Найта утверждается, что риски не являются неопределённостью, а неопределённость не является риском. Скорее всего, риски - это форма неопределённости, потому что они измеримы, а значит, управляемы. Сама сущность рисков понимается таким образом, что мы можем попытаться целенаправленно влиять и в некоторой степени контролировать их здесь и сейчас. Неопределённость, однако, не может находиться под контролем. Употребление слова «риск» вызывает в воображении образы управляемости, а также неизбежно приведёт нас к использованию «старых» известных инструментов для их анализа и управления. Это может ввести в заблуждение и заставит нас поверить в то, что мы можем справиться с ними. В отношении неопределённых системных киберрисков целесообразно воздержаться от того, чтобы называть их рисками. Переход от системных киберрисков к системной кибернеопределённости имеет большое значение в отношении того, как с ними справиться. Как только мы начинаем принимать их "непознаваемость", мы должны признать, что не можем эффективно их контролировать, но мы должны добиться того, чтобы знать, где предел наших способностей и где традиционные инструменты могут и должны применяться. Кроме того, мы должны найти способы взаимодействия с системами, которые будут всегда удивлять нас, и узнать, как интегрировать осведомлённость о существовании системной неопределённости в наши процессы планирования и в наш общий образ жизни.
Ни один из этих подходов не является революционным или новым. На самом деле, многие аспекты текущей защиты важнейших объектов инфраструктуры уже прагматично справляются с этими неопределенностями.
Вместо того, чтобы знать и предвидеть определённые угрозы, например ключевое направление усилий на обеспечение защиты часто заключается в идентификации и смягчении уязвимости системы, которая кажется идентифицируемой, по крайней мере, на низких уровнях системы. Кроме того, мы можем наблюдать использование сочетания «дискурсивных стратегий управления» и «стратегий, основанных на устойчивости», которые должны быть использованы, когда существует высокая неопределённость (дискурсивный подход), или игнорирование (подход устойчивости). Управление, основанное на дискурсивном подходе, характеризуется участием заинтересованных сторон, включая промышленность и неправительственные организации, и участие общественности. Соответственно качественное повышение сотрудничества государства и частных лиц может способствовать лучшему обмену информацией, что является одной из основных целей политики каждой защиты критических объектов инфраструктуры. Кроме того, кампании по информированию общественности, или планы по виртуальному образованию в начальной школе и колледжах и вузах, или подготовка технически грамотного персонала и научные исследования по компьютерной безопасности являются неотъемлемой частью правительственных планов защиты. Кроме того, давно признано, что эффективность усилий государства все ещё остается ограниченной и что расширенный и более эффективное сотрудничество необходимо, особенно когда речь идёт о международно-правовом сотрудничестве. Управление, основанное на устойчивости, с другой стороны, характеризуется переходом от концепции защиты к концепции устойчивости. Хотя эти два понятия часто пересекаются, защита инфраструктуры направлена на предотвращение или уменьшение влияния неблагоприятных событий, в то время как устойчивость инфраструктуры уменьшает величину влияния и продолжительности нарушения деятельности системы. Если устойчивость является ключевой концепцией, безопасность не ссылается на отсутствие опасности, а, скорее, на способность системы быстро и эффективно реорганизоваться и приходить в себя после потенциально катастрофического события. Таким образом, в то время как защитные (и оборонительных) меры направлены на предотвращение сбоев и по-прежнему уходят в глубь мир риска и линейных причинно-следственных связей, устойчивость полностью охватывает непознаваемость и принимает, что некоторые нарушения неизбежны. Это также смещает фокус внимания от профилактических мероприятий к реагированию и восстановлению после стихийных бедствий.
.. и обсуждая риск неудачи
Вероятно, наиболее важный вывод, который можно сделать из этого, заключается в том, что политический дискурс неопределённости необходим для того, чтобы обеспечить легитимность возможной неудачи. В мире сложных систем не может быть никакой безопасности в абсолютном смысле. На самом деле, все наоборот: киберинциденты, как считается, происходят потому, что их просто не избежать. Миф о контроле и идеальной управляемости рисками нужно забыть. Это создаёт проблемы для правительств, частного сектора и общества.
Учитывая характер и объём системных киберугроз, правительства должны подумать об обсуждении того факта, что они уже не могут обеспечить свои государства тем, что они требуют от них на основе социального контракта: безопасностью и защитой. Правительства должны быть готовы признать, что их роль в обеспечении кибербезопасности может быть только очень ограниченной, хотя они считают, что киберугрозы носят характер национальной безопасности. Владение, эксплуатация и поставка большей части критически важных систем в настоящее время находится в руках частного сектора. Задача, стоящая перед правительствами, таким образом, заключается в том, чтобы точно определить, какие активные действия (усиление регулирования например) в области защиты критической инфраструктуры являются действительно необходимым, учитывая то, что поставлено на карту, при определении, как лучше всего поощрять рынок для повышения устойчивости компаний и секторов.
Частному сектору придется признать, что гораздо эффективнее коллективное использование технических ресурсов и доступа к (критическим) инфраструктурам, чем это может сделать только правительство. Моральная ответственность за смягчение последствий и устойчивость всего общества системным киберрискам, таким образом, всё больше ложится на компании. Эта "новая" корпоративная социальная ответственность требует перехода от наблюдения исключительно за (операционными) рисками микроуровня и от узкого анализа затрат и прибылей к интегрированному представлению бизнеса, выступающему одной из основных потребностей общества.
И, наконец, перед обществом встаёт задача научиться жить в неуверенности значительной степени, порождённой неуверенностью. Сегодня высокая степень рассеянной тревоги скрывается под покровом повседневной жизни и характеризуется общественными дебатами о киберугрозах. Эта точка зрения проблематична, потому что это снижает системные (кибер) рисков/неопределённость до состояния ожидания беды, считающейся неизбежной. Однако один из великих уроков социологии риска в том, что риски не существуют, но превращаются в риски сквозь призму человеческого восприятия и обсуждения. Что ещё более важно, это то, что, так как они ещё не проявляются, но находятся в весьма неопределённом будущем, они могут быть сформированы выбором человека в настоящем. Применительно к области неопределённости можно привести такие же аргументы. Что нужно, чтобы позабыть о потенциальном страхе и тревогах вместе с мыслями об апокалипсисе и сосредоточиться на человеческой деятельности и человеческой ответственности? Но даже если это удастся, мы должны ожидать нарушений в виртуальном мире в будущем, а не непосредственной беды. Некоторые киберинциденты могут стать причиной кризиса, но кризис должен рассматриваться как поворотный момент, а не конечное состояние, где неприятие бедствия или катастрофы всегда возможно. Если общество станет более отказоустойчивым в психологическом плане и более устойчивым в целом, вероятность для катастрофы катастрофического сбоя всей системы, в частности может быть существенно снижена.
Д-р Мириам КАВЕЛТИ, Перевод с англ. Т. Суховой
Источник: Журнал «Рынок страхования» № 11-12 (86-87), ноябрь-декабрь 2011 г.