О роли критического мышления для специалиста по ИБ

Специалисты по кибербезопасности каждый день реагируют на угрозы или принимают решения в условиях неопределенности и нехватки информации при, что парадоксально, ее избытке. Как не допускать ошибок, которые могут дорого обойтись? Как научиться вычленять только важное и не вестись на неверную и явно ложную информацию? Ответ на оба эти вопрос существует и называется «критическое мышление», дисциплина, которую у нас почему-то не преподают в ВУЗах специалистам по ИБ и не включают в список нужных для специалистов по кибербезопасности навыков (хотя думающих людей власти любой эпохи и любой страны вообще не любят). Хотя, как мне кажется, из гибких навыков (soft skills), критическое мышление, наряду с коммуникационными навыками и принятием решением, является самым важным и его важность будет только возрастать. При этом критическому мышлению не так уж и сложно научиться и, немного потренировавшись, закрепить навыки.

Что же такое критическое мышление? Если по-простому, то это способность человека сомневаться во входящей информации и в своей убежденности, рационально оценивать все факты и связи между ними, а также аргументировать свою позицию, не оглядываясь на авторитеты и якобы истину. На чем базируется критическое мышление? Я бы выделил семь основных его составляющих:

1. Умение задавать правильные вопросы. Например, Anonymous разместили у себя сообщение о том, что 3-го марта они атакую все финансовые организации России и вычистят все счета россиян и переведут украденные деньги в Украину. Можно ужаснуться и побежать срочно снимать деньги, увеличивая и так немалые очереди у банкоматов и в отделениях. А можно задаться вопросом: «Кто [за этим стоит]?» Возможно тем, кто хочет расшатать ситуацию и заставить людей снимать деньги со своих счетов, чтобы и правда в финансовой системе наступил коллапс. А можно копнуть глубже и задаться вопросом «Как [переведут деньги на Украину]?». Во-первых, сейчас ужесточен контроль за зарубежными переводами, тем более в Украину. Во-вторых, международные платежи так просто не провести с обычного счета. В-третьих, массовые переводы сразу привлекут внимание и будут остановлены. Ну и т.д. Вообще, все вопросы, которые мы должны задать, получив новую информацию, мы можем собрать в формулу 5W+H (англосаксы любят красивые формулы), которая раскрывается так: «WHO? WHAT? WHEN? WHY? WHERE? HOW?» или «КТО? ЧТО? КОГДА? ПОЧЕМУ? ГДЕ? КАК?«. Причем задается не всего 6 вопросов — их может быть больше. Например, вопрос «КТО» может быть трансформирован в «Кто опубликовал новость об инциденте или индикаторе компрометации?», в «Кому выгодна эта публикация об инциденте?», «Кто пострадает от этой публикации об инциденте?», «Кто может проконсультировать по данному инциденту?», «Кому я могу доверять в этом вопросе?».
   

   Вообще, применение модели 5W+H шире — ее можно и при реагировании на инциденты и при моделировании угроз использовать. Например, методика оценки угроз ФСТЭК хорошо ею описывается (только без одной W).

   

Умение работать с разными источниками информации, а не только с обще- и легкодоступными. Например, на днях я опубликовал в Твиттере заметку с ссылкой на статью одного одиозного специалиста, который написал, что хакеры взломали Росатом и украли чувствительную информацию. На эту информацию можно смотреть по разному. Можно подумать: «Опять Лукацкий хрень непроверенную публикует». А можно «О, проверю-ка я свои процессы реагирования, планы взаимодействия со СМИ и проведу мероприятия по повышению осведомленности». А можно попробовать проверить эту информацию по другим, независимым источникам, чтобы убедиться в ее достоверности и исходя из этого приоритизировать свои мероприятия по ИБ.
2. Умение оценивать полноту, актуальность, согласованность, своевременность, достоверность и точность данных. В день начала войны военной операции против Украины НКЦКИ опубликовал бюллетень с предупреждением о возможных кибератаках на российские предприятия. Насколько полно было это предупреждение? Увы, всерьез его рассматривать невозможно, так как в нем отсутствовала хоть какая-нибудь фактура. Полнота, актуальность, точность, достоверность?.. Это все не про бюллетень НКЦКИ, который советовал усилить бдительность. Поэтому многие мои коллеги, с кем мне довелось обсудить этот документ, всерьез его не восприняли ????
3. Умение формировать и оценивать гипотезы. Вспомним инцидент 28-го февраля с атаками на крупные российские СМИ, на главных страницах которых были размещены антироссийские лозунги. Что могло стать причиной ситуации, когда разные СМИ одновременно столкнулись с одинаковой проблемой? Гипотез может быть несколько. Например, такие:
   1. У всех одна и та же CMS с непатченной уязвимостью.
   2. Сочувствующий Украине инсайдер в каждом из СМИ.
   3. Аутсорсинг сайтов всех СМИ в одной организации.
   4. Целенаправленная кампания, в которой разные хакеры/группировки действовали одновременно.
   5. Все СМИ использовали единый CDN, который и взломали.
   6. СМИ использовали внешние общие счетчики или скрипты или плагины (именно эта версия и оказалась верной).
   7. Простое совпадение.
4. Умение искать в гипотезах противоречия. Например, для первой гипотезы в предыдущем примере достаточно было просто проверить, какие CMS используются на сайтах СМИ с помощью сервиса WhatCMS, который показал, что у всех СМИ были разные CMS. Про выявление противоречий в дипфейках я вообще молчу — с этой проблемой очень остро нам еще придется столкнуться; хотя уже сейчас, в текущем противостоянии они стали использоваться повсеместно (видео запущенных ракет, видео выступлений президентов, фото и видео жертв и т.п.) и без умения искать противоречия бороться с фейками очень сложно.
5. Знание психологии восприятия рисков и когнитивных искажений, которые мешают нам принимать правильные решения и формулировать гипотезы. Людям свойственно ошибаться и происходит это потому, что у нас в голове заложены определенные шаблоны поведения и мышления, которыми мы обычно и руководствуемся в большинстве ситуаций. Нередко в основе этих шаблонов лежат неверные рассуждения, которые и приводят нас к неверным выводам и решениям. Например, часто встречая в логах SIEM одни и те же события ИБ, мы будем игнорировать другие, встречаемые гораздо реже (т.н. систематическая ошибка внимания). Или, например, наши регуляторы часто не выпускают оперативных разъяснений и информационных писем по важным вопросам ИБ, считая, что бездействие лучшим вариантом. Они недооценивают его последствия, сравнивая с результатами возможных действий, которые бы произошли, если бы регуляторы сделали хоть что-то. Еще пример когнитивного искажения, который встречается в последние дни, — иллюзия правды. Чем чаще повторяется одно и тоже сообщение, тем больше мы ему начинаем доверять. Поэтому так активны различные боты и сторонники обеих сторон военного конфликта, которые вбрасывают одну и ту же информацию в разные каналы и источники. Например, те же Anonymous или КиберПартизаны, чьим постам начинают доверять многие, прочтя/услыша их десятки раз из уст разных людей ????
   

   Даже наше знание о когнитивных искажениях, создающее иллюзию, что мы можем их распознавать и противостоять, это тоже когнитивное искажение, называемое эффектом G.I.Joe.

6. Умение делать и представлять свои выводы. Ну тут вроде все понятно.

Заметка О роли критического мышления для специалиста по ИБ была впервые опубликована на Бизнес без опасности .