Что общего между хакером , защищающим свою инфраструктуру, и заключённым, решающим — предать или молчать? Как показывает теория игр, у них гораздо больше общего, чем может показаться на первый взгляд. А в случае с компаниями, инвестирующими в информационную безопасность, эта аналогия становится особенно зловещей. На днях Брюс Шнайер обратил внимание на новое исследование, которое показывает, как именно работает дилемма заключённого в корпоративной кибербезопасности. И, честно говоря, выглядит это тревожно.
Теория игр и ИБ: зачем всё это вообще?
Когда речь заходит о киберугрозах, большинство компаний рассуждают просто: у нас есть бюджеты, у нас есть риски — надо защищаться. Но если копнуть глубже, становится ясно: дело не только в технологиях или мотивации злоумышленников, а в том, как именно принимаются решения внутри и между организациями.
Теория игр помогает понять, почему компании часто ведут себя иррационально. Один из самых ярких примеров — дилемма заключённого, в которой два игрока, преследуя личную выгоду, выбирают предательство, хотя при сотрудничестве получили бы больший суммарный выигрыш.
Напомните, что за дилемма?
Классический пример: два преступника задержаны полицией. Их разделяют и предлагают сделку — если один сдаёт другого, а тот молчит, первый выходит на свободу, а второй получает максимальный срок. Если оба молчат — получают по минимальному сроку. Если оба сдают — получают по среднему. Рационально — предать. Но если оба поступят рационально, то окажутся в ситуации, которая хуже, чем могла бы быть при сотрудничестве.
Когда обмен знаниями становится уязвимостью
В исследовании, на которое ссылается Шнайер, описывается аналогичная ситуация в мире информационной безопасности. Компании оказываются в той же самой дилемме: им выгодно делиться знаниями об уровне инвестиций в ИБ — это помогло бы избежать ненужных трат, дублирования и переоценки угроз. Но... они этого не делают.
Почему? Потому что каждая фирма боится, что другая использует эту информацию себе во благо — улучшит свою стратегию, не потратившись, или получит конкурентное преимущество на рынке. Итог — каждая увеличивает свой ИБ-бюджет, не координируя усилия и не добиваясь реального роста общей защищённости.
«Гонка вооружений» без конца
Такая ситуация напоминает гонку вооружений: каждый старается вооружиться больше, чем сосед, не потому что это реально нужно, а потому что боится остаться слабым. В ИБ это проявляется в бесконечном росте бюджетов на закупку средств защиты, аудиты, обучение, но без соответствующего роста эффективности.
Как отмечают авторы исследования, компании инвестируют не потому, что это оптимально, а потому что так делают другие. А раз другие не делятся своими стратегиями и уровнем расходов, у всех формируется ощущение: «мы, возможно, отстаём, надо срочно вкладываться». И вот уже вендоры потирают руки, а реальные угрозы... остаются прежними.
Почему компании не сотрудничают — даже если это в их интересах
Это и есть суть парадокса. Как бы ни хотелось верить в рациональность, в стратегическом вакууме рациональный выбор становится коллективно губительным. Каждая компания действует в рамках модели «если не предам — проиграю», и, в результате, все проигрывают чуть больше, чем могли бы.
Даже наличие отраслевых альянсов, регулирующих органов и рабочих групп часто не спасает. Доверие требует прозрачности, а прозрачность в кибербезопасности — это риск. А кто захочет добровольно раскрывать уязвимости, когда на кону репутация, контракт или IPO?
Есть ли выход из этой ловушки?
Теоретически — да. Это может быть создание доверенных сетей обмена информацией (например, по модели FIRST), в которых компании делятся данными об атаках, рисках и эффективных мерах защиты. Или регулирование, требующее определённой прозрачности в вопросах ИБ-инвестиций (что, впрочем, почти утопия в текущем мире). А ещё — переход от конкуренции к кооперации, особенно в секторах с высоким риском (энергетика, здравоохранение, телеком).
Но главное — это признание проблемы. Пока компании будут воспринимать ИБ как чисто индивидуальное соревнование, они так и будут попадать в капкан дилеммы заключённого: действовать рационально, но в итоге проигрывать всем.
Мораль: предать проще, чем сотрудничать
Именно поэтому дилемма заключённого — такая мощная метафора для современного ИБ-мира. Она напоминает: иногда выиграть можно, только если действовать вместе. Но чтобы на это решиться, нужна не только рациональность, но и мужество идти против инстинкта самосохранения.
А пока... будем наблюдать, как растут бюджеты на безопасность, а злоумышленники по-прежнему обходят даже самые защищённые системы. Потому что главная уязвимость — не в софте, а в логике стратегий.
