Текст книги "Как оценить риски в кибербезопасности. Лучшие инструменты и практики"

Глава 4. Самое важное измерение в области кибербезопасности

Надеемся, что из главы 2 вы уяснили, как применяется термин «измерение» в науке о принятии решений и в эмпирических науках в целом. На наш взгляд, это наиболее подходящая трактовка измерения для сферы кибербезопасности. В главе 3 вы познакомились с простейшим уровнем количественного анализа рисков. Еще многое предстоит рассказать об особенностях методов измерения, но пока мы предлагаем выбрать первой целью измерений сам анализ рисков.

Авторы знакомы с самыми разными экспертами, которые активно защищают свои точки зрения на относительные достоинства различных методов оценки риска в сфере кибербезопасности. Мы вывели простое наблюдение, что обе стороны с полярно противоположными позициями часто получают аргументы в свою поддержку от высококвалифицированных специалистов с многолетним опытом работы в сфере кибербезопасности. Один компетентный эксперт, к примеру, будет утверждать, что конкретная система, основанная на качественной оценке, повышает эффективность принятия решений, позволяет добиться консенсуса и избежать проблем, возникающих при более количественных методах. Другой столь же квалифицированный эксперт будет настаивать, что это иллюзия и что такие методы просто «неправильно считают». Так как известно, что по крайней мере один из них (или оба) должен быть не прав, значит, квалификации и опыта в области кибербезопасности недостаточно, чтобы определить, является ли конкретное мнение на определенную тему верным.

Это подводит нас к нескольким сложным вопросам. Как решить, какие методы эффективнее? Могут ли методы анализа рисков, которыми специалисты по кибербезопасности пользовались десятилетиями и в которых они весьма уверены, на самом деле не работать? Возможно ли, что предполагаемые преимущества широко используемых инструментов – иллюзия? Что вообще подразумевается, когда говорят, что метод «работает», и как это можно измерить? Нам кажется, что самое важное измерение при оценке риска кибербезопасности, да и любой другой оценке риска – измерение того, насколько хорошо работают сами методы оценки рисков.

Если задуматься, то имеет ли вообще значение, работает анализ рисков или нет? И подразумевается ли под «работает», что он лишь внешне соответствует своему названию или же что он и правда улучшает процесс распознавания рисков и управления ими? Мы будем придерживаться позиции, которую считаем очевидной и которая не должна вызывать споров.

• Важно, чтобы анализ рисков работал на самом деле.

• Под «работает» мы имеем в виду, что он измеримо снижает риски по сравнению с альтернативными методами при тех же ресурсах. То есть, по нашему мнению, анализ рисков в любой области, включая кибербезопасность, это не просто бутафория ради галочки.

• Регуляторы и организации по стандартизации должны сделать так, чтобы измеряемая производительность методов являлась ключевой характеристикой их соответствия предъявляемым требованиям. Если соблюдение стандартов и правил в действительности не способствует повышению эффективности управления рисками, то такие стандарты и правила нужно менять.

• Также нам кажется, что мы вправе сказать, что для урегулирования вопроса со множеством противоречивых мнений экспертов всех уровней необходимо начать измерять, насколько хорошо работают методы анализа рисков.

• Мы твердо убеждены, что использование компаниями методов анализа рисков кибербезопасности, которые не могут показать измеримое улучшение качества оценки рисков или, что еще хуже, снижают его, и есть самый большой риск в кибербезопасности, а повышение эффективности оценки рисков является наиболее важным приоритетом в управлении рисками.

Измерение самих методов лежит в основе всех рекомендаций в данной книге. Нами предлагаются либо методы анализа рисков на основе уже проведенных и опубликованных измерений, либо, если подобные измерения не проводились, способы, позволяющие определить действенный метод. И кстати, описывая, как измерить относительную эффективность методов, неплохо бы также объяснить, как ее измерять не следует.

К концу данной главы вы увидите, что в опубликованных исследованиях уже представлены измерения ключевых элементов количественных методов, предложенных в главе 3. В следующей же главе описано исследование, показывающее, что компоненты популярных в настоящее время методов оценки рисков могут принести больше вреда, чем пользы. А теперь давайте рассмотрим, почему методы должны прежде всего обосновываться исследованиями, а не мнениями экспертов.

Главный принцип – не дурачить самого себя. А себя как раз легче всего одурачить.

Ричард Филлипс Фейнман (1918–1988), лауреат Нобелевской премии по физике

Порой можно услышать, что тот или иной метод «проверен» и является «лучшей практикой». Метод могут расхваливать, называя «строгим» и «формальным», и подразумевается, будто этого достаточно, чтобы полагать, что он повышает качество оценки и решений. В конечном итоге метод получает звание «принятого стандарта», а некоторые довольные пользователи даже приводят свидетельства его эффективности.

Как часто эти утверждения основаны на реальных измерениях эффективности метода? Вряд ли кто-то проводил крупные клинические испытания с тестовыми и контрольными группами. Оценки редко сравниваются с фактическими результатами, а нарушения кибербезопасности, которые особенно дорого обходятся организациям, почти никогда не отслеживаются на большом количестве примеров, чтобы увидеть, действительно ли риск изменяется в зависимости от того, какие методы оценки риска и принятия решений используются. К сожалению, звание «лучшей практики» не означает, что метод был измерен и получил научное обоснование его превосходства над множеством других практик. Как говорил Фейнман, нас легко одурачить. Видимые улучшения могут оказаться всего лишь миражом. Даже если метод приносит больше вреда, чем пользы, люди все равно могут искренне считать, что видят его преимущества.

Как такое возможно? Виновато «аналитическое плацебо» – ощущение, что некоторые методы анализа повысили качество решений и оценок, даже если это не так. Аналогия с плацебо и его ролью в медицинских исследованиях на самом деле слишком мягкая. В медицине плацебо и правда может давать положительный физиологический эффект, а не просто дарить ощущение полезности. Однако, используя термин в данном контексте, мы имеем в виду, что в буквальном смысле нет никакой пользы, а только одно ее ощущение. В областях, не относящихся к кибербезопасности, проводились исследования, показавшие, что чем больше усилий тратилось на анализ, тем выше была уверенность в его эффективности, даже если фактически она не повышалась совсем. Вот несколько таких примеров, также упоминавшихся в других книгах Хаббарда.

• Спортивные прогнозы. В исследовании, проведенном в 2008 году в Чикагском университете, отслеживалась вероятность исходов спортивных событий, которые определяли участники испытания, исходя из получаемых объемов информации о командах, но при этом не сообщались названия команд или имена игроков. По мере того как участникам выдавалось больше информации о командах в конкретной игре, повышалась их уверенность в том, что они выбирают победителя, даже несмотря на то что реальная вероятность выбора победителя оставалась почти неизменной независимо от количества полученной информации¹.

• Психологическая диагностика. Другое исследование показало, что практикующие клинические психологи становятся увереннее в поставленном диагнозе и в прогнозах различных видов рискованного поведения, когда собирают больше информации о пациентах. И опять же процент соответствия прогнозов наблюдаемым результатам поведения на самом деле не повышался².

• Инвестиции. Пол Андреассен, психолог-исследователь из Массачусетского технологического института, в 1980-х годах провел несколько экспериментов, показавших, что сбор большего количества сведений об акциях в инвестиционных портфелях повышал уверенность испытуемого, но не способствовал повышению доходности портфеля. В одном из исследований он продемонстрировал, что люди склонны слишком остро реагировать на новости и считать дополнительные сведения информативными, даже если в среднем доходность в результате не повышается³.

• Сотрудничество в спортивных прогнозах. Еще одно исследование предполагало сотрудничество спортивных болельщиков друг с другом для повышения точности прогнозов. И снова после совместной работы повышалась уверенность, но не фактические показатели. Более того, участники редко вообще меняли мнение, сформировавшееся еще до совместного обсуждения. Прямым следствием сотрудничества было стремление получить подтверждение тому решению, которое участники уже приняли⁴.

• Сотрудничество при обсуждении интересных фактов. В другом исследовании, посвященном изучению пользы сотрудничества, испытуемых просили дать ответы на вопросы на общую эрудицию, подобные вопросам из «Своей игры» (Jeopardy). Исследователи рассматривали многочисленные формы взаимодействия, в том числе дельфийский метод, свободное обсуждение и прочие методы сотрудничества. Несмотря на то что взаимодействие не улучшило оценки по сравнению с простым усреднением индивидуальных оценок, испытуемые действительно чувствовали большее удовлетворение от его результатов⁵.

• Определение лжи. В исследовании 1999 года измерялась способность испытуемых обнаруживать ложь в контролируемых тестах с использованием видеозаписи инсценированных допросов «подозреваемых». Актеры в роли подозреваемых должны были скрывать определенные факты о «преступлениях» и демонстрировать явную нервозность по поводу того, что их раскроют. Некоторых испытуемых, просматривавших видеозаписи, обучали распознавать ложь, а других – нет. Обученные испытуемые были более уверены в суждениях о распознавании лжи, хотя на деле распознавали ложь хуже, чем необученные⁶.

И это лишь несколько из множества подобных исследований, показывающих, что можно обучаться, собирать информацию, сотрудничать с другими людьми и это повысит уверенность в суждениях, но не фактическую эффективность оценки. Конечно, эти примеры относятся к проблемам решения совершенно иных типов задач. Но почему предполагается, что сходные проблемы не свойственны вопросам кибербезопасности? В фармацевтической промышленности новый препарат фактически считают плацебо, пока не будет доказана его эффективность. Тот факт, что плацебо существует в одних областях, означает, что оно может существовать и в других, если только данные не показывают обратного. Глядя на примеры проблем в таких разных областях, как инвестиции, скачки, футбольные матчи и диагностика пациентов в психологии, кажется, что бремя доказывания должно лежать на человеке, утверждающем, что в какой-то другой области, например кибербезопасности, можно избежать этих проблем. Так что давайте остановимся на предположении, что для сферы кибербезопасности характерны те же проблемы, что наблюдаются во многих других областях, где людям приходится выносить суждения.

Мы определенно не будем при измерении эффективности различных методов полагаться на заявления экспертов, независимо от того, каким уровнем знаний, по их мнению, они обладают и насколько громко о себе заявляют. И поэтому, хотя мы можем вполне обоснованно сказать, что обладаем большим опытом в области кибербезопасности (Сирсен) и количественного анализа рисков в целом (Хаббард), мы не будем полагаться на свой авторитет, говоря о том, что работает, а что – нет (а подобный недостаток, кажется, имеется у многих книг по управлению рисками и информационной безопасности). Наши аргументы будут основаны на опубликованных результатах крупных экспериментов. Любое упоминание случаев из жизни или цитирование лидеров мнений будет приводиться только для иллюстрации точки зрения, но не в качестве ее доказательства.

Бесспорно, что аргументы и доказательства – это способ получения достоверных выводов о реальности. Под «аргументами» нами понимается использование математики и логики для получения новых утверждений из предыдущих подтвержденных заявлений. К «доказательствам», на наш взгляд, не относятся случаи из жизни или доводы свидетелей (любой метод, включая астрологию и экстрасенсорное общение с животными, способен генерировать подобные «доказательства»). Лучшими источниками доказательств служат большие случайные выборки, клинические испытания, объективные данные за прошедшие периоды и т. д. А чтобы затем делать выводы, данные должны быть оценены с помощью соответствующих математических методов.

Необходимо определить научно обоснованный способ оценки методов, а затем сравнить различные методы на основе этой оценки. Однако существует распространенное опасение, что в сфере кибербезопасности просто не найдется достаточного количества данных для надлежащих, статистически достоверных измерений. Иронично, что утверждается это почти всегда без должных математических расчетов.

Вспомните из главы 2: если расширить свой кругозор в отношении того, какие данные могут быть информативными, то на деле у нас будет больше данных, чем кажется. Поэтому ниже представлена часть способов, благодаря которым у нас больше данных об эффективности методов оценки рисков кибербезопасности, чем мы думаем.

• Не стоит ограничиваться только собственным примером. Конечно, каждая организация уникальна, но это не означает, что нельзя учиться на чужом примере (по сути, опыт ничего бы не значил, если бы мы не умели обобщать практические знания, не являющиеся абсолютно идентичными). Именно с помощью информации из более крупных совокупностей страховые компании оценивают риск вашего здоровья, даже если вы никогда не предъявляли претензий, а врач считает, что лекарство, которое вы раньше не принимали, подойдет вам, так как знает о крупном исследовании с участием множества других людей.

• Можно измерять как целые системы, так и их компоненты. Можно измерить общую эффективность всей системы или отдельных ее компонентов. Когда инженер прогнозирует поведение новой системы, которая еще не построена, он применяет знания о поведении компонентов и их взаимодействии. Проще измерить несколько компонентов оценки риска, чем ждать, пока произойдут редкие события. Например, отслеживание того, насколько эффективно аналитики в области кибербезопасности оценивают более частые незначительные события, является мерой компонента «экспертная оценка» в системе управления рисками.

• Можно обратиться к опубликованным исследованиям. Если рассмотреть на уровне компонентов исследования более крупных совокупностей, не связанных с нашим собственным опытом, то нам станет доступно гораздо больше данных. При отсутствии данных или результатов сторонних исследований, возможно, пора начать собирать данные в процессе измерения.

В идеальном мире у вашей компании было бы так много собственных данных, что не пришлось бы делать выводы из более крупных совокупностей данных других предприятий. Можно было бы оценить общую эффективность системы оценки рисков, измерив реальные результаты, наблюдаемые в вашей компании. Имея крупную компанию и достаточно времени, можно было бы наблюдать изменения при значительных утечках данных в различных структурных подразделениях, применяющих разные методы оценки рисков. Более того, можно было бы задействовать множество организаций в общеотраслевых экспериментах и получить в изобилии данные даже о событиях, редко возникающих в отдельно взятой компании.

Естественно, крупные эксперименты в масштабах всей отрасли нецелесообразны по нескольким причинам, в том числе из-за количества затрачиваемого на них времени (да и какие организации захотели бы оказаться в группе «плацебо», применяющей фальшивый метод?). Не удивительно, что на момент написания книги в рецензируемой литературе не было опубликовано ни одного подобного исследования. Так что же можно тогда сделать для сравнения различных методов оценки рисков научно обоснованным способом? Другие упомянутые выше аспекты стратегии измерений предоставляют различные варианты действий, и некоторые из них могут дать ответы немедленно.

Самым целесообразным решением для первоначального измерения было бы поэкспериментировать с крупными совокупностями данных, но в рамках существующих исследований на уровне компонентов. Компонентное тестирование – подход, знакомый многим профессионалам в области информационных технологий. К доступным для рассмотрения компонентам относятся отдельные этапы оценки рисков, используемые инструменты и методы сотрудничества. Даже простое обозначение вероятности кибератаки является компонентом процесса, который можно проверить. На самом деле на эту тему уже проводилось множество исследований на уровне компонентов, в том числе очень масштабных, выполнявшихся десятилетиями многими исследователями и опубликованных в ведущих рецензируемых научных журналах.

Если продемонстрировано, что отдельные компоненты метода повышают его эффективность, то метод, основанный полностью на таких элементах, с гораздо большей вероятностью будет эффективным, чем метод, для компонентов которого нет подобных доказательств или, что еще хуже, отмечено наличие у них недостатков. Это ничем не отличается от работы инженера-конструктора, занимающегося проектированием нефтеперерабатывающего завода или ракеты. Он применяет доказанные законы физики для оценки компонентов системы и затем рассчитывает, как они будут вести себя в совокупности. Существует множество потенциальных компонентов для оценки, поэтому давайте разделим их на две основные категории, которые используются или могут использоваться при оценке рисков кибербезопасности.

• Какова относительная эффективность сугубо традиционных моделей в оценке неопределенных результатов по сравнению с экспертами?

• При обращении к мнению экспертов какова эффективность инструментов, помогающих этим экспертам в оценке результатов?

Ключевой компонент, который следует учитывать при анализе рисков кибербезопасности, – это эффективность способа синтезирования информации для составления оценок. В частности, лучше ли полагаться на экспертов при вынесении суждения или на статистическую модель? Одним из специфических вопросов, область изучения которого изобилует исследованиями, является сравнение статистических моделей и мнений экспертов при оценке неопределенных результатов будущих событий. Благодаря таким исследованиям был получен один из самых цитируемых и впечатляющих выводов в психологии: даже относительно наивные статистические модели, похоже, превосходят экспертов-людей, предоставляя на удивление большее разнообразие оценок и прогнозов.

Мы не утверждаем, что можно полностью заменить человека при оценке рисков, а лишь рассматриваем несколько ситуаций, в которых были созданы объективные количественные модели и проведено их сравнение с профессиональным чутьем. Нам интересно выяснить следующее: если бы можно было построить чисто количественную модель на основе ранее полученных данных, стоило бы вообще это делать?

Читая об исследовании, вы, скорее всего, также захотите узнать, а можно ли, собственно, применять исследования из других областей к кибербезопасности. Если останетесь с нами, думаем, вы в итоге согласитесь с тем, что применение возможно. На самом деле, как и упомянутый ранее эффект плацебо, исследования настолько многочисленны и разнообразны, что, кажется, бремя доказательства будет возложено на того, кто утверждает, что кибербезопасность каким-то образом не затрагивает эти фундаментальные вопросы.

Исследования, сравнивающие экспертов и алгоритмы

Некоторые из исследований начинались в совершенно другой области в те времена, когда концепции кибербезопасности еще не существовало. Так, в 1950-х годах американский психолог Пол Мил высказал идею, потрясшую область клинической психологии. Он утверждал, что основанные на экспертных оценках клинические суждения о пациентах с психическими расстройствами могут быть хуже простых статистических моделей. Мил собрал большую исследовательскую базу, демонстрирующую, что статистические модели, основанные на медицинских записях, поставленных диагнозах и прогнозах, как минимум совпадали с суждениями квалифицированных клиницистов, а обычно превосходили их. Мил смог показать, например, что тесты на определение черт характера лучше экспертов прогнозировали преступность среди несовершеннолетних, аддиктивное поведение и некоторые виды поведения, связанные с неврологическими расстройствами.

В 1954 году им был написан фундаментальный труд под названием Clinical versus Statistical Prediction («Клинический прогноз против статистического»). И уже в этом первоначальном исследовании Мил смог процитировать более 90 работ, оспаривавших предполагаемый авторитет экспертов⁷. Исследователи, к примеру Робин Доус (1936–2010) из Мичиганского университета, с воодушевлением продолжили работу в этом направлении. И каждые новые результаты, полученные ими, только подтверждали выводы Мила, несмотря на то что они расширили охват, включив также специалистов, не занимающихся клинической диагностикой^{8, 9, 10}. Собранная в итоге библиотека исследований включала сведения, предсказывающие средний балл успеваемости первокурсников и студентов-медиков, рецидив преступлений, медицинские прогнозы и результаты спортивных событий. После того как число исследований значительно возросло, Мил был вынужден констатировать следующее:

В социальной науке нет ни одного противоречия, которое показало бы такое большое количество качественно разнородных исследований, приводящих к столь схожим результатам, как в данном исследовании. Когда вы проводите 90 экспериментов [теперь уже ближе к 150], предсказывая всё – от исхода футбольных матчей до заболеваний печени, – и при этом с трудом можете найти полдюжины исследований, показывающих хотя бы слабую тенденцию в пользу [экспертов-людей], самое время сделать практический вывод¹¹.

В указанном исследовании применялись довольно простые методы. Экспертов просили предсказать какие-либо объективно проверяемые результаты, например потерпит ли новый бизнес неудачу или какова будет эффективность химиотерапии для больного раком. Затем составляли прогноз для того же явления, используя алгоритм, основанный только на данных за прошлые периоды. И, наконец, тестировали оба метода на большом количестве прогнозов и определяли, какой из них работает лучше.

Убедительные выводы Мила и его коллег неизбежно привлекли интерес других исследователей, которые стали искать подобные явления в других областях. В одном из недавних примеров, исследовании компании, занимающейся разведкой нефти, отмечалась тесная взаимосвязь между использованием количественных методов (в том числе симуляций по методу Монте-Карло) для оценки рисков и финансовой успешностью компании^{12, 13}. В НАСА симуляции Монте-Карло на основе ранее полученных данных применяются наряду с более мягкими методами (основанными на субъективных шкалах) для оценки рисков превышения стоимости, срыва сроков и провала миссии. При оценке затрат и срывов расписания, полученной с помощью количественных методов, ошибки в среднем случались вполовину реже, чем у ученых и инженеров, использующих неколичественные методы¹⁴.

Пожалуй, самым амбициозным исследованием такого рода является эксперимент, который в течение 20 лет проводил Филип Тетлок. Результаты Тетлок опубликовал в книге Expert Political Judgment: How Good Is It? («Экспертное политическое суждение: насколько оно хорошо?»). Название указывает на конкретную область, но автор трактовал проблему достаточно широко, включая в нее экономику, военные вопросы, технологии и многое другое. Он отслеживал вероятности мировых событий, которые предсказывали в общей сложности 284 эксперта в соответствующих областях. К концу исследования было собрано более 82 000 отдельных прогнозов¹⁵ (это означает, что по объему данные Тетлока равны или превосходят данные III фазы крупнейших клинических испытаний лекарств, опубликованных в научных журналах). Исходя из полученных данных, Тетлок был готов сделать еще более сильное заявление, чем Мил с коллегами:

Невозможно найти область, в которой люди явно превосходили бы примитивные алгоритмы экстраполяции, не говоря уже о сложных статистических алгоритмах.

Почему так происходит?

Робин Доус, один из упоминавшихся ранее коллег Мила, подчеркивал, что низкая эффективность людей в задачах прогнозирования и оценки возникает отчасти из-за неточной интерпретации вероятностной обратной связи¹⁶. Те исследователи стали рассматривать эксперта как своего рода несовершенного посредника между входными данными и результатом. Очень немногие эксперты действительно проверяют свою эффективность с течением времени. К тому же они склонны обобщать собственные воспоминания об отдельных несистематических наблюдениях. Затем эксперт делает приблизительные выводы из этих выборочных воспоминаний, и, согласно опубликованному Доусом исследованию, это может привести к «иллюзии обучения», т. е. эксперты могут интерпретировать опыт как свидетельство результативности. Они полагают, что многолетний опыт должен привести к повышению эффективности, и потому считают, что так и происходит на самом деле. Но, как выяснилось, нельзя считать, что обучение происходит само собой, и неважно, сколько лет опыта накоплено.

Тетлок в своей книге предположил, что «у людей эффективность ниже, поскольку в глубине души мы мыслим причинно-следственными категориями и испытываем отвращение к вероятностным стратегиям, допускающим неизбежность ошибок». Математика взаимодействия с ошибками и неопределенностью – это математика вероятностей. Если не осмыслить ее, то возникнут большие трудности с вероятностным прогнозированием проблем. Если человек не силен в простой арифметике, нас же не удивит, что он будет тогда плохо разбираться в оценке, скажем, стоимости и продолжительности крупного, сложного инженерного проекта со множеством взаимосвязанных элементов. И покажется естественным, что кому-то разбирающемуся в таких оценках будет известно, как перемножить количество людей, участвующих в работе, стоимость их труда и продолжительность выполнения проекта, чтобы оценить требуемые трудозатраты. А также этот человек будет знать, как суммировать затраты на решение отдельных задач с другими расходами по проекту (например, на материалы, лицензию, аренду оборудования и т. д.).

Поэтому, когда эксперты говорят, что, исходя из определенного опыта и данных, одна угроза представляет собой больший риск, чем другая, они, осознанно или нет, занимаются своего рода вычислениями в уме. Это не значит, что эксперты буквально пытаются складывать числа в уме, скорее, они действуют в соответствии со своим чутьем в отношении чего-то, что во многих случаях действительно можно вычислить. Насколько хорошо наша интуиция соответствует математическим фактам, также измерялось во множестве исследований, включая работу израильско-американского психолога, лауреата премии по экономике памяти Альфреда Нобеля 2002 года, Даниэля Канемана и его коллеги Амоса Тверски. Они выяснили, что даже хорошо разбирающиеся в статистике исследователи склонны сильно ошибаться в определении вероятности того, что новые данные подтвердят или опровергнут результаты предыдущего эксперимента с заданным размером выборки¹⁷. И кроме того, они склонны неверно оценивать ожидаемые вариации наблюдений в зависимости от размера выборки¹⁸.

Под «хорошо разбирающимися в статистике» мы подразумеваем, что участники этого исследования были настоящими учеными, чьи работы публиковались в уважаемых, рецензируемых журналах. Как отметили Канеман и Тверски в своем исследовании: «Дело не в том, что они должны знать математику, они знали математику». Получается, что и те, кто знает математику, полагаются на свою интуицию, а интуиция ошибается. Даже для квалифицированных ученых различные повторяющиеся (но устранимые) математические ошибки – лишь одна из трудностей, возникающих из-за попыток заниматься «вычислениями в уме».

И что? Это применимо к кибербезопасности?

Несмотря на то что все приведенные исследования не связаны с кибербезопасностью, объем результатов в столь многих областях свидетельствует о том, что они фундаментальные и применимы к любой сфере человеческих суждений, включая кибербезопасность. Однако, если данное разнообразие выводов не убедило вас в том, что те же проблемы относятся и к кибербезопасности, рассмотрим еще один аргумент, выдвинутый Канеманом и Гэри Клейном, другим исследователем в области психологии принятия решений.

Канеман и Клейн выделяют три условия, необходимых для того, чтобы опыт привел к обучению. Во-первых, должна быть последовательная обратная связь. Человек должен получать информацию о прошлой деятельности регулярно, а не эпизодически. Во-вторых, обратная связь должна быть сравнительно быстрой. Если человек делает несколько прогнозов событий, которые могут произойти через несколько лет (что не редкость при анализе экономического эффекта новых инвестиций, скажем, в технологии, инфраструктуру или новые продукты), то задержка в получении обратной связи усложнит обучение. В-третьих, обратная связь должна быть однозначной. Если человек просто говорит, что проект в области кибербезопасности будет «успешным» или что риск будет снижен, то здесь возможны интерпретации. А когда прошлые результаты можно интерпретировать по-разному, данные, как правило, интерпретируются так, как выгоднее. В отсутствие регулярной, быстрой и однозначной обратной связи, скорее всего, мы будем запоминать информацию избирательно и интерпретировать свой опыт так, чтобы выглядеть в лучшем свете.

Поэтому аналитики рисков кибербезопасности должны задать себе ряд неудобных вопросов: «Действительно ли опыт эксперта в сфере кибербезопасности соответствует этим условиям? Действительно ли эксперты по кибербезопасности записывают все свои оценки вероятности и воздействия, а затем сравнивают их с результатами наблюдений? Даже если предположить, что они это делают, как долго им обычно приходится ждать, чтобы узнать, была ли их оценка правильной? Даже если оценки записываются и мы ждем достаточно долго, чтобы событие произошло, становится ли ясно, что первоначальная оценка была правильной или что описанное событие произошло? Например, если мы говорим, что наша репутация пострадала в результате взлома, откуда мы это знаем и как на самом деле подтвердить – хотя бы приблизительно – значимость события, определенную в первоначальных расчетах?» В кибербезопасности, как и во многих других областях, обучение невозможно без процессов, направленных на его обеспечение. Эти выводы очевидны для таких исследователей, как Мил: