Специалисты по кибербезопасности каждый день реагируют на угрозы или принимают решения в условиях неопределенности и нехватки информации при, что парадоксально, ее избытке. Как не допускать ошибок, которые могут дорого обойтись? Как научиться вычленять только важное и не вестись на неверную и явно ложную информацию? Ответ на оба эти вопрос существует и называется «критическое мышление», дисциплина, которую у нас почему-то не преподают в ВУЗах специалистам по ИБ и не включают в список нужных для специалистов по кибербезопасности навыков (хотя думающих людей власти любой эпохи и любой страны вообще не любят). Хотя, как мне кажется, из гибких навыков (soft skills), критическое мышление, наряду с коммуникационными навыками и принятием решением, является самым важным и его важность будет только возрастать. При этом критическому мышлению не так уж и сложно научиться и, немного потренировавшись, закрепить навыки.
Что же такое критическое мышление? Если по-простому, то это способность человека сомневаться во входящей информации и в своей убежденности, рационально оценивать все факты и связи между ними, а также аргументировать свою позицию, не оглядываясь на авторитеты и якобы истину. На чем базируется критическое мышление? Я бы выделил семь основных его составляющих:
- Умение задавать правильные вопросы. Например, Anonymous разместили у себя сообщение о том, что 3-го марта они атакую все финансовые организации России и вычистят все счета россиян и переведут украденные деньги в Украину. Можно ужаснуться и побежать срочно снимать деньги, увеличивая и так немалые очереди у банкоматов и в отделениях. А можно задаться вопросом: «Кто [за этим стоит]?» Возможно тем, кто хочет расшатать ситуацию и заставить людей снимать деньги со своих счетов, чтобы и правда в финансовой системе наступил коллапс. А можно копнуть глубже и задаться вопросом «Как [переведут деньги на Украину]?». Во-первых, сейчас ужесточен контроль за зарубежными переводами, тем более в Украину. Во-вторых, международные платежи так просто не провести с обычного счета. В-третьих, массовые переводы сразу привлекут внимание и будут остановлены. Ну и т.д. Вообще, все вопросы, которые мы должны задать, получив новую информацию, мы можем собрать в формулу 5W+H (англосаксы любят красивые формулы), которая раскрывается так: «WHO? WHAT? WHEN? WHY? WHERE? HOW?» или «КТО? ЧТО? КОГДА? ПОЧЕМУ? ГДЕ? КАК?«. Причем задается не всего 6 вопросов — их может быть больше. Например, вопрос «КТО» может быть трансформирован в «Кто опубликовал новость об инциденте или индикаторе компрометации?», в «Кому выгодна эта публикация об инциденте?», «Кто пострадает от этой публикации об инциденте?», «Кто может проконсультировать по данному инциденту?», «Кому я могу доверять в этом вопросе?».
Вообще, применение модели 5W+H шире — ее можно и при реагировании на инциденты и при моделировании угроз использовать. Например, методика оценки угроз ФСТЭК хорошо ею описывается (только без одной W).
- Умение работать с разными источниками информации, а не только с обще- и легкодоступными. Например, на днях я опубликовал в Твиттере заметку с ссылкой на статью одного одиозного специалиста, который написал, что хакеры взломали Росатом и украли чувствительную информацию. На эту информацию можно смотреть по разному. Можно подумать: «Опять Лукацкий хрень непроверенную публикует». А можно «О, проверю-ка я свои процессы реагирования, планы взаимодействия со СМИ и проведу мероприятия по повышению осведомленности». А можно попробовать проверить эту информацию по другим, независимым источникам, чтобы убедиться в ее достоверности и исходя из этого приоритизировать свои мероприятия по ИБ.
- Умение оценивать полноту, актуальность, согласованность, своевременность, достоверность и точность данных. В день начала
войнывоенной операции против Украины НКЦКИ опубликовал бюллетень с предупреждением о возможных кибератаках на российские предприятия. Насколько полно было это предупреждение? Увы, всерьез его рассматривать невозможно, так как в нем отсутствовала хоть какая-нибудь фактура. Полнота, актуальность, точность, достоверность?.. Это все не про бюллетень НКЦКИ, который советовал усилить бдительность. Поэтому многие мои коллеги, с кем мне довелось обсудить этот документ, всерьез его не восприняли 🙁 - Умение формировать и оценивать гипотезы. Вспомним инцидент 28-го февраля с атаками на крупные российские СМИ, на главных страницах которых были размещены антироссийские лозунги. Что могло стать причиной ситуации, когда разные СМИ одновременно столкнулись с одинаковой проблемой? Гипотез может быть несколько. Например, такие:
- У всех одна и та же CMS с непатченной уязвимостью.
- Сочувствующий Украине инсайдер в каждом из СМИ.
- Аутсорсинг сайтов всех СМИ в одной организации.
- Целенаправленная кампания, в которой разные хакеры/группировки действовали одновременно.
- Все СМИ использовали единый CDN, который и взломали.
- СМИ использовали внешние общие счетчики или скрипты или плагины (именно эта версия и оказалась верной).
- Простое совпадение.
- Умение искать в гипотезах противоречия. Например, для первой гипотезы в предыдущем примере достаточно было просто проверить, какие CMS используются на сайтах СМИ с помощью сервиса WhatCMS, который показал, что у всех СМИ были разные CMS. Про выявление противоречий в дипфейках я вообще молчу — с этой проблемой очень остро нам еще придется столкнуться; хотя уже сейчас, в текущем противостоянии они стали использоваться повсеместно (видео запущенных ракет, видео выступлений президентов, фото и видео жертв и т.п.) и без умения искать противоречия бороться с фейками очень сложно.
- Знание психологии восприятия рисков и когнитивных искажений, которые мешают нам принимать правильные решения и формулировать гипотезы. Людям свойственно ошибаться и происходит это потому, что у нас в голове заложены определенные шаблоны поведения и мышления, которыми мы обычно и руководствуемся в большинстве ситуаций. Нередко в основе этих шаблонов лежат неверные рассуждения, которые и приводят нас к неверным выводам и решениям. Например, часто встречая в логах SIEM одни и те же события ИБ, мы будем игнорировать другие, встречаемые гораздо реже (т.н. систематическая ошибка внимания). Или, например, наши регуляторы часто не выпускают оперативных разъяснений и информационных писем по важным вопросам ИБ, считая, что бездействие лучшим вариантом. Они недооценивают его последствия, сравнивая с результатами возможных действий, которые бы произошли, если бы регуляторы сделали хоть что-то. Еще пример когнитивного искажения, который встречается в последние дни, — иллюзия правды. Чем чаще повторяется одно и тоже сообщение, тем больше мы ему начинаем доверять. Поэтому так активны различные боты и сторонники обеих сторон военного конфликта, которые вбрасывают одну и ту же информацию в разные каналы и источники. Например, те же Anonymous или КиберПартизаны, чьим постам начинают доверять многие, прочтя/услыша их десятки раз из уст разных людей 🙁
Даже наше знание о когнитивных искажениях, создающее иллюзию, что мы можем их распознавать и противостоять, это тоже когнитивное искажение, называемое эффектом G.I.Joe.
- Умение делать и представлять свои выводы. Ну тут вроде все понятно.
Тема критического мышления гораздо шире, чем можно про нее написать в одной заметке. Я думаю, что я посвящу ей еще несколько постов, добавив побольше примеров, имеющих отношение к кибербезопасности. Хотя, как мы понимаем, критическое мышление полезно не только для специалиста по ИБ, но и вообще для любого человека, который хочет научиться отделять ложь от правды, заблуждения от истины, фейки от фактов. Особенно важно это сегодня, когда мы просто не справляемся с потоком информации по поводу конфликта между Россией и Украиной и связанных с ним тем — политикой, санкциями, финансами и т.п.
Кстати, вы же наверняка слышали фразу «Карфаген должен быть разрушен»? Так вот это яркий пример работы когнитивных искажений. Римский полководец Катон Старший заканчивал этой фразой каждую свою речь в сенате, независимо от ее тематики. Настойчивость Катона привела к тому, что сенаторы уверились в том, что Карфаген, ярым противником которого был Катон Старший, и правда должен быть разрушен.
Алексей, прочитал сайт критического мышления?
Ждем вашего разбора ваших старых материалов, где вы заявляли, что в продукции вашего работодателя не бывает уязвимостей, где вы поливали дерьмом регуляторов и т.п.
Если можно, то ссылку пришлите, а то при наличии нескольких тысяч заметок сложно искать что-то, что я, возможно, даже не писал. Так как я не мог утверждать, что у нас нет уязвимостей, если я даже на конференции ФСТЭК рассказывал о том, как выстроен процесс устранения уязвимостей в Cisco и как мы проходили сертификацию на отсутствие НДВ в ФСБ. Возможно вы что-то путаете, попадая в другие когнитивные искажения — систематическая ошибка внимания, эффект иллюзии правды или склонность к подтверждению своей точки зрения.