Задачи, модели и методы снижения когнитивных искажений в оценке глобальных угроз и рисков

Размещено на http://www.allbest.ru/

ЗАДАЧИ, МОДЕЛИ И МЕТОДЫ СНИЖЕНИЯ КОГНИТИВНЫХ ИСКАЖЕНИЙ В ОЦЕНКЕ ГЛОБАЛЬНЫХ УГРОЗ И РИСКОВ

21 сентября 1987 года, выступая на Генеральной Ассамблее ООН, тогдашний Президент США Р. Рейган сказал: «I occasionally think how quickly our diferences worldwide would vanish if we were facing an alien threat from outside this world», кратко это можно перевести так: «Как быстро бы исчезли все наши разногласия, если бы над человечеством нависла угроза инопланетного вторжения» [1]. В этой фразе выражена вся глубина когнитивных искажений в оценках глобальных угроз и рисков у лиц, принимающих судьбоносные для человеческой цивилизации решения. И за прошедшие с тех пор три десятилетия ничего не изменилось в лучшую сторону, что стало лишь еще одним доказательством того, что реальной общей угрозой человечеству, которая могла бы его сплотить, правящие элиты, в лучшем случае, могут воспринимать только злонамеренных инопланетян. И это при том, что на сегодняшний день собрана огромная доказательная база (см., например, [2]) того, что число глобальных угроз, не менее опасных, чем инопланетное вторжение, огромно, и увеличить шансы на выживание в таких условиях цивилизация может только сплотившись в совместном решении задач наращивания потенциалов парирования этих бесчисленных смертельно опасных для нее угроз, поставив на мировоззренческом уровне задачи достижения неуничтожимости и могущества (понимаемого как способность не стать жертвой всех бесчисленных нависших над ней угроз). Как писал Н.Н.Моисеев «Общество стоит на пороге катастрофы, требующей перестройки всех оснований планетарного бытия» [3].

В работе [4] приведен перечень, хотя и далеко не полный, основных типов когнитивных искажений, обуславливающих недооценку опасности глобальных рисков и угроз. Большинство из них - результат отсутствия опытных данных, доказывающих степень существующих опасностей. Но любой опыт гибели человеческой цивилизации - будет ее концом. В лаборатории «Информатизация и информационная безопасность» ИСА РАН ФИЦ ИУ РАН разработаны универсальные модели, методы и системная методология, позволяющие снижать когнитивные искажения в оценках рисков и угроз, которые прошли апробацию, в частности, при обеспечении информационной безопасности всей банковской системы Российской Федерации.

Можно выделить две главные задачи снижения когнитивных искажений в оценке глобальных рисков и угроз

Первая задача - это помочь осознать лицам принимающим решения опасность когнитивных искажений в этой области. Для этих целей разработана методология построения моделей угроз, моделей возможных событий рисков, разрабатываются алгоритмы оценки относительной опасности угроз, их рискообразующих потенциалов и возможных мер парирования.

Систематическое ведение моделей глобальных угроз позволяет контролировать полноту этих моделей, оценивать относительный уровень их опасности, вести базу по возможным методам их парирования.

Вторая задача - это создание критериальной системы, которая позволит судить о степени готовности к парированию глобальных угроз и использовать вырабатываемые критерии для оценки того как повлияют те или иные решения на готовность к парированию глобальных угроз.

Для решения указанных задач разработана система моделей и методов объединенных в методологию критериального моделирования.

Критериальное моделирование (КМ) - это новое направление в развитии методов решения задач управления большими системами со сложными иерархическими структурами, с большим количеством распределенных задач, функций и процессов. Методология и методы критериального моделирования (ММКМ) открывают возможности решения широкого круга задач в части мониторинга и контроля надежности и безопасности больших систем. КМ позволяет решать эти задачи с любой степенью детализации.

Суть критериального моделирования заключается в том, что любую систему можно описать в терминах критериев, которым она должна соответствовать. Критерии могут иметь разную значимость, зависящую от того насколько несоответствие тому или иному критерию будет влиять на степень несовершенства и уязвимости всей системы.

Если система достаточно велика и сложна, то задачу построения ее критериальной модели целесообразно начинать решать с декомпозиции.

Декомпозиция осуществляется путем структуризации системы и построения ее структурной модели - иерархической модели подсистем, образующих декомпозируемую системы. Глубина структуризации, то есть число иерархических уровней в структурной модели, в общем случае определяется по каждой выделенной в ходе структуризации системы. Если множество критериев выделенной подсистемы достаточно компактно и относится к ней целиком, то в дальнейшей структуризации надобности нет. Если же в подсистеме можно выделить части, по каждой из которых может быть определена своя система критериев, то такую подсистему целесообразно подвергнуть дальнейшей декомпозиции и структуризации.

Целью настоящей работы является описание методологии критериального моделирования решения задач управления безопасностью больших систем, критически важных объектов и критических инфраструктур (МКВО). риск угроза глобальный безопасность

Основной системный принцип методологии критериального моделирования - принцип эволюционного прототипирования (ПЭП). Во многом этот принцип, связан с когнитивной психологией. Эволюционное прототипирование представляется основным способом разрешения проблемы невозможности одномоментного познания действительности, и лишь иттеративные процесс построения прототипов ее моделей постепенно приближает нас к ее пониманию. Принцип исходит из нескольких посылок:

1) человеческие возможности познания объективной реальности (ОР), как правило, ограничены и любое знание отражает, лишь текущее понимание ОР, поэтому любая текущая модель любой системы не идеальна, а лишь некоторый прототип, и должна улучшаться по мере постижения ОР;

2) ОР, и моделируемая система, как правило, меняются со временем, так, в частности, могут появляться новые угрозы, новые меры их парирования, и соответственно новые критерии (требования) к безопасности, которые должны отображаться в критериальной модели системы (КМС);

3) необходимо систематически выявлять и устранять недостаки КМС, неизбежные в силу первых двух посылок.

Суть принципа заключается в том, что любая текущая КМС является лишь прототипом объективно существующей, но, в общем случае, возможно, не достижимой идеальной критериальной модели системы (ИКМС), которая должна постоянно улучшаться, с целью приближения, к, как правило, меняющейся с течением времени ИКМС в течение всего жизненного цикла КМС.

Этот принцип также распространяется на используемые алгоритмы индикативной оценки рисков (ИОР).

Главная задача индикативной оценки рисков, как и всей методологии критериального моделирования - обеспечить контроль за существующими рисками в больших системах. Известна народная мудрость -«дьявол кроется в мелочах». Многие катастрофы, прежде всего техногенные, есть результат отсутствия контроля за множеством, казалось бы, мелких рисков. Обеспечить максимально возможный контроль за всеми рисками в больших распределенных системах - задача не простая, но именно ее решение и является главной целью ММКМ.

Суть индикативной оценки рисков состоит в том, чтобы зафиксировать факт наличия риска и дать по возможности максимально точную оценку его опасности. Выражение «дать по возможности максимально точную оценку его опасности», прежде всего предполагает следующее - даже тогда, когда не существует точных методов получения оценки опасности риска, должна быть должна быть дана, по крайней мере, экспертная оценка, которая зафиксирует факт наличия риска. При этом предусматриваются методы с помощью которых можно, во первых, оценивать степень доверия к полученным оценкам, с тем, чтобы, корректировать получамые при агрегировании индексы оценок рисков, с целью недопущения занижения опасности рисков; во-вторых зафиксировать - по каким структурным составляющим требуется совершенствование методов оценивания, когда появятся возможности для этого.

Индикативная оценка рисков на критериальных моделях открывает возможности постоянного систематического контроля имеющихся уязвимостей, в том числе тех, которые не могут быть устранены, но возможности устранения или снижения которых могут существовать или появиться в будущем, и могут быть задействованы при систематическом контроле уязвимостей.

Использование критериальных моделей открывает возможности всестороннего и глубокого контроля основательности безопасности больших систем.

Для начала дадим несколько определений.

Под структурной моделью системы будем понимать иерархическую модель, отражающую организационную и функциональную структуру каждой ее составляющей.

Под критериальной моделью системы будем понимать структурную модель системы с определением по каждой структурной составляющей множества критериев, соответствие которым будет характеризовать уровень защищенности этой структурной составляющей и влиять на защищенность системы в целом.

Под критериями будуем понимать требования, сформулированные таким образом, чтобы степень несоответствия им может интерпретироваться как степень риска по 100-балльной шкале.

Под индикативной оценкой рисков будем понимать оценку, полученную методами, не гарантирующими абсолютной точности, но, вместе с тем, позволяющими ориентироваться в уровне защищенности и сравнивать риски идентифицированные по отдельным структурным составляющим больших систем.

Выделяются две группы методов получения индикативных оценок рисков: 1) на основе оценок выполнения критериев безопасности - методы оценки критериальных рисков; 2) методы оценки рискообразующих потенциалов угроз и рископонижающих потенциалов защиты.

О плодотворности применения индикативных оценок, в тех случаях, когда невозможно получить точных значений свидетельствует их распространённость при оценке безопасности и управления большими системами в самых разных областях (см., например,[5], [6]).

Опасности, идентифицируемые с помощью критериальных моделей, назовем критериальными рисками.

Оценки рисков, получаемые по критериальным моделям, назовем индикативными оценками критериальных рисков. Определение «индикативные» снимает требование безусловной точности к этим оценкам. Индикативный характер оценок означает то, что они позволяют отслеживать наличие уязвимостей, делать предположения об уровне их опасности и выявлять формирующие их источники. Последнее будет возможно с введением понятия и процедур получения структурированных оценок рисков.

Под структурированной оценкой риска по структурной модели будем понимать множество оценок рисков, полученное по каждой структурной составляющей этой модели. Для расчета структурированной оценки рисков может использоваться сруктурированная оценка соответствия критериям, которая представляет собой множество оценок соответствия критериям по каждому критерию каждой структурной составляющей структурной модели.

Можно выделить два вида критериальных рисков.

Для определения критериальных рисков первого вида необходимо ввести понятие идеальной критериальной модели.

Под идеальной критериальной моделью (ИКМ) системы будем понимать такую критериальную модель, лишенную недостатков неадекватности, противоречивости критериев и их избыточности, соответствие всем критериям которой будет означать предельно возможную в данных условиях защищенность системы от всех угроз с минимальными, или фиксированными предельно возможными, при этом затратами.

Первый вид критериальных рисков - это риски несовпадения некоторой конкретной критериальной модели системы с объективно существующей, но, как правило, не доступной нашему познанию в полной мере, идеальной критериальной моделью этой системы.

Критериальные риски второго вида - это риски, связанные с тем, что в реальности, как правило, не удается выполнить все требования по безопасности, то есть достигнуть соответствия всем критериям безопасности используемой критериальной модели.

Получение точных оценок критериальных рисков представляется неразрешимой задачей, и такая задача не ставится. Весь смысл методологии критериального моделирования состоит в обеспечении детализированного контроля (мониторинга) состояния и основательности (фундаментальности) безопасности больших систем во всех их структрных составляющих. Для решения задач детализированного контроля достаточно обеспечить постоянную фиксацию требований (критериев) безопасности, что позволяют делать критериальные модели, отслеживать качество критериальных моделей и систематически оценивать выполнение критериев в системе. В качестве вспомогательного инструментария позволяющего при принятии решений оценить критичность имеющихся недостатков используются методы индикативной оценки рисков.

Под детализированным контролем состояния и основательности безопасности понимается построение структурных и критериальных моделей контролируемой системы (КС), систематическая оценка и обеспечение качества критериальных моделей КС, мониторинг выполнения критериев, оценка критериальных рисков, принятие мер по снижению критериальных рисков.

Одним из важнейших методологических принципов при применении методологии критериальных моделей, является принцип эволюционного прототипирования, предполагающий, что невозможно построить идеальные критериальные модели - необходимо использовать те модели, что удается построить, и совершенствовать их по мере их использования.

Обозначим структурную модель (СМ) как . А с учетом того, что структура сущности или системы может меняться со временем: .

Далее предполагается, что все критериальные модели строятся на основе , путем определения множеств критериев по структурным составляющим. По любой из структурных составляющих такое множество может иметь любое количество критериев, в том числе, быть пустым. И только в том случае, если по какой-либо структурной составляющей, дальнейшая структуризация которой невозможна или нецелесообразна - в принципе оказывается невозможно определить связанные с ней уязвимости и угрозы, наличие которых может снизить безопасность всей системы, такая составляющая может быть удалена из . Эту рекомендацию можно назвать условием целевой «компактности» структурной модели.

Опасности, идентифицируемые с помощью критериальных моделей, называются критериальными рисками.

Оценки рисков, получаемые по критериальным моделям, называются оценками критериальных рисков. Очевидно, что такого рода оценки носят сугубо индикативный характер, то есть, позволяют отслеживать наличие уязвимостей, их динамику, делать предположения об уровне их опасности и выявлять формирующие их источники. Последнее возможно с введением понятия и процедур получения структурированных оценок рисков. Под структурированной оценкой риска по структурной модели понимается множество оценок рисков, полученное по каждой структурной составляющей этой модели. Для расчета структурированной оценки рисков используется структурированная оценка соответствия критериям, которая представляет собой множество оценок соответствия критериям по каждому критерию каждой структурной составляющей структурной модели .

Первый класс критериальных рисков - это риски несовпадения некоторой конкретной критериальной модели с объективно существующей, но, как правило, не доступной нашему познанию в полной мере идеальной критериальной моделью.

Обозначим ИКМ как .

Под заданной критериальной моделью (ЗКМ) понимается критериальная модель, используемая в качестве задания к исполнению, обозначим ее как . Она так же может меняться с течением времени, и ее состояние на момент времени t будем обозначать как .

Обозначим процедуру формирования ЗКМ из СМ как :

,

где - каталог критериев по классам объектов структурной модели . Как правило, - это каталог критериев, включающий все используемые классы объектов с требованиями по их безопасности, согласно существующей нормативной базе, и возможному анализу на полноту парирования угроз.

Объективно, в каждый момент времени существует множество критериев, которые потенциально определены в , но отсутствуют в . По сути, они образуют модель проигнорированных в ЗКМ критериев ИКМ, которую можно обозначить, как , и назвать объективно существующей моделью проигнорированных критериев (ОМПК):

.

В наличии , можно убедиться, выполнив процедуры построения моделей угроз и возможных событий рисков [7] по структурной модели , исходя из предположения, что на ней полностью выполняются все множества критериев, определенные в .

И если даже выявить дополнительные угрозы не удается, это, в принципе, может свидетельствовать лишь об ограниченности существующих возможностей анализа объективной реальности. Тем не менее, в результате дополнительного анализа, как правило, удается выявить некоторое множество проигнорированных критериев (которое в принципе может быть и пустым, если выявить новых угроз не удастся), образующих идентифицированную модель проигнорированных критериев (ИМПК) , и если это множество не пустое, то по нему можно рассчитать индикативные оценки рисков проигнорированных критериев.

Определим процедуру , которая на любой момент времени t позволяет по структурной модели и ЗКМ получать ИМПК:

.

Также возможно существование в ЗКМ множества избыточных (в том числе, устаревших и не адекватных используемым технологиям) по отношению к ИКМ критериев, и те, которые нам удается идентифицировать, можно назвать идентифицированной моделью избыточных критериев (ИМИК). Для нее будем использовать обозначение .

Определим процедуру , которая на момент t позволяет из структурной модели , и ЗКМ получать ИМИК:

.

Суть процедуры состоит в том, чтобы выявить множество критериев , исключение которого из модели не приведет к появлению уязвимостей, через которые могли бы быть реализованы какие-либо угрозы, при этом не пострадают надежность и эшелонированность защиты, а также готовность к парированию возможных будущих угроз.

Определим процедуру , которая по полученным ИМПК и ИМИК позволяет, по каждой структурной составляющей СМ получать индикативную оценку возможного ущерба (риска) принимаемой к исполнению ЗКМ. Получаемый результат назовем структурированной индикативной оценкой рисков несовершенства критериальной базы, то есть, оценкой критериальных рисков первого вида (ОКР1), и будем обозначать ее :

.

Получение позволяет оценить уровень безопасности задаваемой системы критериев на момент времени t, отслеживать его динамику, а также понять критериальные множества каких структурных составляющих формируют получаемые критериальные риски ОКР1. Алгоритмы получения индикативных оценок ОКР1 - это алгоритмы расчета рискообразующих потенциалов [7]. При этом необходимо понимать, что рассчитывается как сумма нескольких рискообразующих потенциалов, с учетом того, что, согласно [7], рискообразующие потенциалы выражаются в оценочных единицах, с рекомендованным эквивалентом - одна оценочная единица равна 1000 руб. (или любого назначенного количества любой другой валюты):

,

где:

- индикативная оценка рискообразующего потенциала проигнорированных угроз;

- индикативная оценка издержек на выполнение «избыточных» требований;

- индикативная оценка рискообразующего потенциала по угрозам, которые могли бы быть парированы, если бы средства оцененные, как , были затрачены на выполнение требований, обеспечивающих парирование этих угроз, но которые не выполнялись, в виду недостатка средств на их выполнение.

Индикативная оценка критериальных рисков второго вида - это оценка рисков, связанных с тем, что в реальности не всегда удается достигнуть соответствия критериям безопасности, то есть закрыть все уязвимости и парировать все угрозы.

В настоящее время разработан метод получения индикативных оценок по заданной критериальной модели по 100-балльным шкалам [8]. Далее представлено его формальное описание.

Пусть в результате выполнения процедуры с использованием критериальной модели формируется структурированная оценка соответствия критериям ЗКМ - :

.

Разработанные на сегодня методы [2], на основании позволяют получить индикативную структурированную оценку критериальных рисков второго вида (ОКР2) :

.

В свою очередь, если балльной оценки окажется недостаточно для принятия решений, то все же ее наличие может облегчить получение оценки рисков в денежном выражении, или оценочных единицах, аналогичных тем, что использовались для получения . Поскольку во всех случаях речь идет о структурированных оценках, то наличие , позволяет снизить объем оценочной работы, необходимой для расчета рискообразующих потенциалов по всем элементам структуры, сосредоточившись лишь на наиболее уязвимых. И именно по ним выстраивается модель «непарированных», в связи с невыполнением требований (несоответствием критериям), угроз (процедура ), и по этой модели строятся модели событий рисков (процедура ), рассчитываются рискообразующие потенциалы «непарированных» угроз и получается оценка , в оценочных единицах, таких же, как и оценка :

;

;

.

Наличие , и позволяет детально оценить состояние безопасности большой иерархической системы, проанализировать источники формирования рисков, и таким образом идентифицировать и отслеживать уязвимости во всех структурных составляющих. Вместе с тем, необходимо отметить, что, как показывает практический опыт применения представленного подхода, основной следует признать структурированную оценку . Ее получение требует наименьших усилий, позволяет получать наглядную оценку состояния безопасности оцениваемого объекта или инфраструктуры, и при этом позволяет создать надежную, хорошо отлаженную систему внутреннего контроля и управления безопасностью, в том числе на глобальном уровне.

Теперь вернемся к задаче построения модели глобальных угроз. Проблема заключается в том, что построить абсолютно полную модель угроз практически невозможно.

Обозначим соответствующую струкутрной модели модель угроз - . Она может быть получена c помощью специальной процедуры , при наличии каталога (базы данных) угроз по классам всех структурных составляющих :

.

Таким образом, очевидно, что качество модели угроз зависит о того, как выполнена структуризация системы, насколько полон и актуализирован каталог угроз, ну, и, естественно, от качества выполнения процедуры .

Обозначим идеальную структурную модель через , идеальный каталог угроз через , идеальную процедуру построения модели угроз через , получаемую в результате идеальную модель угроз через .

То есть, в, как правило, недостижимом идеале:

.

Таким образом, в общем случае, когда , и/или , и/или можно говорить, о множестве игнорируемых угроз:

.

Кроме того, если на какой-то момент времени зафиксировать модель угроз, например, для того, чтобы ее официально закрепить каким-дибо нормативным документом, то на любой последующий момент времени можно получить еще одно множество игнорируемых угроз:

,

которое могло бы быть получено, если бы была выполнена процедура:

,

или, в идеальном случае, при:

,

Причем, очевидно, что чем больше будет , тем вероятнее, что больше будут множества игнорируемых угроз и .

Таким образом, вообще говоря, проигнорированным окажется следующее множество угроз:

.

Но построение модели угроз - не самоцель. Она служит для того, чтобы определиться с мерами парирования этих угроз, и критериями (требованиями), которые позволят судить о том, насколько угрозы удается парировать.

При наличии каталога мер парирования угроз выполнение процедуры позволяет получить модель защиты :

.

В идеальном случае:

.

Возможные, игнорируемые при этом, меры защиты составят множество:

.

В ситуации, если модель угроз и модель защиты были зафиксированы на момент T каким-то нормативным документом, то на любой последующий момент времени можно получить множество игнорируемых мер защиты. И по аналогии с вышеприведенными рассуждениями по модели угроз общее число игнорируемых возможных мер защиты составит:

.

По каждой мере защиты может быть определено множество требований (критериев), которые должны выполняться, чтобы парировать угрозы. Такого рода требования могут быть определены в каталоге . И тогда выполнение процедуры позволяет получить критериальную модель безопасности :

.

В идеальном случае:

.

Возможные игнорируемые при этом критерии безопасности составят множество:

.

В ситуации, если модель угроз, модель защиты и/или критериальная модель были зафиксированы на момент T каким-то нормативным документом, то на любой последующий момент времени можно получить множество игнорируемых критериев безопасности. И, по аналогии с вышеприведенными рассуждениями по модели угроз и модели защиты, общее число игнорируемых возможных критериев безопасности при этом составит:

.

Собственно, вот эти-то множества , , , , , , и являются воплощением новой разновидности угроз. Опасность этой разновидности угроз заключается, в том, что при их существовании складывается искаженное представление о состоянии безопасности, и принимаемые решения, например, по повышению защищенности, могут быть ошибочны..

Очевидно, что для парирования указанной разновидности угроз может быть поставлен целый ряд задач по снижению , , , , , . В настоящее время в Институте системного анализа ФИЦ ИУ РАН ведутся работы по развитию методологии управления безопасностью [2, c. 24] с тем, чтобы она предусматривала решение и указанных задач, а так же дорабатывается специализированный программный комплекс «РискДетектор» [1, c. 12], который должен позволить автоматизировать реализацию доработанной таким образом методологии.

ЛИТЕРАТУРА

1. President Ronald Reagan mentions Alien Threat at Fallston_ UN & National Strategy Forum [Электронный ресурс] // [видеозапись] URL https://youtu.be/iQxzWpy7PKg (дата обращения: 12.05.2017).

2. Global Catastrophic Risks. Nick Bostrom and Milan Жirkoviж (eds). Oxford: Oxford University Press, 2008, ISBN 978-0-19-857050-9, pp. xxii + 554.

3. Моисеев Н.Н. Судьба цивилизации. Путь разума. М.: Изд-во МНЭПУ, 1998, стр. 10.

4. Yudkowsky E. Cognitive Biases Potentially Affecting Judgment of Global Risks // Global Catastrophic Risks / Edited by Nick Bostrom and Milan M. Жirkoviж. New York: Oxford University Press. Р. 91-119.

5. В.А. Силич, М.П. Силич. Индикативная оценка ситуации в рамках кризисного ситуационного центра // Известия Томского политехнического университета. 2010. Т. 317, № 5, стр. 166-170.

6. Ю. А. Шеховцова. Применение индикативного метода для оценки инвестиционной безопасности региона // Регионология. 2012. № 2, Саранск. стр. 53-61.

7. Бекетов А.Б., Кононов А.А., Осипов С.Н., Фобьянчук А.А. Управление кибербезопасностью автоматизированных информационных систем // Труды ИСА РАН. Т. 61, выпуск 5, 2011, стр. 8 - 13.

8. Кононов А.А., Кулаков П.И., Поликарпов А.К., Черныш К.В. Алгоритм построения интегрированных показателей наличия рисков нарушения информационной безопасности в иерархических организационных системах // Современные проблемы и задачи обеспечения информационной безопасности: Труды Всероссийской научно-практической конференции «СИБ-2014». М., МФЮА, 2014, стр. 22 - 26.

Размещено на Allbest.ru