Часть 2. Квантовая безопасность.

За безопасность необходимо платить, а за её отсутствие — расплачиваться.

Начнём с самого слова, благо оно того заслуживает. Русское «безопасность» — буквально «отсутствие опасности», отрицание через приставку, и в этом скрыт известный методологический капкан: определять явление через то, чем оно не является. Латинская родословная английского security честнее: securus — это se cura, «без заботы», то есть состояние того, кто может не тревожиться. Но самое поучительное в сравнительной лингвистике другое: английский (а за ним и вся мировая инженерная традиция) различает safety — защищённость от ненамеренных угроз, случайностей, отказов и стихий — и security — защищённость от угроз намеренных, имеющих автора, мотив и план. Русский язык обходится одним словом на оба понятия, и эта экономия дорого обходится на практике: пожарная автоматика из главы 2 — это safety, охранные системы из главы 3 — security, требования к ним противоположны едва ли не по всем осям (пожарная логика обязана открывать двери эвакуации, охранная — держать их запертыми), и проектировщик, не различающий эти миры, обречён на коллизии в самых неудачных местах.

Практически половина слаботочных сетей сосредотачивает своё внимание на вопросах безопасности — физической, криминальной, пожарной, через создание таких условий, когда риск реализация угроз жизни и имуществу — минимально возможен (глава 7).

Потребность, которую обслуживают эти системы, прошита в нас эволюцией на глубине, недосягаемой для рационализации. В знаменитой иерархии Абрахама Маслоу безопасность занимает второй ярус, сразу над физиологией: голодный человек ищет еду, сытый — укрытие, и только укрытый начинает интересоваться любовью, признанием и самоактуализацией. Нейрофизиология уточняет картину: миндалевидное тело мозга запускает реакцию «бей, беги или замри» за десятки миллисекунд — раньше, чем кора успевает осознать стимул, — а открытый Гансом Селье общий адаптационный синдром описывает, чем оборачивается для организма хронически непогашенная тревога. Из этого следует прикладной вывод, который стоит помнить всякому, кто проектирует, продаёт или согласует системы безопасности: человек покупает не вероятности, а чувство защищённости, и эти два товара совпадают далеко не всегда. Муляж камеры из десятой главы продаёт чувство; работающая камера — вероятность; рынок же, к сожалению или к счастью, оплачивает оба.

Расхождение между ощущаемым и фактическим риском — не дефект отдельных граждан, а системное свойство человеческого мышления, описанное Даниэлем Канеманом и Амосом Тверски: эвристика доступности заставляет нас оценивать вероятность события по лёгкости, с которой вспоминаются примеры, — потому авиакатастрофа, о которой трубят все каналы, пугает сильнее автомобиля, убивающего на порядки больше людей буднично и без репортажей. Яркое, недавнее и зрелищное систематически переоценивается; хроническое, постепенное и скучное — недооценивается. Профессионал безопасности обязан держать в голове обе карты местности: реальную (для проектирования) и психологическую (для разговора с заказчиком, бюджетом и общественным мнением), и не удивляться, когда после громкого, но нерелевантного инцидента в новостях бюджет внезапно находится на то, в чём годами отказывали по расчёту.

К карте искажений добавим ещё три, прицельно бьющих по нашей теме. Оптимистическое искажение: «со мной не случится» — статистически большинство водителей считают себя лучше среднего, а большинство владельцев — что горит у других. Гиперболическое дисконтирование: убыток через пять лет психологически дешевле мелкого платежа сегодня, на чём держится вся экономика отложенного обслуживания. И нормализация отклонений, описанная социологом Дианой Воган в разборе гибели «Челленджера»: каждое благополучно сошедшее с рук нарушение сдвигает границу «нормального», пока организация не оказывается за пределами конструкторских допусков, искренне считая, что «всегда так делали». Против всех трёх работает одно противоядие — внешняя система координат: нормы, аудиты, статистика, чужие некрологи, прочитанные как свои черновики.

Сюда же примыкает контринтуитивный феномен компенсации риска: получив дополнительную защиту, человек склонен тратить выигрыш безопасности на прирост лихости. Классические исследования эффектов антиблокировочных тормозов и ремней показывали, что водители частично «проедают» техническое улучшение более агрессивной ездой (в радикальной формулировке Джеральда Уайлда это называется гомеостазом риска: каждый держит свой целевой уровень опасности, как термостат — температуру). Экономист Сэм Пельцман описал тот же эффект для регулирования в целом (в его классической статье 1975 года о парадоксальных эффектах автомобильного регулирования, перекликающейся с книгой Джеральда Уайлда «Target Risk», 1994). Для нашей отрасли мораль конкретна: внедрение системы безопасности меняет поведение защищаемых — охранник с монитором смотрит в монитор, а не в окно; сотрудник с пропуском держит дверь незнакомцу из вежливости, — и проектировать надо не железо, а связку «железо плюс новое поведение людей», иначе на бумаге система есть, а в вероятностях — нет.
Вторая половина слаботочных сетей посредством автоматизации объекта повышает состояние комфорта субъектов процесса, уменьшая количество необходимых рутинных действий для предсказуемости и стабильности.

Слово «комфорт» здесь не случайный сосед безопасности, а её физиологический родственник: то, что Уолтер Кеннон назвал гомеостазом (в книге «Мудрость тела», 1932) — способность организма удерживать внутренние параметры в узком жизненном коридоре, — на уровне психики переживается именно как комфорт, а угроза гомеостазу — как тревога. Предсказуемость и есть валюта, в которой нервная система оценивает среду: неопределённость стрессогенна сама по себе, даже без реальной угрозы (что блестяще эксплуатируют и маркетологи охранных услуг, и авторы новостных заголовков). Автоматизация из главы 5, поддерживающая уставки температуры и влажности, делает для здания ровно то, что вегетативная нервная система — для тела: освобождает «сознание» от рутины выживания.

Предпринимательская деятельность, предшествующая администрированию бизнеса, трансформирует риски в комфорт (глава 8).

Третья же половина выполняет связующие функции субъектов информационного обмена, позволяя им импортировать негативную энтропию, где как раз и вступает в игру информационная безопасность (глава 9).

Оборот «импортировать негативную энтропию» — не художественная вольность, а почти дословный Эрвин Шрёдингер: в книжке «Что такое жизнь?» (1944), выросшей из дублинских лекций, он определил живое как-то, что избегает распада, питаясь отрицательной энтропией — упорядоченностью, извлекаемой из среды. Второе начало термодинамики неумолимо тянет всякую систему к равновесному хаосу, и жизнь — это локальное, оплаченное потоком энергии восстание против этой тенденции. Информация здесь не метафорически, а математически родственна порядку: формула Шеннона для информации и формула Больцмана для энтропии совпадают с точностью до знака и константы, на чём построен целый жанр физических парадоксов от демона Максвелла до принципа Ландауэра, по которому стирание одного бита информации имеет неустранимую энергетическую цену. Так что охрана информации — это, если угодно, термодинамика на стороне порядка: безопасность есть деятельность по удержанию системы вдали от равновесия, которое для организма называется смертью, для бизнеса — банкротством, а для здания — актом о списании.

Безопасность своей самой сутью лингвистически пытается отрицать опасность, соответственно, когда реальность конгруэнтно дружелюбна, а не враждебна, тогда можно говорить и о достижении комфорта и расслабления.

Лингвистический фокус с отрицанием, кстати, объясняет и вечную незаметность нашей профессии: безопасность феноменологически есть отсутствие событий, её невозможно предъявить, ею нельзя похвастаться на совете директоров — «смотрите, сегодня опять ничего не случилось». Психологи зовут это ошибкой выжившего наоборот: предотвращённые инциденты не существуют в опыте, и потому бюджет на предотвращение всегда проигрывает эмоциональный спор бюджету на устранение последствий — пока последствия не наступят. Зрелые отрасли выработали противоядие в виде понятия культуры безопасности (термин, введённый МАГАТЭ в разборе чернобыльских уроков): состояние организации, при котором безопасные практики соблюдаются не из страха проверки, а как разделяемая ценность — и измеряется эта культура, что характерно, не отчётами, а поведением персонала, когда никто не смотрит.

Практический тест культуры безопасности придуман давно и стоит дёшево: посмотрите, что происходит с человеком, сообщившим о проблеме. Там, где гонца с плохой вестью награждают, дефекты всплывают на стадии анекдота; там, где наказывают, — на стадии некролога. Авиация выстроила на этом целую систему добровольных конфиденциальных сообщений об инцидентах, и беспрецедентная безопасность полётов — прямой дивиденд с честности, которой не страшно быть честной. Снова тот же контур обратной связи: организация, глушащая сигналы о собственных отклонениях, летит по приборам, которые сама же и отключила.
Отсюда же растёт известный парадокс профилактики, знакомый и врачам, и айтишникам: чем лучше работает предотвращение, тем менее нужным оно выглядит. Эпидемия, которой не случилось благодаря вакцинации, выглядит как отсутствие эпидемии — и аргумент «зачем мы платим, если ничего не происходит» неотразим ровно до момента, когда платить перестают. В нашей отрасли этот цикл наблюдается с печальной регулярностью: бюджет на обслуживание пожарной автоматики секвестрируется после пяти спокойных лет, шестой год становится интересным, седьмой — бюджетообразующим для подрядчиков по восстановлению. Похоже, единственная настоящая вакцина здесь — институциональная память, то есть люди и документы, помнящие, почему правила написаны именно так.

Продолжая рассуждения о безопасности, можно сказать о том, что это необходимое и базовое условие для жизни в целом и для успеха в частности.

Политическая философия пришла к тому же выводу за столетия до нейробиологии: Томас Гоббс в «Левиафане» (1651) вывел само государство из потребности в безопасности — в естественном состоянии «войны всех против всех» жизнь человека «одинока, бедна, беспросветна, тупа и кратковременна», и люди уступают часть свободы суверену именно в обмен на защищённость. Весь общественный договор, таким образом, — это сделка о безопасности, и каждый пропускной пункт с рамкой металлодетектора — её микроскопическая ратификация. Современный социолог Ульрих Бек добавил к этому диагноз эпохи: в «обществе риска» (1986) производство богатств неотделимо от производства рисков, и распределение вторых становится таким же предметом политики, как распределение первых. Заказчик, подрядчик и страховщик слаботочных систем, торгующиеся о бюджете на пожаротушение, занимаются, сами того не зная, прикладной социологией Бека.

У сделки Гоббса есть и оборотная сторона, отчеканенная Бенджамином Франклином: тот, кто готов обменять основополагающую свободу на немного временной безопасности, не заслуживает ни свободы, ни безопасности — и хотя историки уточняют, что Франклин имел в виду вполне конкретный налоговый спор, афоризм зажил собственной жизнью как предупреждение о цене вопроса. Вторая закономерность из главы 1 — об обратной пропорции между личной безопасностью и приватностью — есть инженерная проекция той же дилеммы: каждый шаг к тотальной наблюдаемости объективно облегчает и защиту, и злоупотребление ею, причём инфраструктура, построенная для первой, технически готова ко второму без единой доработки. Честный ответ профессии состоит в том, что баланс здесь устанавливается не техникой, а правом и контролем над контролёрами; техника лишь обязана не врать о своих возможностях.

Международные отношения добавляют к этому собственный парадокс, известный как дилемма безопасности (Джон Герц, 1950): меры, которыми государство повышает свою защищённость — вооружение, союзы, укрепления, — объективно снижают защищённость соседей, провоцируя их на ответные меры, и по спирали гонки все приходят к меньшей безопасности за большие деньги. Читатель без труда узнает ту же спираль в «дихотомии щита и меча» из мира охранных систем и хакеров (глава 9 представит её в подробностях): безопасность — игра с участием других игроков, и статическая оптимизация в ней проигрывает пониманию динамики. Собственно, поэтому теория игр Джона Нэша поминается в списке литературы этой книги отнюдь не для красоты.

Возьмём за основу определение «Безопасность — это состояние защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз» и попробуем классифицировать виды безопасности в зависимости от различных критериев — объекта защиты, масштаба, сферы деятельности и характера угроз:

Оговорюсь, что само это определение — из официального отечественного лексикона (его каноническая форма восходит к закону «О безопасности» 1992 года и унаследована действующей редакцией 2010-го и стратегиями национальной безопасности), и выбор его за основу не случаен: формула «состояние защищённости жизненно важных интересов» удачно подчёркивает, что защищаются не предметы, а интересы — жизнь важнее имущества, непрерывность бизнеса важнее отдельного сервера, репутация порой важнее и того и другого. Расставленные приоритеты интересов — это и есть невидимый фундамент любого технического задания, даже когда заказчик о них не догадывается. Тому, кто хочет увидеть всю широту понятия «комплексная безопасность» в отечественной академической традиции, стоит хотя бы полистать многотомную серию «Безопасность России. Фундаментальные и прикладные проблемы комплексной безопасности» (под редакцией Н. А. Махутова, авторский коллектив В. В. Абросимова, В. В. Адушкина, В. А. Агеева и др., 2017) — энциклопедический свод, где техническая, природная, экономическая и социальная безопасность рассматриваются как единое целое.

1 По уровню (масштабу)

• Международная безопасность: Обеспечение стабильности в глобальном масштабе через сотрудничество государств (например, ООН, НАТО). Включает глобальную и региональную безопасность.
• Национальная безопасность: Защита суверенитета, территориальной целостности, конституционного строя и экономики государства. Включает государственную, общественную и личную безопасность.
• Региональная безопасность: Обеспечение стабильности и развития конкретного региона (например, защита от природных катаклизмов, экономических кризисов).
• Локальная безопасность: Защита предприятий, организаций и отдельных граждан (например, безопасность предпринимательства, личная безопасность).

2 По сферам деятельности
Политическая безопасность: Сохранение конституционного строя, стабильности власти и демократических институтов.
Военная безопасность: Защита от вооружённых конфликтов, обеспечение обороноспособности (армия, разведка).
Экономическая безопасность: Стабильность экономики, защита от кризисов, контроль над ресурсами.
Экологическая безопасность: Предотвращение ущерба окружающей среде (например, борьба с загрязнением, защита от природных катастроф).
Информационная безопасность: Защита данных от несанкционированного доступа, кибератак (конфиденциальность, целостность, доступность).
Социальная безопасность: Обеспечение благополучия общества (борьба с безработицей, преступностью, поддержка здравоохранения).

3 По объектам защиты·

• Личная безопасность: Защита жизни, здоровья, прав и свобод человека (например, от преступлений, техногенных угроз).
• Безопасность общества: Устойчивость социальных институтов, защита от внутренних конфликтов и кризисов.
• Государственная безопасность: Охрана суверенитета, территориальной целостности, политической системы.
• Коллективная безопасность: Совместные меры государств для предотвращения угроз (например, борьба с терроризмом).

4 По характеру угроз

• Техногенная безопасность: Защита от аварий на производстве, техногенных катастроф (например, промышленная безопасность).
• Природная безопасность: Борьба с угрозами природного происхождения (землетрясения, наводнения).
• Кибербезопасность: Противодействие хакерским атакам, фишингу, утечкам данных.
• Психологическая безопасность: Сохранение психического здоровья, защита от манипуляций и давления.

5 Специализированные виды

• Промышленная безопасность: Контроль за опасными производствами (лицензирование, обучение персонала).
• Транспортная безопасность: Обеспечение безопасности на дорогах, авиации, железных дорогах.
• Ядерная безопасность: Защита от радиационных угроз и аварий на АЭС.
• Культурная безопасность: Сохранение традиций, языка и исторического наследия.

Все виды глобальной безопасности взаимосвязаны. Например, экономическая стабильность влияет на социальное благополучие, а экологические угрозы могут спровоцировать политические кризисы. Для комплексной защиты требуется сочетание правовых, технических и организационных мер, включая обучение населения и международное сотрудничество.

К любой подобной классификации, включая приведённую, стоит относиться как к гербарию: полезно для систематики, но жизнь в нём не растёт. Во-первых, списки видов безопасности имеют свойство неограниченно размножаться (читатель легко продолжит: продовольственная, энергетическая, демографическая, когнитивная…), и Копенгагенская школа международных отношений даже ввела термин «секьюритизация» для политического приёма, которым любую тему объявляют вопросом безопасности, выводя её тем самым из зоны нормальной дискуссии в зону чрезвычайных мер. Во-вторых — и это важнее для инженера — безопасность принципиально не является состоянием, которого можно достичь и зафиксировать актом приёмки: это процесс, непрерывная регулировка в контуре обратной связи (узнаёте скелет из главы 5?), и формула криптографа Брюса Шнайера «безопасность — это процесс, а не продукт» справедлива далеко за пределами криптографии. Купить можно камеру; безопасность приходится практиковать.

У процессуальности безопасности есть и каноническая инженерная форма — цикл Деминга PDCA (планируй — делай — проверяй — корректируй), вшитый во все стандарты менеджмента от качества до информационной безопасности: меры планируются от оценки рисков, внедряются, проверяются учениями и аудитами, корректируются по находкам — и цикл повторяется, ибо дрейфуют и угрозы, и сам объект. Организация, у которой безопасность «внедрена» в прошедшем времени и совершенном виде, описывает не состояние дел, а остановку цикла; грамотный аудитор начинает поэтому не с вопроса «что у вас есть», а с вопроса «что вы изменили за год и почему» — отсутствие ответа диагностично безотносительно толщины папки с регламентами.

В-полутора-х, как сказал бы дотошный читатель, всякая классификация безопасности неизбежно пересекается сама с собой: кибератака на больницу — это информационная, социальная или медицинская безопасность? Пожар на нефтебазе — техногенная, экологическая или экономическая? Реальные инциденты с аппетитом гуляют по клеткам гербария, не предъявляя пропуска, и потому зрелое управление безопасностью строится не от видов угроз, а от защищаемых активов и их связей — методологический разворот, который читатель встретит и в риск-менеджменте главы 7, и в проектировании главы 11.

Остаётся вопрос, на который не отвечает ни одна классификация: сколько платить? Инженерная экономика выработала здесь принцип ALARP (as low as reasonably practicable): риск должен быть снижен настолько, насколько это практически разумно — то есть до точки, где дальнейшее снижение стоит непропорционально дорого по сравнению с выигрышем. Выше этой зоны риск нетерпим ни за какие деньги, ниже — приемлем без дополнительных затрат. Чтобы сравнивать траты с выигрышем, экономисты вынужденно оценивают даже цену статистической жизни (value of statistical life) — не цинизма ради, а потому, что бюджет конечен и потраченное на золочёный забор не достанется пожарной сигнализации. Упомянутый в эпиграфе выбор «платить или расплачиваться» в зрелой постановке звучит так: платить ровно столько, чтобы матожидание расплаты стало меньше очередного платежа, — и к этой арифметике мы вплотную приступим в следующей главе.

Эту тревожную арифметику всерьёз изучают: оксфордские исследователи экзистенциальных рисков во главе с Ником Бостромом (чья книга «Искусственный интеллект. Этапы. Угрозы. Стратегии», 2014, стала программной для всей этой области) каталогизируют сценарии, в которых человечество проигрывает целиком — от пандемий и ядерной зимы до недружественного искусственного интеллекта (к нему вернёмся в главе 15). Математическая мораль их работ перекликается с «чёрными лебедями» Нассима Талеба: в хвостах распределений, где вероятности малы, а последствия безграничны, обычная страховая логика «вероятность умножить на ущерб» ломается, и редкость события перестаёт быть утешением. А социолог Чарльз Перроу в «Нормальных авариях» (1984) показал, что в сложных и жёстко связанных системах катастрофы являются не отклонением, а свойством архитектуры: когда всё зависит от всего и быстро, нештатные взаимодействия компонентов неизбежны — вопрос лишь времени. Слаботочный мир из первой части книги, всё плотнее сшиваемый сетями в единый организм, движется, увы, именно в сторону растущей связанности — и тем интереснее квантовая перспектива, обещанная десятой главой этой части.

Утешением — частичным — служит то, что у связанности есть и защитная сторона: иммунная система тоже распределена по всему организму, и сетевые структуры, спроектированные с умыслом о живучести (вспомним отсеки подводной лодки из главы 4), деградируют изящно, а не катастрофически. Граница между «хрупкой» и «антихрупкой» связанностью, пользуясь ещё одним термином Талеба, проходит не по количеству связей, а по их архитектуре — чем книга и будет заниматься в своей третьей, практической части.

И последний штрих к портрету понятия — его темпоральность: безопасность всегда относится к будущему (прошлое уже случилось, ему ничего не угрожает), а значит, является разновидностью прогноза со всеми его эпистемологическими скидками. Мы платим сегодня за распределение вероятностей завтра — операция, которую человеческая психика, заточенная под наличный расчёт, осваивает с трудом, а финансовая математика с её дисконтированием — с цинизмом. Возможно, лучшая формула профессии звучит так: специалист по безопасности — это переводчик с языка будущих сожалений на язык сегодняшних смет, и качество перевода проверяется, увы, только оригиналом.

Безопасность оказалась не состоянием и не товаром, а процессом удержания порядка против энтропии; не отсутствием опасности, а управляемым с нею соседством; не инженерной задачей с финальной приёмкой, а игрой с живыми противниками и собственной психикой в роли ненадёжного союзника. Следующая глава разберёт инструменты этой игры — угрозы, риски и способы считать их так, чтобы решения принимались числами, а не страхами.

А поскольку абсолютная индивидуальная безопасность недостижима априори, то и на глобальном уровне не может не быть глобального риска всеобщего коллапса… (но это уже скорее тема десятой главы).