Противоположность безопасности —неуверенность, и единственный способ преодолеть неуверенность — это пойти на риск.

Само слово «риск» приплыло в европейские языки с моря: итальянское risico, по самой популярной этимологии, восходит к греческому обозначению утёса, который надо обогнуть, — и первыми профессионалами риска стали морские страховщики, бравшие плату за чужую неуверенность. Кофейня Эдварда Ллойда, где с 1680-х годов судовладельцы и андеррайтеры били по рукам, выросла в страховую корпорацию, пережившую все империи своих клиентов. Математика подтянулась примерно тогда же: переписка Паскаля и Ферма (1654) о справедливом дележе ставки в прерванной азартной игре считается свидетельством о рождении теории вероятностей, а семейство Бернулли довело дело до закона больших чисел и понятия ожидаемой полезности.

Захватывающую историю того, как человечество училось приручать случайность, рассказывает Питер Бернстайн в книге «Против богов: укрощение риска» — настоятельно рекомендуемой всем, кто по должности подписывает матрицы рисков. А о том, как глубоко случайность пронизывает повседневность и как обманчива наша интуиция в обращении с ней, увлекательно и без формул пишет Леонард Млодинов в «(Не)совершенной случайности. Как случай управляет нашей жизнью» (2010) — лучшем противоядии от иллюзии, будто закономерность есть всюду, где мы привыкли её усматривать.

Риск в сравнении с шансом имеет негативную коннотацию, поскольку является мерой реальности угрозы.

Пара «угроза — риск» соотносится как потенциал и его реализация в конкретных обстоятельствах: угроза существует объективно и безлично (огонь горяч для всех), риск же всегда чей-то и всегда контекстен — один и тот же незапертый склад означает разные риски для владельца пустого ангара и хранителя коллекции скрипок. Из этой асимметрии следует рабочее правило: угрозы инвентаризируют универсальными каталогами, риски — только индивидуальным анализом объекта. Путаница между этими словарями дорого стоит: продавцы охранных решений торгуют угрозами (страшными и всеобщими), покупатель же платит за снижение рисков (своих и конкретных), и неравный курс обмена между первыми и вторыми составляет, по совести говоря, изрядную часть маржи отрасли.

Угроза — потенциальное событие или действие, которое может нанести вред людям, организациям, инфраструктуре, экологии или репутации.
У всякой угрозы анатомия трёхчастна: источник (кто или что), уязвимость (через какую брешь) и актив (по чему придётся удар). Триада эта мультипликативна, как и формула риска: нет уязвимости — источник бессилен, нет ценного актива — уязвимость безобидна, и потому защита всегда располагает тремя рычагами, а не одним. Можно воздействовать на источник (сдерживание, о котором ниже), закрывать уязвимости (патчи, заборы, регламенты) или снижать ценность и концентрацию актива (диверсификация хранения, токенизация данных, страховка). Профессиональная деформация инженера — чинить только средний рычаг; читатель этой книги, хочется верить, будет дёргать за все три.

Риск — вероятность наступления угрозы и масштаб её последствий. Риск оценивается как сочетание вероятности и воздействия.

В компактной записи это любимая формула всех аудиторов: R = P x C, риск равен вероятности события, умноженной на тяжесть последствий. Современный стандарт ISO 31 000 определяет риск ещё шире — как «влияние неопределённости на цели», подчёркивая, что без сформулированной цели риска не существует: камнепад в безлюдных горах — не риск, а геология. Полезно помнить и классическое различение Фрэнка Найта (в его книге «Риск, неопределённость и прибыль», 1921): риском он называл измеримую неопределённость, для которой известно распределение вероятностей (рулетка, статистика пожаров), а собственно неопределённостью — неизмеримую, для которой распределения нет и быть не может (выход на новый рынок, поведение нового противника). Трагикомизм положения управленца в том, что таблицы и матрицы работают в первой зоне, а судьбоносные решения почти всегда принимаются во второй — отчего честная строка «не знаем и узнать не можем» ценнее в реестре рисков, чем уверенная цифра, высосанная из пальца на совещании.

Процесс управления проектом отчасти содержит в себе работу по выявлению и снижению множества рисков неблагоприятного исхода на критическом пути к успешному завершению проекта, чем может заниматься руководитель проекта вместе с планированием и управлением ресурсами, используя инструменты управления рисками.

Дисциплинарно это хозяйство кодифицировано в сводах знаний по управлению проектами (PMBoK и его стандарт-собратья), где управление рисками — обязательная область знаний наряду со сроками и бюджетом, а «критический путь» — термин строгий: цепочка работ, задержка любой из которых сдвигает финиш всего проекта. Риски на критическом пути и вблизи него заслуживают того параноидального внимания, которое на прочих участках было бы расточительством, — простое правило, экономящее изрядную долю управленческой энергии.

Терминологическая сноска: в русскоязычной практике прижились и «митигация» (от англ. mitigation — смягчение), и её народная сестра «митизация»; пуристы предпочитают говорить об «обработке риска», как велит ГОСТ Р ИСО 31 000. Суть от слов не меняется: после идентификации и анализа каждому риску назначается одна из стратегий ответа, и арсенал их, забегая вперёд, шире, чем кажется.

• Идентификация: выявление потенциальных угроз (например, через SWOT-анализ).

На практике идентификация — самый творческий и самый недооценённый этап: что не названо, тем невозможно управлять. Помимо SWOT в дело идут структурированные интервью с носителями опыта (монтажник знает такие сценарии отказа, какие не снились аналитику), разборы чужих инцидентов, чек-листы и каталоги (о них ниже), а из приёмов посвежее — premortem Гэри Кляйна: команда воображает, что проект уже провалился с треском, и пишет некролог с причинами. Удивительно, насколько охотнее люди называют риски в жанре «вскрытия», чем в жанре «возражений руководству»: социальная психология здесь работает на безопасность, что случается нечасто — грех не пользоваться.

• Анализ: оценка вероятности и последствий (матрица рисков: низкий/средний/высокий уровень).
• Мониторинг: регулярный пересмотр рисков в меняющихся условиях.

Пересмотр — не формальность, а признание того факта, что риск имеет срок годности: вероятности дрейфуют вместе с износом оборудования, текучкой персонала, сезоном, курсом валют и модой у злоумышленников. Реестр, не обновлявшийся год, описывает другой объект в другой вселенной. Хорошая практика — привязывать пересмотр не только к календарю, но и к триггерам: инцидент (свой или громкий чужой), смена подрядчика, реконструкция, новые нормативные требования. Дешевле всего риски пересматриваются на бумаге; дороже всего — следственным комитетом.

Финальное предупреждение касается самого популярного способа «управления» рисками — их экспорта вниз по иерархии: руководитель, требующий «сделать к пятнице любой ценой», де-факто делегирует выбор, чем именно рискнуть, тому, кто не видит картины и не уполномочен выбирать, — монтажнику, наладчику, дежурному. Риск, спущенный без полномочий и информации, не управляется, а лишь прячется до инцидента, после которого совершает обратное путешествие наверх в сопровождении прокуратуры. Зрелое управление отличается маршрутом: вниз спускаются ресурсы и приоритеты, наверх поднимаются честные данные о рисках — и горе организации, где этот лифт ездит в противоположные стороны.

• Митизация:

NB: четыре стратегии ниже исчерпывают логические возможности — риском можно не заниматься (избежать), заняться его вероятностью или ущербом (снизить), отдать другому (передать) или оставить себе (принять); всё прочее — комбинации.

• Избежание: отказ от рискованных действий (например, выход с опасного рынка).
• Снижение: внедрение защитных мер (антивирусы, обучение сотрудников).
• Передача: страхование или аутсорсинг рисков.

— с важной оговоркой мелким шрифтом: передаются финансовые последствия, но не ответственность перед законом и не репутация. Сгоревший склад останется вашим пепелищем при любом качестве страхового полиса, а уголовные статьи, как известно, не страхуются в принципе.

• Принятие: осознанное согласие с риском, если затраты на защиту превышают ущерб.

Справедливости ради, у медали есть и солнечная сторона: те же методики управляют положительными рисками — шансами. Стандарты проектного управления зеркально предлагают эксплуатацию (сделать всё, чтобы благоприятное событие случилось), усиление (поднять его вероятность или эффект), разделение (взять в долю партнёра, способного шанс реализовать) и, опять же, принятие. Управление рисками без управления шансами вырождается в профессиональный пессимизм, который оплачивается так же плохо, как и профессиональная беспечность, — баланс этих крайностей, собственно, и составляет предпринимательское ремесло, о котором пойдёт речь в следующей главе.

Приведенная палитра инструментов (Risk Management Tools) универсальна и может использоваться, например, и специалистами по информационной безопасности.
Развернём этот чемоданчик инструментов чуть подробнее, благо каждым из них доводится работать не только в презентациях. Матрица рисков «вероятность x ущерб» (классически пять на пять клеток) — это карта боевых действий: красный угол требует немедленных мер, зелёный — спокойствия, спорная середина — того самого принципа ALARP из главы 6. Реестр рисков превращает карту в документ: у каждого риска появляются владелец (конкретная фамилия, а не «служба эксплуатации»), план мероприятий и дата пересмотра — без этих трёх граф реестр является не инструментом, а жанром декоративно-прикладного искусства.

Для глубокого разбора сложных систем инженерия предлагает тяжёлую артиллерию: анализ видов и последствий отказов FMEA (Failure Mode and Effects Analysis — анализ видов и последствий потенциальных отказов) методично спрашивает у каждого компонента «как именно ты можешь подвести и чем это кончится»; деревья отказов (FTA) раскручивают катастрофу сверху вниз до комбинаций элементарных событий с их вероятностями; метод HAZOP, рождённый в химической промышленности, перебирает отклонения параметров («больше», «меньше», «нет», «наоборот») по каждому узлу технологической схемы. А когда параметров много и они пляшут, на сцену выходит моделирование Монте-Карло: тысячи случайных прогонов модели дают не одну «среднюю» цифру, а полноценное распределение исходов с хвостами, в которых, как мы знаем, и водятся самые интересные птицы.

Об измерении вероятностей стоит сказать отдельную трезвую фразу: для редких событий на единичном объекте статистики не существует по определению, и числа в матрице берутся из трёх источников убывающей надёжности — отраслевых баз (страховых, ведомственных), экспертных оценок (которые калибруются: эксперт, дающий «90% уверенности», должен быть прав в девяти случаях из десяти, что проверяемо и тренируемо) и аналогий. Честная альтернатива ложной точности — порядковые шкалы («раз в год / раз в десятилетие / раз в столетие»), достаточные для ранжирования мер: управлению рисками нужна не третья цифра после запятой, а правильный порядок приоритетов, и притворная точность опаснее признанной грубости.

Наглядной сводкой всего перечисленного служит диаграмма-«галстук-бабочка» (bow-tie): в узле — нежелательное событие, слева — веер угроз с барьерами предотвращения, справа — веер последствий с барьерами смягчения. Одна картинка дисциплинирует мышление лучше тома методичек: сразу видно, что барьеры бывают до и после события, что каждый из них дыряв по-своему (привет «швейцарскому сыру» Джеймса Ризона: инциденты случаются, когда дырки в ломтях защиты выстраиваются в сквозной канал) и что класть все бюджеты на предотвращение, оставляя голым смягчение, — стратегия азартного игрока, а не инженера.

В то время как угрозы могут быть как мнимыми (блеф), так и реальными (намерение), риск всегда иллюзорен — существуют лишь выбор и его последствия, не так ли?
Блеф, между прочим, — полноправный инструмент обороны, а не только нападения: муляж камеры, табличка «ведётся видеонаблюдение» над пустым кронштейном, наклейка несуществующей пультовой охраны — всё это попытки изменить расчёт противника, не неся затрат на действительность. Теорию этой игры разработал нобелевский лауреат Томас Шеллинг в «Стратегии конфликта» (1960): сдерживание работает, когда угроза ответа достоверна для противника, и наоборот — незаметная защита не сдерживает вовсе (сейф, о котором вор не знает, не пугает вора). Отсюда вечная дилемма проектировщика: демонстративность повышает сдерживание, но дарит противнику карту вашей обороны; скрытность повышает шанс поймать — но не предотвращает попытку. Зрелые схемы потому двухслойны: видимый слой сдерживает массового противника, скрытый — встречает настойчивого.

Из этой почти дзенской формулы следует практичное следствие: после всех мероприятий всегда остаётся остаточный риск, и решение о его принятии — управленческий акт с подписью, а не нечто, рассасывающееся само. Зрелые организации формулируют аппетит к риску явно («мы готовы терять до X в год на инцидентах категории Y, но не приемлем событий категории Z ни при какой доходности») — и тогда у инженера появляется внятный критерий, чем двадцать четвёртая камера лучше двадцати трёх, а у финансиста — понимание, что именно он покупает за бюджет безопасности. Там, где аппетит к риску не сформулирован, его роль играет темперамент самого смелого участника совещания.

Однако в контексте бизнеса и предпринимательской деятельности риск коррелирует с убытками, тогда как шанс с прибылью.

Несимметричность этой пары глубже, чем кажется: поведенческая экономика (теория перспектив Канемана и Тверски) экспериментально показала, что боль потери психологически примерно вдвое сильнее радости равного выигрыша, поэтому решения о рисках, принимаемые «по ощущениям», систематически перекошены. Бизнес выработал против этого финансовые противовесы — страхование переносит хвостовые риски на того, кто умеет их диверсифицировать; опционы и резервы покупают право передумать; диверсификация не кладёт яйца в одну корзину. Заметим, что и слаботочный проект умеет всё то же самое, только в железе: резервирование — это диверсификация, ЗИП — резерв, договор с пультовой охраной — передача риска, а пожарная сигнализация — опцион на раннее обнаружение, премией по которому служит её смета.

Если предположить, что сумма риска и шанса равна нулю, то чем большим количеством достоверной внешней и внутренней информации располагает лицо, принимающее решение (ЛПР), тем больше вероятность совпадения гипотезы с фактом (шанс).

Строгое имя этому процессу — байесовское обновление: преподобный Томас Байес ещё в XVIII веке оставил нам формулу пересчёта уверенности при поступлении новых свидетельств, и каждый верификационный запрос «подтвердите тревогу по второй камере» из главы 3 — её живая иллюстрация. Априорная вероятность кражи мала; сработка датчика поднимает её, но не до единицы (датчики лгут); подтверждение независимым каналом другой физической природы поднимает многократно сильнее — именно поэтому двухрубежная логика «И» по разнородным датчикам информативнее простого дублирования однотипных. Той же математикой описывается и ценность информации как таковой: информация стоит ровно столько, насколько она способна изменить решение, — принцип, который разведчик Аллен Даллес из нашего списка литературы сформулировал бы, пожалуй, короче: не бывает дорогих сведений, бывают дорогие заблуждения.

Угрозы возникновения опасности можно классифицировать предметно по типам безопасности, с которыми работают слаботочные системы (например, пожарная, криминальная, физическая) и ранжировать по приоритетам (критические, некритические), образовав таким образом матрицу угроз (техногенных и антропогенных).

А чтобы матрица не рождалась каждый раз из чистого вдохновения, профессия накопила каталоги: отечественный банк данных угроз ФСТЭК систематизирует сотни угроз информационной безопасности с привязкой к нарушителям и уязвимостям, международная матрица MITRE ATT&CK раскладывает по полочкам тактики и техники реальных атакующих, страховые и перестраховочные дома ведут вековые таблицы пожаров, краж и стихий. Пользоваться чужой систематикой не зазорно — зазорно подменять ею мышление: каталог перечисляет, что бывало с другими, тогда как модель нарушителя из главы 3 и связка активов конкретного объекта решают, что из этого относится к вам, а чего в каталогах ещё нет, потому что вы окажетесь первым прецедентом.

Особый класс, выросший за последние десятилетия в главный, — риски цепочек поставок: ваш объект защищён настолько, насколько защищён худший из ваших поставщиков, подрядчиков и их подрядчиков (Target из главы 8 и Crypto AG из главы 9 — два полюса одной темы). Инструментарий ответа созревает на глазах: анкеты и аудиты контрагентов, договорные требования к их безопасности, контроль происхождения компонентов, планы на случай отказа единственного поставщика. Карта рисков современного объекта, нарисованная честно, выходит далеко за его забор — по кабелям, договорам и прошивкам.

Определив для каждого элемента вероятностную степень реализации — риск, можно определить и необходимую степень надежности соответствующих сдерживающих слаботочных систем.

Покажем эту арифметику на пальцах, в жанре оценки порядка величин. Пусть пожар на складе без автоматики случается, по отраслевой статистике, с частотой раз в полвека (вероятность 0,02 в год), а средний ущерб с простоем — сто миллионов рублей: математическое ожидание потерь — два миллиона в год. Автоматическое пожаротушение, снижающее ущерб развившегося пожара, скажем, на девяносто процентов, срезает ожидание до двухсот тысяч; если его смета с обслуживанием в годовом исчислении меньше миллиона восьмисот тысяч разницы — инвестиция оправдана уже без учёта страховых скидок, штрафов и нефинансовых последствий. В терминах англоязычных методик это называется ALE (annualized loss expectancy — ожидаемые годовые потери) и ROSI (return on security investment — отдача от вложений в безопасность); цифры в таких расчётах всегда спорны, но сам спор о цифрах несравненно продуктивнее спора о прилагательных «надёжный» и «современный», которыми торгует реклама.

Тот же расчёт, продолженный во времени, рождает портфельный взгляд: у объекта не один риск, а ансамбль, и бюджет безопасности оптимизируется по совокупности — рубль, перекинутый с пятой камеры на обучение персонала или с золочёного замка на резервный канал связи, способен купить больше снижения суммарного матожидания потерь. Практический ритуал такой оптимизации — ежегодная защита бюджета безопасности перед финансовым директором языком кривых «затраты — остаточный риск»: процедура, поначалу мучительная для обеих сторон, через пару итераций превращает оппонентов в соавторов, ибо впервые даёт им общую систему координат.

Например, система пожарной сигнализации снижает угрозу пожарной опасности, обнаруживая признаки пожара, система оповещения и управления эвакуацией снижает смертельный риск для резидентов и посетителей здания в случае пожара, системы пожаротушения снижают финансовый и репутационный риск полной потери имущества в результате развития пожара до приезда экипажей пожарной охраны.

Обратите внимание на разделение труда внутри одной только противопожарной связки: сигнализация работает с вероятностью обнаружения, оповещение — с тяжестью последствий для людей, тушение — с тяжестью последствий для имущества. Три системы, три разных слагаемых в формуле R = P x C, и попытка сэкономить на любой из них не «слегка ослабляет защиту», а вычёркивает из формулы целый множитель. Этот покомпонентный взгляд — какую именно часть какого именно риска обрабатывает каждая система — превращает спецификацию слаботочного раздела из прайс-листа в осмысленный финансовый документ, и в главе о проектировании мы возведём его в метод.

Той же оптикой полезно взглянуть и на знакомые по первой части системы в целом: СКУД из главы 3 — это управление вероятностью несанкционированного доступа, видеонаблюдение — управление и вероятностью (сдерживанием), и последствиями (доказательной базой), резервирование сетей из главы 4 — чистая работа с последствиями отказа, автоматизация из главы 5 — снижение вероятности человеческой ошибки ценой принятия рисков программных. Вся слаботочная инженерия, если смотреть с этого этажа абстракции, есть материализованный риск-менеджмент: каждый прибор в спецификации — это чья-то оценка вероятности, умноженная на чей-то страх последствий.

Система охранной сигнализации обнаруживает нарушителя и снижает финансовый и юридический риск ограбления, система контроля и управления доступом снижает криминальную угрозу несанкционированного физического доступа, система видеонаблюдения позволяет снизить угрозу нарушения режима безопасности с базовых 80% до 20% и ниже.

К конкретным процентам в подобных утверждениях читателю стоит относиться как к жанровой условности: точных всеобщих цифр здесь не существует, ибо эффект любой меры зависит от объекта, противника и исполнения. Достоверно другое, и это систематически подтверждается криминологическими обзорами: видимое наблюдение меняет поведение наблюдаемых — тот самый эффект наблюдателя, что прорастёт у нас в главе 10 в полноценную метафору, — причём сильнее всего эффект там, где преступление требует расчёта (парковки, склады, кассовые зоны), и слабее там, где правит аффект. Камера не останавливает пьяную драку, но заметно прореживает кражи: у каждой меры — свой спектр действия, и составление этих спектров в полное покрытие и есть искусство комплексной безопасности.
И ещё одно следствие, неочевидное до первого судебного разбирательства: установленная, но неработающая система хуже отсутствующей — она создаёт ложное чувство защищённости у людей (которые ведут себя соответственно, см. компенсацию риска из главы 6), юридическую презумпцию халатности у владельца и нулевой вклад в вероятности. Аудит фактического состояния — камеры, которые пишут; извещатели, которые не заклеены; кнопки, которые куда-то подключены, — скучнейшая из процедур безопасности и одновременно самая информативная: расхождение между проектной и фактической защищённостью объекта и есть его главный неучтённый риск.

Угрозы невозможно полностью устранить, но системный подход к управлению рисками позволяет минимизировать их влияние. Регулярный анализ и адаптация стратегий — залог устойчивости в нестабильном мире.

Финальная оговорка обязана Талебу из прошлой главы: матрицы и реестры исправно работают со знаемым и воображаемым, но бессильны перед неизвестным неизвестным — чёрный лебедь по определению отсутствует в реестре. Ответ зрелой инженерии — смещение части усилий с предсказания на устойчивость: запас прочности, избыточность, автономность критических функций, отработанные планы непрерывности и восстановления, учения, на которых ломать систему разрешено и почётно. Резильентная система отличается от защищённой, как боксёр от витрины: она не обещает, что её не ударят, — она обещает встать. С этим настроением и перейдём к разговору о том, кто за всё это платит и почему иногда не хочет, — то есть к безопасности и бизнесу.