Не исключено, что в давние времена, когда язык лишь только начинал развиваться, два данных понятия могли обозначать одну и ту же вещь. Однако в языках современных по сию пору так и не появилось конкретных слов, обозначающих достаточно распространенную ситуацию типа «быть в безопасности, но при этом не чувствовать себя безопасно» (или наоборот).

Из-за существенных расхождений между реальным состоянием ситуации и ее восприятием возникает масса проблем. Потому что люди принимают решения на основе своих ощущений, а не реального положения дел.

Например, при взгляде на проблему в макромасштабе, так сказать, можно отметить, что очевидно чрезмерная реакция общества на угрозы терроризма основана на неправильной оценке рисков и чувстве неопределенности, имеющем глубокие психологические корни.

Для ситуации в США, в частности, исследователями подсчитано, что если даже принимать во внимание резкий всплеск — все жертвы атак 9/11 — то количество американцев, погибающих от рук международных террористов, остается примерно тем же, сколько людей в США гибнет от удара молнией. Или в автомобильных авариях из-за случайного столкновения с животными. Или от аллергической реакции на арахис. Или, наконец, лишь немногим больше, чем число несчастных, утонувших в ванне.

Как правило, к неверной оценке рисков приводят людей твердо сидящие в их сознании когнитивные предрассудки и предубеждения.

Прекрасно известно, скажем, что практически все мужчины и женщины садятся без страха в автомобили, хотя уровень несчастных случаев здесь куда выше, чем в авиации. Но вот в авиаперелетах, напротив, многие чувствуют себя намного менее безопасно, чем это есть на самом деле.

Другой созвучный пример — из сетевой практики. Знакомая всем пиктограмма замка или ключика в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, нежели ее имеется реально.

Переводя эти общие наблюдения на микроуровень повседневной жизни людей, специалисты отмечают, что подобного рода предрассудки очень успешно используются злоумышленниками. Многие из реальных атак на информационные и физические системы ныне эксплуатируют психологию в большей степени, нежели технологии.

Формулируя чуть иначе, все больше и больше преступлений включают в себя элементарный или изощренный обман. По мере того, как технологии безопасности становятся все лучше и совершеннее, зачастую куда легче оказывается вводить в заблуждение людей, нежели взламывать компьютеры или замки и сигнализацию в зданиях.

[ВРЕЗКА]

Краткая история процесса

Толчком к новой дисциплине стала тема «экономика и безопасность». С начала 2000-х годов Россу Андерсону довелось довольно много общаться и сотрудничать с поведенческими экономистами. Так ныне принято именовать ученых, исследующих области пересечения экономики и психологии, а именно, как и почему люди в финансовых делах совершают весьма рискованные шаги и зачастую принимают рационально необъяснимые решения.

Углубляясь в тему, Андерсон не мог не заметить, что проблема эта имеет очень много параллелей с человеческим фактором в компьютерной безопасности. Теме эффективных атак, опирающихся на психологию, а не технологии, посвящена большая, на полсотни страниц глава в знаменитой книге ученого «Инженерия безопасности».

Американскому крипто-гуру Брюсу Шнайеру, в свою очередь, тоже не раз доводилось делать исследования и публиковать работы, затрагивающие разнообразные пересечения психологии и безопасности. Эти исследования зачастую погружали Шнайера в смежные и довольно далекие от его собственной компетенции области — от эволюционной биологии до антропологии или истории. При этом он не раз бывал поражен, находя там исследовательские работы, результаты которых оказывались не просто созвучны, а очень тесно связаны с компьютерной безопасностью.

В 2007 году или чуть раньше, общаясь на одном из профессиональных форумов, Шнайер и Андерсон решили, что было бы очень интересно попробовать свести людей из всех этих весьма разнообразных сообществ где-нибудь в одном месте — и дать им возможность для обмена идеями

и взаимно-полезного общения. Практически всем из их многочисленных знакомых, посвященных в замысел, идея пришлась по душе, так что к лету 2008 удалось собрать первый междисциплинарный «Семинар по безопасности и человеческому поведению».

По всеобщим отзывам участников, мероприятие оказалось весьма полезным, так что в июне 2009 года прошел аналогичный второй семинар с более обширным числом участников и докладов. Все чаще стала звучать идея, что нарождается новая междисциплинарная наука, название для которой пока еще не придумано.

[Конец ВРЕЗКИ]

Жизнь среди обмана

Среди рубрик, разбивающих андерсонову страничку ресурсов по категориям, обманы и посвященные им исследования занимают одно из главных мест. Поэтому представляется логичным хотя бы в общих чертах познакомиться с ключевыми работами данного направления.

«Психология афер — провоцирование и совершение ошибок в суждениях» [pdf], опубликованное в мае 2009 объемистое исследование группы Стивена Ли для британского Управления честной торговли, по сути представляет собой целую энциклопедию о том, как люди становятся жертвами онлайновых и прочих жульнических операций. Сначала авторы дают основательный обзор проблемы в целом, попутно описывают большое количество афер, а затем предоставляют четыре собственных исследования.

Согласно данным правительства Великобритании за 2006 год, свыше 3,2 миллионов взрослых граждан страны ежегодно становятся жертвами массовых торговых афер, в общей сложности теряя на этом более 3,5 миллиардов фунтов стерлингов. Жертвы мошенников часто именуются «жадными» или «доверчивыми», а стандартная реакция окружающих на их неприятности звучит примерно так: «Да как вообще можно попадаться на подобные уловки?».

Увы, навешивание на жертвы подобных ярлыков никак не помогает в исправлении ситуации, а факты свидетельствуют, что практически все люди в тот или иной момент времени могут в принципе поддаться на уловки мошенников. Для авторов работы совершенно ясно, что подобное попадание обычно рациональных и здравомыслящих людей на хитрости жуликов представляет собой неверное суждение. Поэтому данное исследование пытается выявить основные категории в принятиях ошибочных решений, типичных для реакций жертвы, и разобраться с психологией и техниками убеждения, практикуемыми мошенниками для того, чтобы попытаться спровоцировать такие ошибки.

Особо интересно, отмечают авторы, что аферисты в своих делах весьма широко используют те же самые технологии воздействия на психику покупателей, что и вполне законные специалисты по маркетингу. Иначе говоря, практически любая успешная торговая афера включает в себя все стандартные элементы из маркетингового арсенала, выстраивающего специфические психологические отношения между продавцом и покупателем. То есть между мошенником и его жертвой.

Другая очень содержательная работа из того же ряда, «Понимание жертв мошенничества: семь принципов для системной безопасности» [pdf], особо примечательна своим авторским коллективом, точнее дуэтом.

Фрэнк Стаяно является сотрудником Кембриджской лаборатории компьютерной безопасности, а Пол Уилсон — автором и ведущим популярного документального ТВ-сериала Би-Би-Си «The Real Hustle» (в данном контексте название переводится примерно как «Настоящий развод на бабки»). Здесь телерепортером методично исследуется (с реальным воспроизведением в розыгрышах) множество самых разнообразных схем мошенничества, а экспертом по компьютерной защите выделяются базовые принципы, на которых основаны техники обмана, и затем применяются к области системной безопасности.

Как пишут авторы, во многих случаях самой слабой точкой в обороне всякой системы является человеческий фактор. Успешные же атаки становятся возможны по той причине, что инженеры безопасности продумывали лишь свои способы защиты системы, совершенно не думая о том, каким образом реальные пользователи будут реагировать на умышленно сконструированные уловки злоумышленников. Иными словами, разработчики не берут в учет и не понимают психологию пользователей той системы, которую они намерены защитить.

Отсюда должно быть ясн

Отсюда должно быть ясно, насколько важно постичь, как ведут себя пользователи и какие особенности их поведения делают их уязвимыми, чтобы затем системы безопасности разрабатывались с учетом этих особенностей. Но где добыть и как набрать подобные знания?

Суть данной исследовательской работы в том, что мошенники и жулики о психологии своих жертв знают намного больше, нежели инженеры систем безопасности. А потому разработчики могут почерпнуть очень много полезных уроков из повседневной деятельности аферистов.

[ВРЕЗКА 2]

Психология лжи и самообмана

Вкратце о еще нескольких интересных работах, исследующих разные аспекты обмана.

«Человеческое поведение и выявление обмана», статья Марка Фрэнка и группы его коллег, дающая обзор общего состояния дел в искусстве выявления неправды. Люди в своем большинстве проявляют себя в обнаружении обмана весьма неважно, поскольку все мы имеем в данном деле очень небольшую практику, но при этом небольшое меньшинство имеет к этому особый дар.

Статья «Меньше чем человек: самообман в изображении других» (автор David Livingstone Smith) делает акцент на том, что самообман является весьма важным элементом во всякой войне. Для многих людей оказывается сложным убить человека, но лишь до тех пор, пока они не убедят себя в том, что враг не совсем человек, а что-то типа инопланетянина-предатора или насекомого-вредителя.

Исследование «Социальный фишинг» рассказывает о том, как процент студентов, отвечавших на тестовый фишинговый запрос в электронный почте, резко подскочил с 16% до 72% в результате включения значимой социальной информации о получателе (например, придавая письму такой вид, будто оно исходит от приятеля или приятельницы жертвы, основываясь на информации, взятой с сайтов социальных сетей).

Статья «Плутовство» (Fred Schauer, Dick Zeckhauser) исследует природу неправд, которые не представляют собой махровую ложь, а останавливаются где-то на полпути к этому — множество разных полуправд и выдаваемых за правду домыслов, преувеличений и искажений. В общем все то, что обычно интенсивно смазывает социальное общение и представляет саму суть современной политики.

[Конец ВРЕЗКИ 2]

Как жить без страха

В 2002 году, явно под большим впечатлением от тех серьезных перемен, что произошли в западном мире и особенно в США после событий 11 сентября 2001 года, Брюс Шнайер написал весьма особенную книгу «Beyond Fear» или «Без страха. Здравые рассуждения о безопасности в переменчивом мире».

Выйдя в этой работе далеко за пределы более привычных ему криптографии и компьютерной безопасности, Шнайер заявил на страницах примерно следующее.

Обществу твердят, будто ныне оно находится в условиях большей, чем когда-либо угрозы. Будто привычный образ жизни необходимо изменить самым радикальным образом ради того, чтобы быть в большей безопасности. Людей убеждают, что они обязаны поступиться своими правами и свободами, а полиции необходимы новые полномочия для расследований, что необходимо узаконить практику шпионажа внутри страны, что надо применять американскую военную силу против стран, поддерживающих терроризм…

Практически все из того, в чем заверяют граждан власти, по убеждению Шнайера — это неправда. Большинство тех перемен, которые власти просят граждан одобрить, не приводят к укреплению безопасности. Они не делают общество более защищенным. В действительности все обстоит иначе, и некоторые из этих перемен лишь ухудшают общую ситуацию.

Оставляя в стороне доводы и факты, с помощью которых Шнайер доказывал свою «непопулярную» и крайне непатриотичную по тем временам позицию, здесь хотелось бы обратить внимание на один из важнейших психологических факторов — страх, — с помощью которого тогдашняя власть США получила от общества практически все те полномочия и уступки, которых добивалась.

И хотя ныне в Америке правит совсем другая администрация, да и обстановка в мире существенно иная, фактор страха как был, так и остается повсюду одним из важнейших инструментов при манипуляциях человеческим сознанием, будь то в политике, бизнесе или в подаче новостей средствами массовой информац

Понятно, что тема страхов человеческих имеет самое непосредственное отношение и к теме «психология и безопасность». На андерсоновой странице соответствующих веб-ресурсов можно найти немало материалов по данной проблеме, здесь же можно привести несколько содержательных идей из работ Фрэнка Фьюреди, профессора социологии из университета Кента и автора книги «Политика страха».

То, что страх играл постоянно нарастающую роль в истории XX века, говорит профессор, свидетельствует уже само его название «Век опасений», впервые появившееся около 1950 года и затем часто повторявшееся многими авторами. Но чем больше люди культивируют эту обострившуюся в веке XXI восприимчивость к беспокойствам, тем меньше они замечают тот факт, что страх сегодняшний очень отличается от опыта прошлых эпох.

С эмоцией страха человеку приходилось иметь дело на протяжении всей своей истории. Однако то, как мы боимся и чего именно мы боимся, меняется все время. Например, в средние века извержения вулканов и солнечные затмения были особым фокусом страхов, поскольку трактовались как признаки божьей кары. В викторианскую эпоху страхи многих людей были сконцентрированы на безработице. Сегодня же дела обстоят так, что люди стали бояться практически всего.

Одна из причин, по которой современные люди боятся так много и часто, заключается в том, что доминировать в их жизни стали состязающиеся группы продавцов страха, каждая из которых имеет свои собственные интересы, однако все они подкрепляют свои заявления и продают товары через страх.

Политики и средства массовой информации, бизнес-корпорации и организации по защите окружающей среды, представители здравоохранения и разнообразные группы «защиты прав» непрерывно предупреждают обывателей о появлениях каких-то новых напастей, которых непременно следует бояться.

Психологические реакции испуга, подспудно формируемые в людях, проявляются в самых обычных житейских ситуациях. Отмечено, к примеру, что ныне общество как будто вообще не способно обсуждать проблемы, стоящие перед детьми, не впадая при этом в паническое настроение.

Так, исследования показывают, что когда зрители видят фотографию ребенка в выпуске ТВ-новостей, они автоматически настраиваются на прием очередной нехорошей истории. По этой же причине большинство людей, которых просили дать свою интерпретацию фотографии с изображением мужчины, обнимающего ребенка, отвечали, что видят снимок педофила, а не фото любящего отца.

В области коммерции очень многие направления индустрии энергично продвигают свои товары и услуги через рынок страха. Стало обычным делом, когда торговцы ищут приемы и способы того, как бы напугать потребителей — дабы те активнее покупали их продукты защиты.

Апелляция к опасениям относительно личной безопасности ныне служит отправной точкой для маркетинговой стратегии в страховании, средствах персональной защиты и медицинской индустрии. В не меньшей степени страх используется ИТ-индустрией и ее армией консультантов для продажи своих товаров и услуг.

Хрестоматийным ныне примером самых бесстыжих злоупотреблений и спекуляций на страхах человеческих в области ИТ стала так называемая Y2K, проблема 2000-го года, которую старательно расписывали как предвестника глобальной техногенной катастрофы.

Масштабы этой международно скоординированной акции и гигантское количество выделенных денег, исчисляемое многими миллиардами долларов, оказались беспрецедентными для эпохи компьютеров. Лишь очень небольшое количество ИТ-экспертов находило в себе смелость поставить под сомнение всю эту чрезмерную активность с раздуванием угроз от «бага тысячелетия»…

Примерно о том же, что и Фьюреди, но в большей привязке к ИТ-безопасности, рассказывают исследования других авторов, собранные на андерсоновой странице ресурсов в разделе «Социальные подходы к рискам».

Так, в частности, статья «Миф о суперпользователе: страхи, риски и ущерб в онлайне» [pdf] Пола Ома (Paul Ohm) освещает антропологию устойчивого нагнетания паники в области компьютерной безопасности. Автор показывает, как средства информации на редкость последовательно преувеличива

Расширение диалога

Данный обзор, отнюдь не претендующий на полноту, затронул лишь небольшую часть самых разных направлений, разрабатываемых ныне исследователями в пограничной зоне психологии и безопасности.

Благодаря совместным конференциям, веб-форумам и инициативам вроде андерсоновой «страницы ресурсов», диалог между учеными из разных областей ныне заметно расширяется. Сближая, таким образом, исследования людей, занимающихся разработкой практичных систем защиты и разнообразных протоколов обеспечения безопасности или приватности, с одной стороны — и специалистов из таких областей, как социальная психология, эволюционная биология и поведенческая экономика с другой стороны.

Как надеются Росс Андерсон и его единомышленники, эта новая дисциплина будет все больше становиться одной из активных точек контакта между компьютингом и психологией. Опыт же свидетельствует, что подобный обмен всегда был крайне полезен для обеих дисциплин на протяжении двух последних десятилетий.

на редкость последовательно преувеличивают возможности компьютерных специалистов (хакеров) для создания образа некоего ужасного страшилища.

Порождающийся при этом миф охотно поддерживается многими сторонами, находящими в этом собственные выгоды, однако общество от этого ничего не выигрывает. Скорее даже теряет — от переплат за откровенно плохие системы защиты до необходимости подчиняться плохим законам, принимаемым поспешно и трактуемым чересчур широко.