Можно ли предсказывать киберкатастрофы?

Как мы пытаемся предсказывать сегодня?

Современные подходы можно разделить на несколько типов:

1. Сценарные модели. Мы придумываем стресс-сценарий: падает крупное облако, появляется zero-day в глобально используемом софте, компрометируется популярная библиотека. Задаем параметры: сколько компаний затронуто, сколько длится сбой, какой ущерб. Это полезная, но все же гипотеза.
2. Вероятностные модели. Здесь появляются распределения, «хвосты» и симуляции Монте-Карло. Они не предсказывают конкретную атаку, но рисуют диапазон потерь и показывают ту самую зону «1 раз в 200 лет», в которой компания может просто перестать существовать.
3. Поиск «черных лебедей». Попытка встроить в модели гипотетические сверхсценарии: глобальный сбой DNS, массовая компрометация маршрутизаторов, подмена популярной библиотеки в репозитории. Это уже не статистика, а управляемая фантазия.
4. Поведенческие подходы. Red Team’инг, киберучения, симуляции киберпреступников в рамках кибериспытаний. Они не считают вероятности, они проверяют реакцию: как быстро отключится сегмент, кто примет решение, где возникнет паника.
5. Принципы антихрупкости. Подход, при котором мы не предсказываем удар, а строим систему так, чтобы он не стал фатальным. Микросегментация, избыточность, физическое разделение. Это уже не столько про прогнозирование, сколько про изменение самой философии оценки рисков.

Отдельно стоит регуляторный подход (обычно от ФСТЭК и Банка России). Часто требования здесь строятся не на расчетах, а на экспертной оценке. Иногда глубокой, но чаще — интуитивной. Где-то устанавливается «допустимый уровень риска» без прозрачной методологии, где-то определяются «негативные последствия» без оценки вероятности. Экспертное мнение — важный инструмент, особенно при нехватке данных, но у него есть пределы. Эксперт — человек, а значит, он подвержен когнитивным искажениям, опирается на недавний опыт и часто мыслит шаблонами уже случившихся инцидентов. Тема этих искажений глубока как океан, и именно они часто делают экспертную оценку слишком уязвимой.

Ловушка точности

Выше я назвал только несколько самых популярных подходов. А ведь существуют еще кооперативное моделирование угроз, коллективные векторные сценарии, теория допустимого ущерба, индикаторы на уровне экосистемы, агрегированные модели и др. В итоге мы получаем странную картину. С одной стороны — сложнейшие математические модели, с другой — управленческие решения, принятые «на глаз», просто потому что так кажется разумным. Это главный конфликт современной кибербезопасности.

Мы хотим точности, но живем в неопределенности. Считаем «хвосты», но решения принимает человек. Графики дают ощущение контроля: кажется, что хаос приручен, а катастрофа — это просто число в таблице. Но именно здесь и начинается самообман, продиктованный уже не раз упомянутыми когнитивными искажениями. Модель может оценить масштаб потерь, но она не гарантирует, что этот масштаб будет пределом. Любая модель — лишь приближение.

Если в системе есть единая точка отказа, модель может ее подсветить, но она ее не устранит. Если инфраструктура монолитна, если процессы централизованы, если управление завязано на один канал связи, если технологическая цепочка не имеет физической альтернативы — предел разрушения уже встроен в систему. И тогда цифра «1 в 200 лет» становится просто аккуратно оформленной иллюзией.

Анатомия недопустимых событий

Разговор о катастрофах должен в какой-то момент перестать быть разговором о вероятностях (может, поэтому в последней методике оценки угроз ФСТЭК от вероятности отказались совсем). Он должен стать разговором о границах:

• Где заканчивается локальный инцидент и начинается системная деградация?
• Где штраф становится триггером каскадных финансовых последствий?
• Где потеря прибыли оборачивается потерей бизнеса?

И вот мы плавно подходим к идее недопустимых событий, которые могут быть чем угодно: простоем, штрафом, потерей прибыли, отзывом лицензии, остановкой отгрузок, срывом контрактов, падением доверия регулятора, массовым оттоком клиентов. Даже «обычная» утечка данных, если она случилась в неподходящий момент и по неправильной причине, может стать недопустимой (оборотный штраф в начале года при поступлении основных доходов в 4-м квартале).

Ключевой критерий здесь — недопустимое событие. Это ситуация, которая переводит систему в состояние, из которого нет приемлемого возврата — по времени, по деньгам или по управляемости.

Недопустимое событие — это не обязательно «взрыв». Иногда оно выглядит внешне скучно:

1. Производство стояло не сутки, а месяц, и цепочка поставок развалилась (как это было в инциденте с шифровальщиком у Jaguar Land Rover летом 2025 года).
2. Штраф оказался не просто большим, а экзистенциальным, потому что совпал с кассовым разрывом и кредитными ковенантами.
3. Потеря небольшого контракта привела к небольшому проседанию прибыли, но контракт оказался с ключевым клиентом — и после этого была потеряна существенная доля рынка.
4. Формально после инцидента всё восстановили, но регулятор приостановил деятельность, а рынок изменил отношение к компании.

Недопустимость — это про порог разрушения. Нас должен интересовать не «средний ущерб», а вопрос: где у нашей компании проходит линия, после которой восстановление становится бессмысленным или очень-очень-очень дорогим? Моделирование полезно именно здесь: оно помогает понять, какие цепочки событий и сценарии способны довести нас до этой линии.

Инженерия выживания

Вероятностная модель соблазняет думать категориями «0,5% в год». Но для конкретной компании сценарий «1 раз в 200 лет» не означает «через 200 лет» (и это снова про когнитивные искажения). Это означает: может случиться завтра. Вероятность — это характеристика множества наблюдений. Но катастрофа — это всегда единичное событие. В этом месте статистика сталкивается с реальностью. Именно поэтому Талеб говорил об антихрупкости. Мы должны признать, что мир нестабилен. Если вы не можете точно предсказать удар, его место и время, а также последствия, измените структуру так, чтобы удар не был фатальным.

Поэтому единственный верный путь — антихрупкость. В результативном кибербезе это означает:

• уменьшать связанность и изолировать сегменты;
• исключать единые точки отказа;
• допускать управляемую избыточность и проектировать отказоустойчивые механизмы;
• ограничивать «радиус взрыва» любого сбоя.

Это не снижает неопределенность, но снижает последствия. Модель говорит: «Вот хвост», а инженерия отвечает: «Мы сократим его длину». Ну и конечно, нельзя забывать про проверку достижения реального снижения последствий, что реализуется выставлением компании на кибериспытания.

У нас есть преимущество перед древними греками, которые не могли изменить судьбу: мы можем менять свою «природу». Мы можем не концентрировать контроль в одном облаке, не строить монолитные сети и не завязывать все на одного вендора. В этом месте моделирование перестает быть гаданием и становится инструментом дисциплины мышления. Антихрупкость создается не в Excel или «Моем офисе», она создается за счет архитектуры. Главный сдвиг, который нам нужно сделать, —спрашивать не «что случится?», а «что не должно нас разрушить?».

Когда компания начинает мыслить именно так, кибербезопасность перестает быть цифровой Кассандрой, которой никто не верит. И она уже не мальчик, кричащий: «Волки, волки!» Она становится нормальным инженерным инструментом выживания.