Когда я раньше играл в настольный теннис, то иногда замечал странную вещь. Бывало, я раз за разом проигрывал соперникам, которые были объективно слабее (хуже техника, реакция и т. д.). Но в то же время я выигрывал у тех, кто вытворял с ракеткой удивительные штуки. Я не очень понимал эту странную закономерность, пока сегодня не наткнулся на классную идею.
Идею эту в свое время озвучил ученый Саймон Рамо в своей публикации о теннисе. Он отметил, что профессиональный и любительский теннис — это две абсолютно разные игры. Не из-за вариаций правил, а из-за принципиального различия в том, за счет чего выигрывают партию.
В профессиональном теннисе финальный результат определяется тем, кто совершит больше победных действий, а в любительском — кто больше раз ошибется. Как пишет сам Рамо:
в профессиональном теннисе 80% очков выигрываются, в любительском теннисе 80% очков проигрываются.
В моем понимании это означает следующее. Если изобразить все действия игроков в партии в виде стоящих друг за другом столбцов разной высоты, где высота столбца определяет «уровень» соответствующего действия, то для профессионального матча мы получим несколько коротких столбцов (ошибок) и множество длинных («сильных» действий). Поэтому будет побеждать тот, у кого больше длинных столбцов. И наоборот, в аналогичном отображении любительского матча будет всего несколько длинных столбцов и множество коротких, поэтому будет побеждать тот игрок, у кого коротких столбцов — ошибок — меньше.
Другими словами, в матче любителей важнее не то, как много классных действий ты совершаешь, а то, насколько реже, чем соперник, ты ошибаешься.
И эта идея часто контринтуитивна. Ведь нам хочется показать все, на что мы способны, вместо того чтобы постараться просто играть прилично и избегать глупых ошибок. Похоже, именно в эту ловушку попадал и я.
Этот принцип распространяется и на многие другие дела. Наше внимание часто «настроено» на то, чтобы совершить какие-то новые «классные» действия, которые — теоретически — приблизят нас к цели. В то же время мы продолжаем делать глупые вещи, которые вносят значительно более существенный вклад в финальный результат, чем недостаток «классных» действий. И для достижения цели было бы эффективнее фокусировать внимание на том, чтобы избавиться от ошибок.
Какое все это имеет отношение к кибербезопасности? По-моему, самое непосредственное. При разработке защищенной системы часто важнее просто не игнорировать безопасность на этапе проектирования, чем внедрять множество «классных» защитных функций после того, как система уже разработана. Именно это и предполагает идеология Secure by Design.
Кстати, эта идея соответствует концепции «безопасности от простоты», ставшей заметным трендом в области кибербезопасности. Недавно выяснили, что чем больше средств кибербезопасности использует предприятие, тем менее эффективна его защита. Например, вот это исследование показало: у компаний, применяющих свыше 50 инструментов для обеспечения кибербезопасности, защитный потенциал на 7% ниже, чем у использующих меньше 50 таких инструментов.
Так что безопасность должна быть настолько простой, насколько это возможно. А самый естественный способ снизить сложность защитных механизмов — внедрить безопасность на уровне дизайна системы.
Когда я раньше играл в настольный теннис, то иногда замечал странную вещь. Бывало, я раз за разом проигрывал соперникам, которые были объективно слабее (хуже техника, реакция и т. д.). Но в то же время я выигрывал у тех, кто вытворял с ракеткой удивительные штуки. Я не очень понимал эту странную закономерность, пока сегодня не наткнулся на классную идею.
Идею эту в свое время озвучил ученый Саймон Рамо в своей публикации о теннисе. Он отметил, что профессиональный и любительский теннис — это две абсолютно разные игры. Не из-за вариаций правил, а из-за принципиального различия в том, за счет чего выигрывают партию.
В профессиональном теннисе финальный результат определяется тем, кто совершит больше победных действий, а в любительском — кто больше раз ошибется. Как пишет сам Рамо:
в профессиональном теннисе 80% очков выигрываются, в любительском теннисе 80% очков проигрываются.
В моем понимании это означает следующее. Если изобразить все действия игроков в партии в виде стоящих друг за другом столбцов разной высоты, где высота столбца определяет «уровень» соответствующего действия, то для профессионального матча мы получим несколько коротких столбцов (ошибок) и множество длинных («сильных» действий). Поэтому будет побеждать тот, у кого больше длинных столбцов. И наоборот, в аналогичном отображении любительского матча будет всего несколько длинных столбцов и множество коротких, поэтому будет побеждать тот игрок, у кого коротких столбцов — ошибок — меньше.
Другими словами, в матче любителей важнее не то, как много классных действий ты совершаешь, а то, насколько реже, чем соперник, ты ошибаешься.
И эта идея часто контринтуитивна. Ведь нам хочется показать все, на что мы способны, вместо того чтобы постараться просто играть прилично и избегать глупых ошибок. Похоже, именно в эту ловушку попадал и я.
Этот принцип распространяется и на многие другие дела. Наше внимание часто «настроено» на то, чтобы совершить какие-то новые «классные» действия, которые — теоретически — приблизят нас к цели. В то же время мы продолжаем делать глупые вещи, которые вносят значительно более существенный вклад в финальный результат, чем недостаток «классных» действий. И для достижения цели было бы эффективнее фокусировать внимание на том, чтобы избавиться от ошибок.
Какое все это имеет отношение к кибербезопасности? По-моему, самое непосредственное. При разработке защищенной системы часто важнее просто не игнорировать безопасность на этапе проектирования, чем внедрять множество «классных» защитных функций после того, как система уже разработана. Именно это и предполагает идеология Secure by Design.
Кстати, эта идея соответствует концепции «безопасности от простоты», ставшей заметным трендом в области кибербезопасности. Недавно выяснили, что чем больше средств кибербезопасности использует предприятие, тем менее эффективна его защита. Например, вот это исследование показало: у компаний, применяющих свыше 50 инструментов для обеспечения кибербезопасности, защитный потенциал на 7% ниже, чем у использующих меньше 50 таких инструментов.
Так что безопасность должна быть настолько простой, насколько это возможно. А самый естественный способ снизить сложность защитных механизмов — внедрить безопасность на уровне дизайна системы.
