Существует одно когнитивное смещение, к которому мы, люди, склонны, и оно лежит в основе некоторых проблем, с которыми ежедневно сталкиваются специалисты по кибербезопасности. Оно известно как предвзятость нормальности — то, что доктор Лорен Брейтуэйт определяет как «нашу склонность недооценивать вероятность катастрофы и верить, что жизнь будет продолжаться как обычно, даже перед лицом серьезных угроз или кризисов». Именно поэтому люди колеблются после срабатывания пожарной сигнализации или задерживают реакцию в других развивающихся ситуациях, поскольку все еще кажется, что ситуация под контролем.
Поскольку это предубеждение может привести к тому, что мы будем путать привычность с безопасностью, а предположения — с доказательствами, оно все чаще мешает нам справляться с реальностью кибербезопасности. Оно заставляет людей недооценивать вероятность кибератаки или интерпретировать отсутствие очевидных проблем или последствий как доказательство того, что риски находятся под контролем. На практике многие организации рассматривают отсутствие четких предупреждений от выбранных ими платформ защиты как доказательство того, что все в порядке. Другие не реагируют достаточно быстро на предупреждающие сигналы, поскольку полагают, что бизнес просто продолжится как обычно.
Между тем, несмотря на постоянный поток новостей о взломах в таких организациях, как M&S, JLR и Co-op (причем большинство взломов на самом деле никогда не попадают на первые страницы), а также на советы со стороны отрасли кибербезопасности и государственных организаций о том, как не стать следующей жертвой, количество крупных инцидентов продолжает расти с головокружительной скоростью.
ВЕжегодном обзоре NCSC за 2025 годсообщается о 204 «значимых на национальном уровне» кибератаках за 12 месяцев до августа 2025 года, что на 130% больше, чем 89 случаев, зарегистрированных в предыдущем году. Из 429 инцидентов 18 были классифицированы как «очень значимые», что означает 50-процентное увеличение числа серьезных инцидентов. Уровень нарушений безопасности остается стабильно высоким, что может отражать постепенную нормализацию риска нарушений и рассматриваться как масштабный эффект «нормальности»: чем чаще раскрываются случаи нарушений, тем меньше кажется их острота.
Извлечены ли уроки?
Есть фраза, которую повторяют как правительства, так и компании, когда происходит катастрофа любого рода, включая нарушение кибербезопасности: «Уроки извлечены».
Но так ли это? Рост числа значительных инцидентов на 130% в период с 2024 по 2025 год ставит под серьезное сомнение это утверждение и указывает на то, что на макроуровне уроки не извлечены. Похоже, что ответ — категорическое «нет»!
В прошлом году я написал пост в блоге, который, возможно, отчасти объясняет психологическое состояние после взлома. Я утверждал, что многие компании в некотором смысле одновременно и подверглись взлому, и не подверглись ему, и сравнил эту ситуацию с кошкой Шредингера. Пока вы не откроете коробку, изучив журналы или активно ища признаки взлома, утешительное утверждение «нас не взломали» просто отражает тот факт, что никто на самом деле не проверял. На самом деле, эта нежелание смотреть может быть также следствием «уклона в сторону нормальности», тихо делающего свое дело.
«Уроки усвоены» — это последствия открытия коробки, обнаружения того, что кошка (к сожалению) мертва, и последующего заявления:«мы знаем, что произошло, мы все под контролем, не беспокойтесь». Это просто рассказ, а не доказательство значимого изменения подхода.
Напротив, реальное обучение — это проактивный процесс, который меняет то, как должны вести себя организации. Это должно отражаться в изменениях бюджетов, политик, правил, планов восстановления, проверки поставщиков, ведения журналов, мониторинга, обучения и терпимости к ошибкам, и это лишь некоторые из них. И все это должно быть сделано до того, как произойдет неизбежное нарушение. В конце концов, гораздо сложнее поразить движущуюся цель.
Итак, если мы можем принять, что предвзятость в отношении нормальности — это распространенное и естественное для человека когнитивное состояние, мы можем продвигаться к тому, чтобы избежать самоуспокоенности перед нарушением и минимизировать его последствия. «Человеку свойственно ошибаться», но теперь, когда мы знаем, в чем заключается эта ошибка, мы обязаны действовать на основе этих знаний — и делать вещи по-другому.
Финал: что, если мы все еще не признаем этот уклон?
Преступные «аудиторы» рассчитывают на человеческую ошибку. В конце концов, именно поэтому фишинг по-прежнему остается одним из наиболее распространенных способов совершения нарушений.
В кибербезопасности финал может разыграться двумя основными способами.
Либо мы регулярно проводим аудит сами — тестируем на проникновение, проводим учения с участием «красной», «синей» и «фиолетовой» команд и другие симуляции атак, регулярно переоцениваем ландшафт угроз и инвестируем в обеспечение безопасности в рамках нашей стратегии киберустойчивости.
Либо мы позволяем киберпреступникам провести «аудит» за нас. Они полагаются на ложное чувство безопасности (в буквальном смысле), и это та брешь в броне, которую они используют.
«Аудит», проводимый преступниками, может быть жестоким, дорогостоящим, разрушительным и, во многих случаях, фатальным для организаций. Именно поэтому эта метафора важна — киберпреступники обнаруживают разрыв между тем, что организация думает о своей безопасности, и тем, что есть на самом деле.
Чтобы представить ситуацию в более широком контексте, система анализа угроз ESET ежедневно обрабатывает 750 000 подозрительных образцов, анализирует 2,5 миллиарда URL-адресов и блокирует 500 000 из них. Злоумышленники неустанны, и по мере того, как их атаки становятся все более изощренными, мы должны отказаться от любой мысли о том, что мы неуязвимы. Мы должны признать существование «уклона в сторону нормальности» и действовать с учетом этого.
На фоне ряда громких инцидентов с утечкой данных в розничной торговле в Великобритании компания ESET провела исследование с участием 2 000 потребителей. Полученный отчет показал, среди прочего, что 46 % покупателей заявили, что им потребуется более 5 месяцев, чтобы восстановить доверие после утечки данных. Это дорогостоящий аудит! Достаточно простых вычислений, чтобы оценить прямой финансовый ущерб, если это все, что интересует высшее руководство. Одного этого должно быть достаточно, несмотря на то, что зачастую это лишь верхушка очень болезненного айсберга.
Вывод
Один из аспектов предвзятости нормальности, который я нахожу наиболее интригующим, заключается в том, что, несмотря на повышенную изощренность, скорость, объем и разнообразие векторов атак, о которых мы все знаем, наш подход к стратегиям киберустойчивости часто остается укорененным в прошлом — даже если это относительно недавнее прошлое. Но время в сфере кибербезопасности летит быстро, и за те 4–5 минут, которые у вас ушли на чтение этой статьи, ESET обработала более 2000 подозрительных образцов и просканировала около 7 миллионов URL-адресов, заблокировав примерно 1500 из них.
Когда мы задаемся вопросом, почему нам следует пересмотреть предоставление услуг по кибербезопасности, учитываем ли мы все параметры, которые изменились (как на глобальном, так и на локальном уровне) за последние несколько лет, и как это может повлиять на наше текущее состояние безопасности?
С ходу вы, вероятно, могли бы назвать хотя бы несколько из них:
- Рост мошенничества с использованием ИИ и других угроз.
- Война в Украине.
- Иран.
- Рост стоимости киберпреступности во всем мире.
- Дипфейки.
- Увеличение числа атак с использованием социальной инженерии.
- Сохранение фишинга в качестве основного вектора атак.
- Усложнение решений и услуг в области кибербезопасности.
- Пробелы в кибернавыках остаются тревожно большими.
Несомненно, есть и много других. И не случайно, что уровень защиты, предлагавшийся поставщиками всего несколько лет назад, постепенно уходит в прошлое, а услуги и решения MDR/XDR/MXDR становятся нормой.
Преступные «аудиторы», безусловно, не останавливались на достигнутом за это время. Хотя использование новых инструментов, таких как ИИ, не обязательно означает более качественное программирование , оно позволяет им значительно масштабировать атаки — и сканировать уязвимости с беспрецедентной скоростью.
- Если вы не инвестируете в аудит, тестирование, повышение осведомленности о кибербезопасности и технологии предотвращения, вы не экономите деньги — вы просто передаете ответственность за безопасность в руки преступников.
- Руководство высшего звена наиболее активно занимается вопросами кибербезопасности сразу после дорогостоящего инцидента — когда нормальная жизнь уже нарушена. Побудите их заниматься этим раньше.
- Преступники работают 24 часа в сутки, круглосуточно, с помощью агентного ИИ. Достаточно ли ваши решения устойчивы, чтобы справиться с этим? Проверьте.
- Независимо от размера вашей организации, вам необходимо постоянно анализировать свой киберпрофиль и устойчивость.
- Не путайте отсутствие инцидентов с безопасностью — инвестируйте в круглосуточные услуги MDR/MXDR.
- Теперь вы знаете о ловушке «предвзятости нормальности» — избегайте ее.