Театром безопасности называют демонстративные меры, которые якобы направлены на обеспечение защищенности, но на деле лишь создают иллюзию усиленной охраны, практически не повышая реальный уровень безопасности. Иными словами мероприятия, которые рассчитаны скорее на психологическое успокоение граждан, нежели на действительное предотвращение угроз
Кто придумал этот термин
Впервые данный термин употребил американский специалист в области компьютерной безопасности Брюс Шнайер. В 2003 году в своей книге «По ту сторону страха» он использовал это образное выражение для обозначения мер, которые создают ощущение защищенности, но ничего не делают для ее реального улучшения.
Вторым человеком, которого нередко ошибочно называют автором термина, является Эд Фелтен — профессор Принстонского университета. Он начал активно применять это понятие в 2004 году в своем известном блоге «Freedom to Tinker». Опираясь на идеи Шнайера, Фелтен разбирал реальные примеры, а именно — работу Управления транспортной безопасности США (TSA) и усиленные досмотры в аэропортах. Эти меры выглядели крайне сурово, почти как декорации к голливудскому триллеру, но при этом слабо влияли на реальный уровень безопасности.
Благодаря работам Шнайера и Фелтена понятие быстро ушло в народ и закрепилось в медиа. Его регулярно вспоминают при критике TSA. Именно показательные действия этого ведомства после трагедии 11 сентября стали мировым эталоном дорогостоящих, но бесполезных мер по обеспечению безопасности.
Реальность безопасности — это математическая вероятность того, что некий актив (человек, данные, здание) не пострадает от преднамеренных действий злоумышленника. Ощущение же безопасности — это психологическое состояние уверенности в своей защищенности. Можно чувствовать себя в полной безопасности, находясь под реальной угрозой, или, наоборот, испытывать панику в абсолютно защищенной среде. В идеальном мире реальная и ощущаемая безопасность должны совпадать, однако на практике они часто расходятся. Политики и руководители организаций нередко прибегают к театру безопасности в ответ на громкие происшествия, когда общественное давление требует немедленных действий. Поскольку реальные меры — такие как разведывательная деятельность или глубокая модернизация инфраструктуры — зачастую невидимы и требуют долгого времени, предпочтение отдается визуально ярким, быстрым, но поверхностным изменениям.
Почему возникают театры безопасности
Важным, но часто игнорируемым фактором возникновения театра безопасности является системная некомпетентность на всех этапах принятия и исполнения решений. Она проявляется в непонимании технической сути угроз и в выборе мер, которые выглядят эффектно, но на деле подрывают реальную безопасность.
Политики часто предлагают простые решения сложных проблем, руководствуясь заголовками СМИ, а не экспертным мнением. Классический пример — инициатива бывшего премьер-министра Великобритании Дэвида Кэмерона, который предложил запретить использование мессенджеров со сквозным шифрованием. С точки зрения безопасности, это типичный театр, потому что создание «черных ходов» для государства неизбежно делает систему уязвимой для хакеров и иностранных разведок, разрушая при этом основы доверия к цифровой экономике и личной переписке. Подобные требования часто исходят от лидеров, которые не понимают, что невозможно ослабить шифрование только для «плохих парней».
В корпоративном секторе кадровый провал нередко сопряжен с конфликтом интересов. Продавцам решений выгоднее продавать высокомаржинальные и заметные продукты, так как их легче продемонстрировать заказчикам и обществу как доказательство того, что деньги потрачены не зря. Вместо проектирования устойчивой архитектуры инженеры часто вынуждены вписывать в планы те продукты, которые принесут максимальную маржу, а не максимальную защиту. В результате успех измеряется количеством установленных металлодетекторов, а не снижением реального риска. В итоге мы получаем перегруженный стек инструментов, которые не интегрированы между собой и лишь создают ложное чувство защищенности.
Система государственных тендеров, ориентированная на выбор предложения с минимальной ценой, фундаментально противоречит задачам обеспечения реально работающей безопасности. Победители торгов, предлагающие экстремально низкие цены, экономят на квалификации персонала, качестве оборудования и расходных материалов — они же не волшебники. Это приводит к ситуации, когда на критически важных объектах работают люди с минимальной подготовкой и компетенцией школьников, которые не ставят перед собой цели создания реально работающих систем безопасности, а дисциплинированно выполняют формальные требования госконтракта.
Особенности человеческой психики
Устойчивость театра безопасности обусловлена еще и особенностями человеческой психики. Эволюционно мозг человека не приспособлен для статистического анализа редких, но катастрофических событий. Вместо рациональных расчетов люди ориентируются на когнитивные искажения, среди которых ключевую роль играет эвристика доступности.
С точки зрения государственного управления, театр безопасности выполняет важную функцию психологической стабилизации. Поскольку целью терроризма часто является не столько физическое разрушение, сколько дестабилизация общества через страх, меры, которые успокаивают граждан, могут рассматриваться как инструмент противодействия самой сути террористической угрозы. Если население верит, что оно в безопасности, экономическая и социальная жизнь продолжает функционировать в нормальном режиме, что само по себе является победой над тактикой запугивания.
Примеры театра безопасности
В России наиболее ярким примером театра безопасности считается система тотального досмотра в метрополитене и на железнодорожных вокзалах. После крупных терактов в инфраструктуру были инвестированы огромные средства, в частности на установку арочных металлодетекторов и рентгеновских установок для досмотра багажа. Критический анализ показывает, что эти меры часто вызывают значительное снижение скорости прохода, в результате перед входом образуется толпа людей, что само по себе создает незащищенную цель для злоумышленников. Кроме того, тесты на проникновение, проводимые в различных регионах, демонстрировали, что сотрудники служб безопасности нередко пропускают имитаторы оружия и взрывчатых веществ, фокусируясь на формальном выполнении процедур досмотра — принцип, давно известный в России как «солдат спит, служба идет». Тем не менее государство продолжает поддерживать эти меры, рассматривая их не только как защиту, но и как драйвер для технологического сектора: производство досмотрового оборудования обеспечивает заказами российские промышленные предприятия и создает рабочие места.
Усиленные досмотры в аэропортах после терактов 11 сентября стали классическим примером театра безопасности. Многие из этих мер критиковались экспертами как показушные и непропорциональные. Так, процедуры досмотра TSA включают требования снимать обувь, ограничение на перевозку жидкостей 100 мл, тотальные обыски и т.п. Все это создает впечатление тотального контроля, однако не всегда существенно повышает безопасность. Ошибочен сам подход — разработка конкретных мер, которые являются реакцией на уже произошедшие инциденты. Конфискация жидкости, просвечивание ботинок и запрет канцелярских ножей — все это реакция на прошлые атаки, хотя важно проектировать меры безопасности, думая о следующей потенциальной атаке.
Еще один эталонный образец безопасности для бедных. Сразу после трагедии 11 сентября в американских терминалах появились патрули Национальной гвардии. Суровые парни в камуфляже сжимали в руках автоматические винтовки. Пикантность ситуации заключалась в том, что магазины оружия были девственно пусты — то есть парни были настолько суровы, что патронов им решили не выдавать. Вместо внедрения реальных протоколов защиты чиновники скормили публике визуальную пустышку. Безоружный солдат в зале ожидания полезен ровно так же, как картонный макет полицейского на скоростной трассе. Это была дорогая постановка ради того, чтобы напуганный обыватель перестал нервно дергаться при виде собственной тени.
Неэффективные процедуры досмотра
Особую критику вызывает избыточный досмотр. Например, проверки всех подряд пассажиров в метро или на вокзалах зачастую оказываются малоэффективными, так как злоумышленники, как правило, могут найти обходные пути, в то время как честные граждане терпят неудобства.
Известен случай, описанный профессором социологии Харви Молотчем. Он намеренно отказывался проходить полноростовой сканер в аэропорту, что по правилам требует альтернативного полного личного досмотра в отдельной комнате. На практике ответственного сотрудника часто не оказывалось поблизости, из-за чего профессор не раз рисковал пропустить свой рейс. А когда обыск все же проводили, охранники стеснялись выполнять его тщательно — что легко понять: охранники мужского пола не стремятся к тщательному осмотру некоторых частей тела другого мужчины. «Я легко мог пронести все, что захочу», — заключал профессор, подчеркивая показушность этой процедуры.
Подобным же образом подверглись сомнению программы поведенческого профилирования пассажиров. В 2007 году TSA запустило программу SPOT (наблюдение за поведением в очередях), но за годы работы она не выявила ни одного террориста. Отчет Счетной палаты США раскрыл, что к 2013 году на программу было потрачено $900 млн., однако неизвестно, приводила ли SPOT к задержанию террористов, и как минимум 16 злоумышленников успешно прошли через аэропорты, где SPOT действовала. Последующие проверки в 2013 году не нашли доказательств, что поведенческие индикаторы хотя бы в теории способны выявлять угрозы для безопасности аэропортов.
Кибербезопасность и корпоративные практики
Концепция театра безопасности применяется и к информационной безопасности. Здесь под нее подпадают формальные, показательные практики, дающие иллюзию защиты в IT-инфраструктуре. Например, чрезмерно строгие требования к паролям — такие как необходимость использовать сложные и длинные комбинации, частая регулярная смена пароля. Пользователи от этого скорее устают и начинают записывать пароли на бумажках или в других местах без должной защиты, что вовсе не улучшает безопасность. Нередки случаи, когда в компании ради соответствия аудиту пишутся длинные политики безопасности и раз в год проводятся формальные тренинги для сотрудников, но на практике эти правила не контролируются. Все сводится к закрытию «галочек» для отчетности, тогда как реальные уязвимости остаются без внимания. Подобные псевдозащитные меры в корпоративной среде создают видимость усердной работы, но при ближайшем рассмотрении оказываются пустышкой.
Как отличить реальные меры от театра безопасности
Защита всегда должна иметь предельно ясную цель. Специалистам по безопасности необходимо четко понимать детали потенциальной атаки: кто именно выступает агрессором, чем злоумышленник будет наносить удар, какой конкретной цели он пытается достигнуть. Обычно подобного рода вещи расписываются в глобальном документе, который называется «модель угроз». Исследования корпорации RAND по оценке антитеррористических мер показывают прямую зависимость эффективности от точности модели угроз, а также то, что оценки эффективности мер безопасности сильно зависят от корректности допущений о вероятных сценариях атак. Чтобы такие решения не превращались в театр, полезно применять формализованную методологию оценки контртеррористических вмешательств, в которой четко прописано, что именно измеряется, по каким метрикам, с какими контрольными группами сравнивается и как проверяется эффект. Исследования показывают простую, в сущности, вещь: инвестиции в меры безопасности без фокуса на конкретном векторе атаки почти никогда не снижают реальный риск.
Тестируемость через независимый аудит
Там, где построена настоящая защита, обязательно присутствуют команды, которые по заданию владельца системы пытаются обойти защиту так, как это сделал бы реальный злоумышленник, чтобы найти слабые места системы до того, как их найдут злоумышленники. Регулярные скрытые тесты на проникновение и максимально неудобные отчеты руководству создают легитимный источник стресса, который формирует стимулы и предоставляет данные, как поддерживать высокий уровень безопасности даже в условиях постоянного появления новых векторов атак. Без постоянного стресса система неизбежно деградирует — наиболее часто падает внимательность и качество обнаружения редких, но критичных событий персоналом, обслуживающим систему безопасности.
Побочные эффекты
Меры безопасности не должны становиться большей проблемой по сравнению с самой угрозой. Искусственные очереди перед рамками металлодетекторов, ставшие притчей во языцех, создают идеальные мишени для террористов. Дискриминация пассажиров, тотальная усталость персонала и привыкание к тревогам разрушают саму суть защиты. Если побочный эффект сопоставим с исходной угрозой, нововведение нужно немедленно отменять. Исследования в области юзабилити безопасности доказывают существование эффекта физиологической усталости от тревожных оповещений. Ученые из университета Карнеги Меллона выяснили механизм этой проблемы: дело в том, что мозг оператора начинает автоматически игнорировать слишком частые ложные сигналы. Охранники пропускают реальные угрозы, если их внимание притупляется излишним шумом плохо спроектированных систем.
Пожалуй, главный вред — это успокоенность и потеря бдительности. Когда повсюду выставлены охранники, металлодетекторы и камеры видеонаблюдения, люди склонны верить, что все под контролем. В результате окружающие могут не заметить реальных проблем, считая, что угроз нет. Создается ложное ощущение безопасности, из-за чего часть людей может пропустить настоящую угрозу. Руководство убеждает себя, что задача выполнена, и перестает инвестировать в действительно эффективные решения и обновление существующих. Такой самообман опасен: уязвимости будут накапливаться до того момента, пока не произойдет серьезный инцидент.
Эрозия гражданских свобод и атмосфера страха
Чрезмерные меры безопасности часто ограничивают личные свободы. Досмотры нарушают приватность, тотальное наблюдение создает напряжение, постоянное ощущение жизни как в осажденной крепости давит психологически. Люди могут чувствовать себя не в безопасном месте, а скорее в зоне чрезвычайного положения. Это стресс, который сложно измерить: как отмечалось в одном обзоре, неизвестно, сколько лет жизни у людей отнимает постоянная нервозность от ощущения вокруг себя тюремной обстановки. Кроме того, когда государства под предлогом безопасности начинают массово собирать персональные данные, устанавливать камеры и т.п., возникает риск злоупотреблений и постепенного ущемления прав граждан. Если при этом сами меры неэффективны, страдает доверие общества: люди видят, что их неудобства и вторжение в частную жизнь не оправданы реальной пользой. В итоге подрывается доверие к институтам безопасности, граждане начинают воспринимать их действия цинично — как бюрократическую показуху или исключительно как способ контроля за гражданами, что в долгосрочной перспективе опасно.
Признание проблемы
Первый шаг — осознать на уровне общества, руководства и организаций, что «король голый». В начале 2010-х тема стала достоянием публичных дискуссий. В 2012 году в Конгрессе США прямо провели слушания под названием «Effective Security or Security Theater?» («Эффективная безопасность или театр безопасности?»), где законодатели критически разбирали дорогостоящие и инвазивные тактики TSA после теракта 11 сентября. Подобное публичное обсуждение само по себе является способом борьбы. Ведомства получают сильный сигнал, что их работа будет оцениваться не по видимости, а по реальной эффективности. Когда проблемы выносятся на свет, появляется стимул перестать делать для галочки и начать исправлять недостатки.
Переключение фокуса на реальные меры
Эксперты единодушны: лучшая противоположность театру — невидимая, но действенная безопасность. Cамые эффективные контрмеры редко бывают зрелищными: это кропотливая работа спецслужб, аналитическая разведка, внедрение информаторов, качественная подготовка экстренных служб. Именно эти невидимые слои обороны (разоблачение заговоров на ранних этапах, арест террористов до совершения нападения, готовность быстро реагировать, если атака произошла) дают наибольший вклад в реальную безопасность.
По материалам SR