Kitobni o'qish: «Humanware: почему системы ломаются о человека»

Предисловие от автора

В начале XXI века, когда мир стремительно обрастал технологиями, казалось, что будущее – за машинами, программами и искусственным интеллектом. С каждым днём компьютерные системы становились всё умнее, а мы – всё зависимее от них. Мы мечтали о безошибочных алгоритмах, мгновенном принятии решений и полнейшей автоматизации. Всё, что оставалось человеку – нажать кнопку и наблюдать, как железо и код делают свою магию.

Но реальность оказалась куда сложнее и гораздо забавнее.

Самые совершенные киберсистемы оказываются уязвимы не из-за багов в коде или сложных алгоритмах. Их слабое место – человек. Да-да, именно тот самый человек с его настроением, привычками, стрессом и «я так всегда делал» – вот настоящий баг, который невозможно просто «патчить» обновлением.

В этой книге я расскажу, почему именно мы, пользователи и сотрудники, становимся главной точкой входа для ошибок и уязвимостей. Почему мозг, который эволюционировал за миллионы лет, плохо справляется с интерфейсами и инструкциями XXI века. Как привычки, лень и эго влияют на безопасность и эффективность. И почему масштабировать систему с живыми людьми – совсем не то же самое, что масштабировать алгоритмы.

Это не обвинение. Это констатация факта. Человек – это система с багами по умолчанию, но и с уникальными способностями, которые нельзя просто заменить машиной.

Вместе мы попробуем понять, как лучше строить системы, учитывая этот «человеческий фактор». Как уважать прошлое, не забывая о вызовах будущего. И почему иногда самая надёжная технология – это та, что умеет работать с нами, а не вместо нас.

И помните: никакой ИИ не спасёт систему, если её главный компонент – человек – останется «вне игры» или станет её слабым звеном.

Давайте разбираться. Поехали.

Введение.
Humanware: Тот, кто забыт между железом и кодом

В мире, где каждую неделю появляется новый фреймворк, каждый квартал – новая модель смартфона, а каждое утро – очередная новость о том, что искусственный интеллект «заменил» кого-то, есть один компонент, который обновляется крайне редко. Настолько редко, что чаще всего – вообще не обновляется. Он не логируется, не масштабируется, не документируется, и у него нет технической поддержки. Зато у него есть биоритмы, эмоции и слабые места, которых нет ни в одном даташите. Этот компонент – человек.

О нём не то, чтобы забыли. Его упоминают. Регулярно. В корпоративных отчётах как human factor, на планёрках как ключевой риск, в отчётах о сбоях как возможную точку отказа. Его учитывают в табличках Excel, когда закладывают коэффициенты корректировки. Но при этом – с ним почти никто всерьёз не работает. Не потому, что лень. А потому, что человек – не из мира инженерии. Его нельзя собрать по спецификации. Его нельзя протестировать под нагрузкой. Он не отлаживается, не тиражируется, не обновляется по протоколу OTA. Он не hardware – потому что не железо. Он и не software – потому что не код. Он – humanware.

Humanware – это промежуточный слой между машиной и программой. Только не пассивная прослойка. А активный, инициативный, хаотичный, но всё ещё решающий элемент. Это – центр принятия решений. Всё ещё. Несмотря на искусственный интеллект, RPA, автоматизацию, нейросети и цифровых двойников, именно человек нажимает на Enter, когда нужно запускать процесс. Он в итоге подтверждает транзакцию, шьёт протокол, подписывает приказ, интерпретирует отчёт, даёт команду или… не даёт. А иногда – даёт не ту.

И вот здесь начинается главная техническая проблема XXI века: всё чаще системы работают идеально, но реальность всё равно рушится. Потому что в этой идеальной системе оказался обычный человек. С головной болью, проблемами дома, недопитым кофе, и сомнением: «А точно ли я всё понял правильно?»

Если ломается железо – это видно. Если сбоит код – это логируется. Если рушится облако – срабатывает алерт. Но если бухгалтер перепутал платёж, оператор проигнорировал ошибку, врач отвлёкся, а инженер решил «обойти систему», потому что «всё равно сейчас потестим» – это становится видно только постфактум. Когда уже что-то пошло не так. Когда отчёт не сходится. Когда репутационные риски вышли из-под контроля. Когда убытки – миллионы. Или жизни. И самое важное: никто не называет это багом. Потому что это был человек.

Humanware – это не баг. Это полноценный компонент архитектуры. Просто с другой спецификацией. У него нет API, но есть настроение. Нет лог-файлов, но есть память, которая может забыть. Нет механизма самотестирования, но есть уязвимость к усталости, тревоге и переоценке своих способностей. И в отличие от кода, он не повторяет одно и то же дважды одинаково. Он меняется каждый день. Он непредсказуем. И – абсолютно незаменим.

Разработчики привыкли мыслить конструкциями: если ошибка – то фиксим. Если уязвимость – ставим firewall. Если баг – откат. Если тормоза – оптимизируем. Но как оптимизировать сотрудника, который не выспался? Как отловить race condition в мышлении, если человек одновременно думает о дедлайне и о проблемах с ребёнком? Как предсказать зависание, если пользователь просто растерялся, увидев новое поле в интерфейсе?

За последние два десятилетия мы сделали огромный технологический рывок. Инфраструктура стала масштабируемой. Системы – отказоустойчивыми. Интерфейсы – человекоориентированными. А вот сам человек – не изменился. Он по-прежнему остаётся сложным, эмоциональным, временами нелогичным существом. И как бы ни старалась индустрия, полностью исключить его из критических процессов пока невозможно. Да и не нужно.

Проблема в том, что мы строим системы, словно человек – это стабильно работающий модуль. Что он всегда логичен. Что он никогда не устанет. Что он всегда прочтёт инструкцию. И уж точно – что он точно знает, что делает. А потом этот человек сидит перед экраном, видит ошибку, не понимает, что с ней делать, и… нажимает пробел. Потому что это единственная клавиша, которую он помнит точно. И всё рушится.

Мы проектируем интерфейсы, как будто пользователь – идеален. Но человек не идеален. Он забывает. Он нервничает. Он нажимает не туда. Он может переоценить свои силы, сказать «да я быстро», и ошибиться. Он может уволиться. Может заболеть. Может просто выгореть и делать всё по инерции. Это не сбой. Это – часть системы.

Humanware – это не шутка про «проблему между клавиатурой и стулом». Это признание того, что между железом и кодом сидит кто-то, кто сам себя не до конца понимает. И если уж мы признаём его частью инфраструктуры, значит и проектировать системы надо с учётом его слабостей.

Это книга – не о критике человека. Не о том, как его заменить. И не о том, как ему объяснить, что он «всё делает не так». Это книга – о проектировании. О новой архитектуре, где человек не мешает системе, а встроен в неё правильно. Где его слабости – предусмотрены. Где его непредсказуемость – не проклятье, а инженерная переменная. Где риск не в том, что «он всё испортит», а в том, что мы не заложили под него поддержку.

Мы поговорим о реальных ошибках – не чтобы обвинить, а чтобы понять. Почему они случаются. Как предсказать сбой, когда сбой – это решение одного человека. Как проектировать интерфейсы, которые не доводят до паники. Как создавать процессы, которые не рушатся от одной невыспавшейся головы. Как перестать делать вид, что «human factor» – это исключение, а начать работать с ним, как с правилом.

Потому что в конечном счёте, какой бы ни была система – она всё равно заканчивается там, где начинается человек.

А он – не модуль. Он – ответственность.

Глава 1. Пользователь – первая уязвимость

В любой защищённой системе – с надёжными паролями, обновлёнными сертификатами, двухфакторной авторизацией, мониторингом сети и встроенной системой обнаружения вторжений – всегда есть одно слабое звено. Оно не обозначено в схеме инфраструктуры, не прописано в техдокументации и не проверяется при аудите. Но именно с него начинаются большинство атак. Это – человек, сидящий перед экраном. Тот самый пользователь, на которого в конечном счёте ложится ответственность за щелчок по вложению, ввод пароля на поддельной странице или игнорирование тревожного уведомления.

Взлом почти никогда не начинается с чего-то технически изощрённого. Он начинается с письма. С банального сообщения с темой вроде «Уточнение по документу» или «Изменения в зарплатном графике». С вложения, которое выглядит как безобидный PDF, но на самом деле – троян. С телефонного звонка от «службы поддержки» с вежливым голосом и убедительной просьбой подтвердить данные. Не сервер даёт сбой первым – первым ошибается человек. И этот сбой оказывается куда фатальнее технического.

Человеческий фактор – один из тех терминов, которые со временем утратили эмоциональный вес. Он звучит как нечто обыденное и почти нейтральное. Как если бы сбой был частью штатного процесса. Но за этими словами скрывается то, что и приводит к катастрофам: небрежность, усталость, рассеянность, гордость, пренебрежение, стремление сэкономить время, нежелание признать, что чего-то не знаешь. Никто не называет вещи своими именами, потому что так удобнее – оставить всё под мягким покрывалом «факторов». Только вот в реальности именно эти факторы становятся каналом проникновения в систему.

Можно инвестировать миллионы в корпоративную кибербезопасность, но один рассеянный клик – и вся система начинает рушиться. Не потому, что алгоритмы плохие, а потому что алгоритм человека не предсказуем. Он живой. У него бывают плохие дни, запарки, дедлайны и бессонные ночи. И в такие моменты он не думает в категориях угроз. Он просто торопится, он отвечает из вежливости, он считает, что «ничего страшного». Он не злоумышленник. Но он – врата.

Больше всего специалисты по безопасности боятся не внешних атак. Они боятся внутреннего доступа, который даёт сбой. Боятся секретаря, который отправляет файл не туда. Бухгалтера, который записал пароль на стикере. Техподдержку, которая забыла отключить VPN-сессию после настройки. Это не продуманные диверсии – это небрежность. И она работает на атакующего куда надёжнее, чем brute force. Потому что brute force требует времени и ресурсов. А человеческая ошибка – бесплатна. Её просто нужно дождаться.

Когда в 2017 году вирус WannaCry поразил сети по всему миру, пострадали не только старые незащищённые машины. Пострадали структуры с якобы надёжной защитой. Вирус не пробивал системы – он находил обходные пути через людей. Через тех, кто открыл вредоносный файл. Через тех, кто проигнорировал обновление. Через тех, кто посчитал, что это не его ответственность. И даже спустя годы, в ретроспективных отчётах, видно: виноваты были не только уязвимости в протоколах. Виноваты были уязвимости в головах.

Но самое интересное – даже не в том, как легко ломается система через человека. А в том, почему это происходит снова и снова. Мы продолжаем строить сложные архитектуры защиты, и при этом по-прежнему предполагаем, что пользователь будет действовать разумно, осознанно и дисциплинированно. Мы рассчитываем на идеального пользователя. На того, кто читал инструкции, прошёл курсы по кибергигиене, не открывает сомнительные письма, не доверяет звонкам, проверяет URL-адреса, использует менеджер паролей и вовремя сообщает об угрозах. Мы всё ещё проектируем безопасность под такого человека. Хотя такого человека почти не существует.

В реальности пользователи действуют иначе. Они используют один и тот же пароль для всего, потому что «так удобнее». Они не различают фишинговое письмо от настоящего, потому что «похоже». Они передают данные по телефону, потому что голос звучал вежливо и убедительно. Они забывают обновить систему, потому что «ещё не до этого». И не потому, что хотят нарушить правила. А потому что они живут. В рутине, в дедлайнах, в хаосе рабочих будней, в общей перегрузке. Они думают не о рисках, а о том, как закончить задачу и успеть домой. Они не злоумышленники. Но они делают то, чего от них ждёт злоумышленник.

Мы привыкли считать интерфейс – нейтральным. Он будто бы не несёт ответственности за действия человека. Но интерфейс, который не предупреждает, не останавливает, не объясняет – становится соучастником. Если письмо приходит без маркировки риска, если файл открывается без анализа, если система молчит, когда нужно бить тревогу – пользователь остаётся один на один с угрозой, к которой он не готов. И тогда происходит то, что происходит в тысячах организаций каждый год: один неверный клик – и дальше уже неважно, что было в бюджете на безопасность.

Обучение, конечно, важно. Но иллюзия, что курс по информационной гигиене раз в год решает проблему, – опасна. Люди забывают. Люди не применяют на практике то, что слышали на лекции. Люди учатся только тогда, когда система заставляет их задуматься в момент действия. Не потом. Не в теории. А прямо сейчас. Именно поэтому реальная защита должна проектироваться не вокруг технической логики, а вокруг человеческой. С учётом того, как человек ведёт себя, когда устал. Когда торопится. Когда доверяет. Когда думает, что «так будет быстрее». Именно тогда его поведение перестаёт быть рациональным – и именно тогда он становится идеальной точкой входа.

Парадокс в том, что именно этот момент – когда человек теряет бдительность – наступает у всех. Без исключения. Это не «слабый пользователь». Это просто человек. И если система не учитывает этот фактор – она уязвима. А значит, не завершена.

Взлом начинается не с первого байта, попавшего в сеть. Он начинается с момента, когда пользователь подумал, что всё под контролем. Когда он перестал сомневаться. Когда он поверил, что его действия – безопасны. Это и есть первая трещина. Именно туда и устремляется атака.

Поэтому в любой архитектуре, какой бы совершенной она ни казалась, всегда должна быть закладка на человеческую ошибку. И не как исключение, а как правило. Потому что пользователь – не ошибка в системе. Он часть системы. Но именно он – самая непредсказуемая её часть.

И, значит, если мы хотим надёжную инфраструктуру, нам нужно проектировать не вокруг машин. А вокруг людей.