CC BY
79УДК 628.21.5
ОБ ИНТЕРПРЕТАЦИИ ЗАКОНА ПАРЕТО В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В.В. Арутюнов
Аннотация. В статье рассматриваются сферы практического применения закона Парето и его интерпретация в области информационной безопасности и защиты информации.
Ключевые слова: закон Парето, информационная безопасность, принцип 80/20, защита информации.
Аbstract. In article discusses the practical application of the Pareto principle and its interpretation in the field of information security and information protection.
Keywords: Pareto principle, information security, the 80/20 principle, information protection.
Потенциал фирмы и эффективность ее функционирования определяются итогами труда ее специалистов и, в первую очередь, востребованностью на рынке производимой ими продукции. Понятие «эффективность» включает различные, в определенной мере связанные между собой характеристики выпускаемой продукции: ее качество, новизну и востребованность; экономическую оценку результатов труда, уровень квалификации сотрудников и т.д.
Закон (принцип) Парето (ПП) или принцип 80/20 констатирует, что лишь 20% усилий дают 80% результата, а оставшиеся 80% усилий - только 20% результата [1]. Математическая зависимость, которая легла в основу ПП, была выведена итальянским экономистом и социологом Вильфредо Парето еще в 1897 г.
В течение целого поколения значение ПП оставалось недооцененным. Несмотря на то, что ряд экономистов, в том числе американских, осознавали важность этого закона, лишь после Второй мировой войны два человека одновременно, но независимо друг от друга, начали демонстрировать миру, на что способен ПП.
В 1949 г. профессор филологии из Гарварда Джордж К. Ципф открыл закон наименьшего усилия, который, в сущности, представлял собой заново открытый и детально обоснованный ПП. Закон Ципфа
гласил, что ресурсы (люди, товары, время, знания или любой другой источник продукта) самоорганизуются таким образом, чтобы свести к минимуму затраченную работу, и, следовательно, примерно 20% любого ресурса обеспечивает реализацию 80% деятельности, связанной с этим ресурсом. Для того чтобы продемонстрировать неизменную повторяемость этой схемы дисбаланса в различных сферах, Ципф рассматривал статистику народонаселения, область филологии и динамику промышленности.
Другим первопроходцем практического применения ПП был родившийся в 1904 г. в Румынии американский инженер Иосиф Юран, признанный гуру качества; этот человек стоял у истоков революции качества 1950-1990 гг. Он провозгласил закон Парето (или, как он иногда его называл, «закон немногого, имеющего решающее значение») синонимом изыскания путей повышения качества продукции.
По его мнению, соблюдение этого закона очень часто встречается в самых различных областях, например:
■ 20% людей планеты обладают 80% капитала;
■ 80% пользователей посещают всего лишь 20% сайтов сети Интернет;
■ 20% стран (в которых проживает меньше 20% населения земного шара) потребляют около 80% мировых запасов энергии;
■ менее 20% изобретений оказывают более 80% влияния на жизнь человечества;
■ 20% земельных ресурсов обеспечивают население более 80% продуктами питания;
■ в подавляющем числе мест планеты лишь около 20% облаков производят 80% дождя;
■ менее 20% записанной музыки исполняется более 80% времени;
■ в большинстве художественных музеев 20% сокровищ демонстрируются 80% времени.
Исаак Питмэн, изобретатель стенографии, обнаружил, что повседневная речь на 2/3 состоит из лишь 700 наиболее распространенных слов. Он показал, что вместе со своими производными эти 700 слов составляют 80% обычной лексики.
Многие эксперты считают, что 80% уступок производится в последние 20% переговорного времени. Если, например, вы хотите потребовать давно положенного вам повышения зарплаты и встреча с начальником назначена на 9.00 утра, а вы знаете, что в 10.00 у начальника
назначена другая встреча, то решающий момент для вас настанет примерно в 9.50.
Таким образом, ПП означает, что небольшая часть вкладываемых средств или прилагаемых усилий ответственна за большую долю результатов, получаемой продукции или заработанного вознаграждения. Например, на получение 80% результатов, достигаемых при выполнении работы (не только научно-исследовательской), уходит 20% всего затраченного времени. Отсюда следует, что на практике 4/5 приложенных усилий не имеют к получаемому результату как бы никакого отношения.
Другими словами, ПП утверждает, что диспропорция является неотъемлемым свойством соотношения между причинами и результатами, вкладываемыми и получаемыми средствами, прилагаемыми усилиями и вознаграждением за них.
Рассмотрим математическую интерпретацию ПП.
Пусть есть множество неоднородных элементов А и порожденное им множество С. Тогда подмножество элементов а, составляющее 20% множества А, генерирует подмножество элементов с, составляющее 80% множества С.
Эта зависимость была выведена эмпирическим путем в результате анализа за многие десятилетия разнородных множеств в различных областях экономики и науки, например, в том числе в экономике, маркетинге, политологии и др.
Различные наборы таких множеств А и С и соотношения подмножеств а и с можно исследовать и на примере анализа данных о востребованности результатов научно-технических разработок, отраженных в диссертациях и отчетах по результатам геологических исследований и НИОКР в этой области [2]. Эти данные, формируемые с использованием автоматизированной системы конъюнктурной оценки результатов научно-технических исследований, полученных организациями Министерства природных ресурсов РФ (МПР России), в определенной мере свидетельствуют об эффективности работ, выполненных этими геологическими организациями МПР России, и актуальности созданной ими научно-технической продукции - НТПр (включающей технологии геологических поисков, информацию о наиболее запрашиваемых полезных ископаемых, описание разведанных запасов полезных ископаемых и объемов их добычи в регионе, уровень его геологической изученности, геологические карты различного масштаба и др.).
Результаты анализа спроса на НТПр за 15-летний период (конец XX века - начало XXI века) свидетельствуют в том числе о следующем:
■ интенсивно запрашивалась НТПр, созданная лишь примерно в 20% всех подведомственных геологических организаций;
■ на НТПр 20% подведомственных предприятий приходилось около 80% запросов от других организаций;
■ из более 100 видов полезных ископаемых, содержащихся в недрах Российской Федерации, интенсивно запрашивалась информация о НТПр лишь по 20 из них;
■ из этих 20 полезных ископаемых 80% спроса приходилось на НТПр по четырем из них (нефть, газ, золото и подземные воды).
В конце прошлого века был проведен также анализ цитируемости работ научных сотрудников 42 научно-исследовательских институтов МПР России, публикующих результаты своих НИОКР в 21 геологическом журнале [3]. В результате этого анализа было выявлено в том числе, что только 4 журнала (~20% от числа всех рассмотренных журналов) выделяются высокими показателями цитирования (импакт-фактором, показателем оперативности и др.). При этом для сотрудников только восьми институтов (19% от общего анализируемого количества институтов) отмечалась высокая цитируемость публикаций.
Таким образом, соотношение 80/20 хорошо описывает диспропорцию: 80% последствий проистекают из 20% причин, 20% усилий дают 80% результатов; 20% вложенных средств ответственны за 80% отдачи.
Множество примеров, подтверждающих справедливость ПП, можно найти и в области бизнеса. Так, 20% ассортимента продукции дают обычно 80% от общего объема продаж в денежном выражении, то же самое можно сказать о 20% покупателей и клиентов. Кроме того, 20% ассортимента продукции или 20% покупателей обычно приносят компании 80% прибыли.
Одной из самых первых корпораций, взявших на вооружение ПП и наиболее успешно использовавших его, была фирма IBM. Вот почему большинство специалистов по компьютерным системам, получивших профессиональную подготовку еще в 1960-1970 гг., хорошо знают ПП.
Еще в 1963 г. в корпорации IBM обнаружили, что примерно 80% компьютерного времени затрачивается на обработку всего около 20% команд программ. Компания оперативно модифицировала системное
программное обеспечение таким образом, чтобы часто используемые 20% команд были наиболее доступны и удобны для пользователя, что сделало компьютеры IBM более скоростными и эффективными для большинства приложений, чем компьютеры конкурирующих фирм.
Анализ пользователей, использующих программное обеспечение (ПО), показал, что 80% пользователей используют с пользой для себя лишь 20% предоставляемых ПО возможностей. Это означает, что большинство пользователей платят в основном за то, чего они не знают или в чем вообще особо не нуждаются.
Не обошлось без влияния ПП и в статистическом анализе. АВС-анализ - один из распространенных видов статистического анализа, который применяется практически во всех областях анализа данных. ABC-анализ позволяет классифицировать, например, ресурсы фирмы по степени их ценности. Этот анализ может применяться в сфере деятельности любого предприятия. В его основе лежит ПП - 20% всех товаров дают 80% оборота. По отношению к ABC-анализу ПП может прозвучать так: надежный контроль 20% позиций позволяет на 80% контролировать систему, будь то контролируемые запасы сырья и комплектующих, либо продуктовый ряд предприятия и т. п.
ABC-анализ позволяет проводить анализ товарных запасов путем деления их на три категории:
■ А - наиболее ценные, 20% - ассортимента; 80% - продаж;
■ В - промежуточные, 30% - ассортимента; 15% - продаж;
■ С - наименее ценные, 50%— ассортимента; 5 % - продаж.
Другими словами, 20% товаров категории А обеспечивают 80% продаж, а из 80% других товаров успешно продаются лишь 20% из них.
По сути, ABC-анализ - это ранжирование ассортимента по различным параметрам. Ранжировать таким образом можно и поставщиков, и складские запасы, и покупателей, и длительные периоды продаж - все, что имеет достаточное количество статистических данных. Результатом АВС-анализа является группировка объектов по степени влияния на общий результат. В логистике, например, ABC-анализ обычно применяют с целью отслеживания объемов отгрузки определенных артикулов и частоты обращений к той или иной позиции ассортимента, а также для ранжирования клиентов по количеству или объему заказов.
Закон 80/20 важен и по той причине, что он противоречит тому, что мы практически всегда привыкли считать логичным. Мы почти всегда ожидаем, что все факторы имеют примерно одинаковое значение; что
почти все партнеры практически одинаково для нас ценны; что каждая сделка, каждый продукт и каждый, например, вырученный от продажи рубль также хороши, как и другие; что все работники отдельно взятой категории приносят примерно одинаковую пользу; что все наши друзья одинаково ценны; что ко всем деловым и ценным бумагам или телефонным звонкам надо относиться с одинаковым вниманием; что все проблемы проистекают из множества причин, поэтому не стоит даже стараться искать среди них ключевые; что все возможности одинаково ценны, поэтому не столь важно, какую из них мы выберем.
Мы привыкли думать, что 50% причин или вложенных в дело ресурсов ответственны примерно за 50% результатов или конечного продукта. И нам кажется естественным, почти демократичным, ожидание, что причины и следствия примерно одинаково сбалансированы между собой. Конечно же, иногда бывает и так. Однако «заблуждение 50/50» является одним из самых глубоких, не соответствующих действительности и серьезных императивов, укоренившихся в человеческих мозгах. Закон 80/20 свидетельствует о том, что если изучать и проанализировать два набора данных, относящихся, например, к причинам и результатам, то, скорее всего, будет получена картина несбалансированности этих наборов.
ПП также гарантирует, что когда мы узнаём действительное соотношение, то весьма удивляемся уровню этого дисбаланса, потому что каким бы ни оказался действительный уровень дисбаланса, он, скорее всего, превзойдет наши ожидания. Администраторы могут подозревать, что некоторые клиенты и некоторые виды продукции более выгодны, чем другие, но когда они узнают, насколько велико различие между первыми и вторыми, то бывают зачастую весьма удивлены. Школьные учителя и преподаватели вузов знают, что большая часть проблем с дисциплиной или прогулами проистекает от небольшого числа учеников, однако после анализа своих записей в конце четверти или семестра обычно выясняют, что размах дисбаланса все-таки оказывается большим, чем они ожидали. Вы можете думать, что некоторую часть своего времени работаете более эффективно, чем остальное время, но если вы измерите прикладываемые усилия и результаты, то будете зачастую неприятно удивлены итогами измерения, если вы еще не знакомы с ПП.
Так зачем же нужен принцип 80/20? Понимание ПП дает возможность более рационально оценивать то, что в действительности проис-
ходит в окружающем мире. Один из любопытнейших выводов, проистекающих из ПП, - это вывод о том, что бизнес и рынки в целом еще достаточно далеки от оптимальных решений. Например, закон 80/20 утверждает, что 20% продукции, клиентов или работников реально приносят 80% прибыли. Если это так, - а многие детальные исследования обычно подтверждают существование этого серьезного дисбаланса, - то картину в целом нельзя назвать эффективной или оптимальной. Такое положение вещей подразумевает, что 80% продукции, покупателей или работников приносят лишь 20% прибыли; что значительная часть усилий расходуется впустую; что наиболее мощные ресурсы компании сдерживаются большинством гораздо менее эффективных ресурсов; что объем прибыли может быть многократно увеличен, если фирма будет продавать больше выгодной для покупателей продукции, наймет более профессиональных работников и привлечет больше выгодных покупателей (или убедит их покупать больше продукции).
Принцип 80/20 свидетельствует о том, что если мы изучим и проанализируем два набора данных, относящихся, например, к причинам и результатам, то, скорее всего, мы получим картину несбалансированности.
В такой ситуации закономерен вопрос: зачем продолжать выпуск 80% продукции, которая приносит лишь 20% прибыли? Компании редко задаются этим вопросом, возможно потому, что ответом на него будет немедленное начало радикальных перемен, а оперативно отказаться от четырех пятых того, что фирма производит, не так уж и просто для руководства организации.
Международные финансовые рынки очень быстро корректируют аномалии во взаимоотношениях, например, между валютными курсами. Однако занимающиеся бизнесом компании или физические лица в большинстве своем практически не привыкли к оперативной переброске ресурсов из областей, где они приводят к слабым результатам, в сферы, где они дадут более эффективные результаты, или к оперативному избавлению от малоэффективных ресурсов и к приобретению более высокодоходных ресурсов. В большинстве случаев физические или юридические лица просто не осознают, до какой степени некоторые ресурсы могут быть суперпродуктивными и до какой степени «заурядное большинство» ресурсов малопродуктивно или вообще убыточно. Если внимательно проанализировать различие между «немногим решающим» и «заурядной массой» во всех сферах человеческой жизнедея-
тельности, если предпринять конкретные шаги по преодолению этого различия, то можно серьезно приумножить ту составляющую, что имеет ценность для рассматриваемой сферы жизнедеятельности.
В своей книге Р. Кох утверждает, что ПП действует не только в сфере экономики, но и в области образования: например, лишь 20% детей используют 80% возможностей, предоставляемых системой образования в стране. Приведем пример из российской действительности.
В МФЮА (Московском финансово-юридическом университете) ежегодно выпускается от 30 до 70 специалистов в области защиты информации в течение последних шести лет [4]. Государственная аттестационная комиссия на защите выпускных квалификационных работ (ВКР), строго и объективно подходя к оценке последних, высшей оценки удостаивала лишь работы, отличающиеся своей незаурядностью. На рис. 1 представлено количество выпускников, получивших высшую оценку в 2009-2014 учебных годах (в процентах от общего ежегодного количества студентов, защитивших ВКР).
Как видно из рис. 1, ежегодное количество таких студентов за рассмотренный период в среднем составляло около 20%.
30
25
20
Рис. 1. Относительное количество выпускников (в% ), защитивших ВКР в МФЮА на «отлично»
2009 2010 2011 2012 2013 2014
В то же время, несмотря на то, что 20% усилий обеспечивают лишь 80% результата, зачастую практически невозможно организовать деятельность организации таким образом, чтобы не затрачивать остальные 80% усилий. В качестве примера можно указать компанию, которая оказывает комплекс услуг заказчику, из которых наиболее прибыльными являются только 20%; но обычно заказчик не согласен получать только эти услуги, ему необходимы все 100% (так называемый «ассортиментный ряд») в том числе и потому, чтобы «было из чего выбрать». В науке известен аналогичный закон, который гласит, что «20% ученых совершают 80% открытий и создают 80% изобретений, но это было бы невозможно, если бы не было оставшихся 80% ученых».
Зачем же тогда нужны эти 80% специалистов, которые, казалось бы, и не столь необходимы для производства высокоэффективной продукции. Скорее всего, это количество нужно как некоторая питательная среда, в которой в результате процессов отбора (мутации), зачастую достаточно продолжительных, со временем выкристаллизовываются элементы двадцатипроцентной эффективной среды.
В этом случае можно вспомнить тех, кто вначале входил в эти 80%: Д.И. Менделеева, который еще в школе имел далеко не блестящие оценки по химии; писателя Джека Лондона, первое произведение которого не приняло около трехсот издательств; Джоан Роулинг, произведение которой о Гарри Поттере решилось издавать только одиннадцатое издательство, или изобретателя Т. Эдисона, электрическая лампочка у которого зажглась только после проведения им с ней около трех тысяч экспериментов.
Возвращаясь в сферу информационной безопасности (ИБ), следует отметить что по различным оценкам экспертов (в том числе согласно данным МБТ - Национального Института Стандартов и Технологий США) основной причиной повреждения электронной информации в конце XX - начале XXI века примерно в 75% случаев составляла неумышленная ошибка человека; другими словами, доля квалифицированного персонала, работающего в области защиты информации, составляла около 20%.
Известно, что за последние 10 лет ежегодный объем спама в электронных почтовых ящиках во всем мире составлял ~80%, т.е. в среднем пользователи получали только около 20% представляющих для них интерес писем при использовании ими электронной почты.
По оценке западных специалистов, утечка 20% коммерческой информации в большинстве случаях приводит к банкротству фирмы; другими словами, 80% коммерческой информации не представляет интереса ни для кого, включая конкурентов фирмы [5].
Как известно, основными исполнителями компьютерных преступлений в ~80% случаев являются сотрудники организации [6], т.е. количество лояльных сотрудников, соблюдающих все нормы и правила безопасности, принятые на фирме, составляет ~20% от общего числа сотрудников фирмы.
По данным аналитической компании Falcongaze, в 2014 г. в России в рабочее время в социальных сетях «зависали» около 80% сотрудников, что явно не способствовало повышению уровня информационной безопасности организации.
Основываясь на вышеизложенном, можно сформулировать следующие гипотезы:
■ 20% финансовых ресурсов для защиты информации в информационно-телекоммуникационных сетях и системах смогут обеспечить 80%-ный уровень защиты информации в ней;
■ на каждом уровне обеспечения ИБ (правовом, административном, программно-техническом и др.) эффективно функционируют лишь 20% компонентов соответствующего уровня;
■ из всего спектра угроз ИБ опасными для систем и сетей организации являются около 20% из них;
■ из всех сотрудников службы информационной безопасности различных организаций эффективно функционируют лишь около 20% от их общего числа;
■ 80% используемых алгоритмов шифрования не являются крип-тоустойчивыми;
■ 20% применяемых средств и методов для обеспечения ИБ объекта защиты обеспечивают достижение 80%-ного уровня защиты информации в системе;
■ доля неуспешных атак злоумышленников на выбранные ими системы обработки информации составляет около 80%;
■ из всех сотрудников службы безопасности 80%-ный уровень защиты информации обеспечивают лишь 20% из них.
В заключение следует акцентировать внимание на том, что принцип 80/20 не стоит воспринимать как некую универсальную, претендующую на абсолютную истину закономерность, в том числе в сфере ИБ.
Напротив, ПП - это лишь принцип, который может стать одним из элементов политики предприятия на пути модернизации средств и методов защиты информации и обеспечения ИБ организации.
ЛИТЕРАТУРА
1. Кох Р. Жизнь по закону 80/20. - Минск, 2005.
2. Арутюнов В.В., Константинов А.С. Рейтинговый анализ востребованной геологической научно-технической продукции на рубеже XX - XXI веков // НТИ, сер.1, № 12. 2006.
3. Арутюнов В.В., Медведева И.Е. Цитирование научной литературы по геологии // НТИ, сер.2, № 9. 1992.
4. Arutyunov V.V. The Practice of State Certification of Higher Education Students that Specialize in the Organization and Technology ofData Protection // Scientific and technical information processing. Vol. 40, № 2, 2013.
5. Арутюнов В.В. Основы информационной безопасности. - М., 2008.
6. Арутюнов В.В. Криптографическая защита информации. - М., 2013.
В.В. Арутюнов,
д-р техн. наук, профессор,
Российский государственный гуманитарный университет E-mail: warut698@yandex.ru
