CC BY
26УДК 351
ISSN 1812-5220
© Проблемы анализа риска, 2018
Проблемы когнитивных искажений в оценке готовности муниципальных образований обеспечить устойчивость к чрезвычайным ситуациям
А. А. Кононов,
Институт системного анализа ФИЦ «Информатика и управление» РАН, г. Москва
Аннотация
Простого выполнения требований официальной нормативной базы для обеспечения готовности муниципальных образований к возможным ЧС недостаточно. Необходим постоянный детализированный контроль за полнотой модели угроз и за имеющимися недостатками и уязвимостями. Только это поможет избежать возникновения когнитивных искажений в оценке имеющихся рисков и угроз и в устойчивости к ЧС.
Ключевые слова: когнитивные искажения, критериальное моделирование, устойчивость к ЧС, чрезвычайные ситуации, индикативная оценка рисков.
Содержание
Введение
1. Формальная схема описания проблемы
2. Когнитивные искажения Заключение Литература
Введение
При обеспечении защищенности от ЧС больших территориальных систем, таких как муниципальные образования, простого выполнения требований официальной нормативной базы, определяемой законодательством и регуляторами, может оказаться недостаточно, и, более того, если ограничиться только этими нормативными положениями, то могут возникнуть иллюзии (когнитивные искажения) безопасности при наличии большого числа неконтролируемых недостатков и уязвимостей, которые и могут стать причиной чрезвычайных ситуаций, аварий и катастроф или недостаточной готовности к предупреждению ЧС и ликвидации их последствий [1].
Основными причинами такого положения являются следующие: официальная нормативная база может не успевать за меняющимися условиями существования территорий, защищенность которых она регламентирует; кроме того, официальные нормативные документы могут не учитывать всех особенностей каждой конкретной территории. В результате могут появляться не предусмотренные этими документами угрозы и уязвимости [2].
Многие недостатки и уязвимости существуют в организациях, расположенных на территории муниципального образования, ввиду недостатка средств
на их полное устранение. В таких ситуациях очень часто идут по пути сокрытия фактов наличия недостатков. Это также порождает когнитивные искажения в оценках безопасности.
Печальную статистику результатов когнитивных искажений такого рода на примере объектов критической информационной инфраструктуры можно найти в обзоре [3].
В качестве решения проблемы предлагается поощрять практику ведения систематического контроля существующих недостатков и уязвимостей на ключевых, с точки зрения защищенности от ЧС, объектах муниципальных образований. Это позволит предупредить появление когнитивных искажений в оценке безопасности на этих объектах, даст возможность руководителям этих объектов выявлять наиболее острые проблемы, а также при первой возможности устранять наиболее опасные недостатки, не забывать об их существовании.
Для решения этой задачи предлагается использовать методологию критериального моделирования [4] и программный комплекс, позволяющий автоматизировать ее применение [5].
1. Формальная схема описания проблемы
Обозначим структурную модель (СМ) как с учетом того, что структура системы может меняться со временем.
Все критериальные модели строятся на основе § (¿) путем определения множеств критериев по структурным составляющим. По любой из структурных составляющих такое множество может иметь любое количество критериев, в том числе быть пустым.
Под идеальной критериальной моделью (ИКМ) системы будем понимать критериальную модель, лишенную недостатков неадекватности, избыточности, соответствие всем критериям которой будет означать предельно возможную в данных условиях защищенность системы от всех угроз с минимальными или фиксированными предельно возможными затратами.
Идеальная критериальная модель (ИКМ) может меняться с течением времени, по мере появления новых угроз и уязвимостей и новых средств защиты. Обозначим ИКМ как М(¿).
Под заданной критериальной моделью (ЗКМ) будем понимать критериальную модель, используемую в е ачестве задания к исполнению, обозначим ее как ¿. Она также может меняться с течением времени, и ее соетояние на момент времени t будем обозначать как Ё(£).
Обознаеим процедуру формирования ЗКМ из СМ как Пк:
гк {^ Ерш ^ т, (1)
где &(£) — каталог к ритериев по классам объектов структурной модели Как правило, Ек(— это каталог критериев, включающий все используемые классы объектов с требованиями по их безопасности, прежде всего согласно существующей нормативной базе, но, возможно, также дополненной критериями, выработанными по результатам анализа полноты парирования угроз.
Объективно в каждый момент времени существует множество критериев, которые поте е и-ально определены в ККМ(¿), но отсутствуют в ¿(¿). По сути, они образуют модель проигнорированных в ЗКМ критериев ИКМ, которую можно обозначить как А М(^ и назвать объективно существующей моделью проигнорированных критериев (ОМПК):
АКМ(^ = КМ(^ — (2)
Проблема состоит в том, что и М(^, и, соответственно, А М(^ в силу ограниченных возможностей человеческого интеллекта не могут быть познаны сразу и, более того, постоянно становятся источниками когнитивных искажений в оценках имеющихся проблем безопасности и защищенности от ЧС. И лишь опыт и контроль недостатков позволяют со временем перев е ить критерии из множества АКМ(^ в множество ¿(¿).
2. Когнитивные искажения
Когнитивные искажения (КИ) — это систематические ошибки в представлениях и суждениях о действительности. Они возникают в результате несоответствующих реалиям убеждений, внедренных в когнитивные схемы личности. Когнитивная схема (КС) — это обобщенная форма хранения прошлого опыта в виде стереотипов (знакомого объекта, известной ситуации, привычной последовательности
событий и т. д.). На когнитивных схемах основываются эвристики — процедуры, облегчающие и ускоряющие прием и обработку информации человеком за счет хранящихся в КС типичных характеристик объектов и происходящего [6]. И если устоявшиеся в когнитивных схемах стереотипы оказываются ошибочными, то они приводят к искаженному восприятию реальности, в частности, к неадекватной оценке опасности угроз и рисков, а также мер, которые следует предпринять, чтобы парировать угрозы и снизить риски.
К сожалению, в настоящее время исследована лишь незначительная часть когнитивных искажений — условий их формирования, внедрения, распространения и разрушительных последствий их проявления. В качестве примера такого рода искажений, которые исследовать еще только предстоит, можно привести КИ, связанные с систематическим получением не соответствующей действительности информации, и КИ, связанные с систематическим получением тенденциозно отобранной и тенденциозно представленной информации.
Не меньшую опасность представляют КИ, порождаемые морально устаревшими, но по-прежнему действующими нормативными актами, которые лишь затрудняют работу и приводят к привычке нарушать их, даже в той части, где соблюдение зафиксированных в них требований жизненно важно.
Но неисследованность этих когнитивных искажений вовсе не означает их отсутствия. Напротив, лишь усугубляет их опасность.
Рассмотрим исследованные когнитивные искажения, являющиеся причинами аварий и техногенных чрезвычайных ситуаций.
Эвристика доступности (Availability heuristic) — склонность считать «более вероятным» то, что проще вспомнить или снабдить примером из памяти [7].
Систематическая ошибка внимания (Attentional bias) — склонность восприятия к зависимости от повторений: если что-то постоянно находится в фокусе внимания, то значимость этого может преувеличиваться в ущерб тому, что от внимания ускользает [8].
Эффект мнимой правды (Illusory truth effect) — склонность верить в правдивость информации, которую многократно предъявляли ранее [9].
Каскад доступной информации (Availability cascade) — cамоусиливающийся процесс, в ходе которого коллективная вера во что-то становится все более убедительной за счет нарастающего публичного повторения [10].
Эффект знакомства (Mere exposure effect) — склонность преувеличивать значимость того, что хорошо знакомо, и недооценивать значимость того, что незнакомо или знакомо в меньшей степени [11].
Эффект контекста (Context effect) — значимость чего-то, например, некоторых конкретных мер противодействия угрозам, может преувеличиваться, если оценивается в процессе принятия этих конкретных мер в конкретных условиях парирования угрозы, хотя возможны и другие, более эффективные способы парирования угроз [12].
Забывание без подсказок (Cue-dependent forgetting) — трудности с вспоминанием информации в отсутствие семантических подсказок (ассоциаций), подсказок состояния (эмоционального, физического и умственного) или контекстных подсказок (зависящих от окружения или ситуации) [13].
Отклонение в сторону соответствия эмоциям (Mood-congruent memory bias) — эмоционально насыщенная информация лучше вспоминается в соответствующем ей эмоциональном состоянии (справедливо как для позитивных, так и для негативных эмоций) [14].
Иллюзия частотности (Frequency illusion, Baader — Meinhof Phenomenon), известная также как Феномен Баадера — Майнхоф, или Закон парных случаев, — иллюзия, при которой слово, имя или объект, недавно попавшие во внимание либо впервые предъявленные, снова предъявляются через промежуток времени, кажущийся невероятно коротким, и таким образом значимость этого слова или объекта резко возрастает [15].
Разрыв эмпатии (Empathy gap) — склонность недооценивать влияние или силу вегетативной нервной системы на состояние, предпочтения и поведение себя и других людей (включая голод, жажду, воздействие веществ, физическую боль и сильные эмоции) [16].
Недооценка бездействия (Omission bias) — склонность оценивать вредоносные действия как более плохие или аморальные, чем равноценно вредоносные бездействия [17].
Ошибка базового процента (Base rate fallacy) — склонность игнорировать объективную частоту некоторого события (базовый процент) и фокусироваться на информации, относящейся к случайному частному случаю [18].
Эффект изоляции, или Эффект Ресторффа (Von Restorff effect), — склонность к лучшему запоминанию (завышению значимости) объекта, выделяющегося чем-либо среди ряда других однородных объектов [19].
Наиболее опасным эффектом, порождаемым когнитивными искажениями, является иллюзия неуязвимости (Illusion of invulnerability) [20]. Но именно ее, как и другие угрозы, порождаемые когнитивными искажениями, позволяют развеивать методы критериального моделирования [4], дающие возможность на основе детализированных критериальных моделей выявлять существующие уязвимости и организовать систематический контроль, предполагающий мобилизацию особого внимания к ним (бдительность) вплоть до момента, когда эти уязвимости будут устранены.
Суть предлагаемого решения состоит в построении структурной модели контролируемого объекта управления и определения по каждой структурной составляющей критериев (требований), выполнение которых определяет защищенность объектов от ЧС. Далее периодически рекомендуется проводить оценку выполнения критериев и требований. Как правило, выполнить все требования не удается. Те требования, которые остаются невыполненными образуют множество недостатков и уязвимостей, и их необходимо контролировать с использованием критериальной модели. Опасность недостатков и уязвимостей при этом отслеживается с помощью аппарата индикативной оценки критериальных рисков [21]. Ведение критериальной модели критически важных объектов муниципальных образований на систематической основе предполагает и периодическую переоценку качества используемых критериальных моделей, оценку их на полноту парирования меняющихся угроз, корректировку критериев по всем составляющим, оценку состояния выполнения требований и критериев парирования угроз по каждой из критических составляющих.
Заключение
Когнитивные искажения в оценке безопасности чрезвычайно распространены в самых разных областях [22], и, по сути, сами представляют собой повсеместно игнорируемую, но чрезвычайно опасную угрозу информационной безопасности [23], которая является причиной большинства аварий и техногенных катастроф, зачастую скрывающихся за такой часто называемой причиной, как человеческий фактор. Хотя, на самом деле, человеческий фактор практически всегда является результатом когнитивных искажений в понимании существующих опасностей. Поэтому столь принципиальна необходимость систематического контроля существующих недостатков и уязвимостей на всех уровнях управления безопасностью, а также на уровне исполнителей, от которых зависит особое внимание к существующим опасностям. И использование критериального моделирования позволяет этого добиться, о чем свидетельствует опыт применения этого метода в банковской сфере страны [24].
Литература
1. Поликарпов А. К., Кононов А. А. Когнитивные искажения как источник аварий и техногенных катастроф // Научно-практический журнал «Студент — инновации России». 2017. № 2. С. 62—67.
2. Статистика уязвимостей корпоративных информационных систем // Positive Technologies URL: https://www. ptsecurity.com/upload/corporate/ru-ru/analytics/PT-Corporate-vulnerability-2014-rus.pdf (Дата обращения: 13.10.2017).
3. Сборник исследований по практической безопасности // Positive Technologies URL: www.ptsecurity.com/ upload/corporate/ru-ru/analytics/Positive-Research-2017-rus.pdf (Дата обращения: 13.10.2017).
4. Кононов А. А., Поликарпов А. К. Методология критериального моделирования для системного анализа и оценки защищенности и уязвимости объектов, процессов и ресурсов на всех стадиях жизненного цикла больших систем // Сборник трудов VII Международной конференции «ИТ-Стандарт 2016» (г. Москва, 6—7 декабря 2016 г.). Самара: TCDprint, 2016. С. 126—133.
5. Система автоматизации управления рисками, аудита, контроля, мониторинга безопасности банковских и других критических систем, инфраструктур и биз-
нес-процессов. URL: www.srisks.ru (Дата обращения: 13.10.2017).
6. Александров А. А. Интегративная психотерапия. СПб.: Питер. 2009. С. 317.
7. Esgate Anthony, Groome David. An Introduction to Applied Cognitive Psychology // Psychology Press. 2005. P. 201.
8. Bar-Haim Yair, Lamy Dominique, Pergamin Lee, Baker-mans-Kranenburg Marian J., van IJzendoorn Marinus H. Threat-related attentional bias in anxious and nonanxious individuals: A meta-analytic study // Psychological Bulletin. 2007. 133 (1): P. 1—24.
9. Hasher Lynn, Goldstein David, Toppino Thomas. Frequency and the conference of referential validity) // Journal of Verbal Learning and Verbal Behavior. 1977: Р. 107—112.
10. Kuran Timur and Sunstein, Cass. Availability Cascades and Risk Regulation // Stanford Law Review, 1999. Vol. 51. No. 4.
11. Zajonc R. B. Mere Exposure: A Gateway to the Subliminal // Current Directions in Psychological Science. December 2001. 224 р.
12. Meyers-Levy Joan, Zhu Rui (Juliet), Jiang Lan. Context Effects from Bodily Sensations: Examining Bodily Sensations Induced by Flooring and the Moderating Role of Product Viewing Distance // Journal of Consumer Research. June 2010. Р. 1—14.
13. Pastorino Ellen E., Doyle-Portillo Susann M. What is Psychology? Essentials // (2nd ed.). Cengage Learning. 2011. P. 228
14. Lewis P. & Critchley H. Mood-dependent memory // Trends in Cognitive Sciences. 2003. 320 p.
15. Zwicky Arnold (2005-08-07). Just Between Dr. Language and I. Language Log.
16. Van Boven Leaf, Loewenstein George, Dunning David, Nordgren Loran F. (2013). "Changing Places: A Dual Judgment Model of Empathy Gaps in Emotional Perspective Taking". In Zanna Mark P.; Olson James M. Advances in Experimental Social Psychology . Academic Press. 2013. P. 117—171.
17. Spranca Mark, Minsk Elisa, Baron Jonathan. Omission and commission in judgment and choice // Journal of Experimental Social Psychology. 1991. P. 76—105.
18. Bar-Hillel Maya (1980). The base-rate fallacy in probability judgments // Acta Psychologica. P. 211—233.
19. Parker Amanda, Wilding Edward, Akerman Colin. The von Restorff Effect in Visual Object Recognition Memory in
Humans and Monkeys: The Role of Frontal/Perirhinal Interaction // Journal of Cognitive Neuroscience. 1998. 10 (6): P. 691—703.
20. Sagarin B. J., Cialdini R. B., Rice W. E. Dispelling the Illusion of Invulnerability: The Motivations and Mechanisms of Resistance to Persuasion // Journal of Personality and Social Psychology. 2002, Vol. 83, №. 3. Р. 526—541.
21. Кононов А. А. Метод расчета индикаторов наличия рисков в иерархических организационных системах // Materialy X mezinarodni vëdecko-praktickâ conference Efektivni nastroje modernich vëd — 2014. Dil 30. Moderni informacni technologie. Vystavba a architektura.: Praha. Publishing House Education and Science. Stran. 8—11.
22. Parsons K., McCormac A., Butavicius M., Ferguson L. Human Factors and Information Security: Individual, Culture and Security Environment. Australia, Edinburgh — Command, Control, Communications and Intelligence Division Defence Science and Technology Organisation. 46 p.
23. Кононов А. А. Когнитивные искажения как угрозы информационной безопасности и методы их парирования // Современные проблемы и задачи информационной безопасности СИБ-2017: Международная научно-практическая конференция (г. Москва, 18 апреля 2017 г.) [Текст]: Сборник статей / Московский финансово-юридический университет МФЮА. М.: МФЮА, 2017. C. 27—32.
24. СТО БР ИББС-1.2-2014. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4-я редакция) М.: Банк России, 2014. 101 с.
Сведения об авторе
Кононов Александр Анатольевич: кандидат технических наук, ведущий научный сотрудник Института системного анализа Федерального исследовательского центра «Информатика и управление» Российской академии наук (ИСА ФИЦ ИУ РАН) Число публикаций: 165
Область научных интересов: разработка методов управления рисками и безопасностью больших систем Контактная информация:
Адрес: 117312, г. Москва, проспект 60-летия Октября, д. 9 Тел.: +7 (495) 135-50-43 E-mail: kononov@isa.ru
