Самой большой уязвимостью в кибербезопасности оказались сами люди

Несмотря на огромные достижения в области кибербезопасности, одно слабое место продолжает затмевать все остальные: человеческий фактор. Исследования постоянно показывают, что человеческий фактор является причиной подавляющего большинства успешных кибератак. В одном из недавних отчетов эта цифра составляет 68%.

Исследования показывают, что независимо от того, насколько совершенными станут технологические средства защиты, человеческий фактор, скорее всего, останется самым слабым звеном в цепи кибербезопасности. Это затрагивает каждого, кто пользуется цифровыми устройствами, однако традиционные программы киберобразования и повышения осведомленности, а также новые, перспективные законы — не способны решить эту проблему должным образом.

В контексте кибербезопасности существует два типа человеческих ошибок:

• ошибки, основанные на навыках
• ошибки, основанные на знаниях

Ошибки, основанные на навыках, возникают, когда люди выполняют рутинные действия, особенно если их внимание отвлечено. Например, человек может забыть сделать резервную копию данных рабочего стола с компьютера, хотя он знает, как ему следует это сделать. Но отвлеченный фактор, например, поскольку он опаздывает домой, может сделать его более уязвимыми для хакерских требований в случае кибератаки, поскольку нет альтернатив для получения исходных данных.

Ошибки, основанные на знаниях, возникают, когда человек с меньшим опытом совершает ошибки в области кибербезопасности из-за отсутствия важных знаний или несоблюдения определенных правил.

Например, человек может нажать на ссылку в электронном письме от незнакомого человека, даже если не знает, что произойдет. Это может привести к тому, что его взломают и он потеряете свои деньги и данные, так как ссылка может содержать опасное вредоносное ПО.

Организации и правительства вкладывают значительные средства в образовательные программы по кибербезопасности, чтобы решить проблему человеческих ошибок. Однако результаты этих программ в лучшем случае неоднозначны. Отчасти это объясняется тем, что многие программы ориентированы на технологию и имеют универсальный подход.

Они часто сосредоточены на конкретных технических аспектах, таких как улучшение гигиены паролей или внедрение многофакторной аутентификации. При этом они не затрагивают основные психологические и поведенческие аспекты, которые влияют на действия людей.

Реальность такова, что изменить поведение человека гораздо сложнее, чем просто предоставить информацию или обязать использовать определенные методы. Это особенно верно в контексте кибербезопасности.

Примером эффективных методов являются кампании в области общественного здравоохранения, такие как инициатива по защите от солнца Slip, Slop, Slap в Австралии и Новой Зеландии. С тех пор как эта кампания началась 40 лет назад, количество случаев заболевания меланомой в обеих странах значительно сократилось. Изменение поведения требует постоянных инвестиций в повышение осведомленности.

Тот же принцип применим и к обучению кибербезопасности. Если люди знают о передовых методах, это еще не значит, что они будут последовательно их применять — особенно когда сталкиваются с конкурирующими приоритетами или нехваткой времени.

Предложенный австралийским правительством закон о кибербезопасности сосредоточен на нескольких ключевых областях:

• борьба с атаками вымогателей
• расширение обмена информацией между предприятиями и государственными учреждениями
• усиление защиты данных в критически важных инфраструктурных секторах, таких как энергетика, транспорт и связь
• расширение полномочий по расследованию киберинцидентов
• введение минимальных стандартов безопасности для смарт-устройств.

Эти меры крайне важны, однако, как и традиционные образовательные программы по кибербезопасности, они в основном касаются технических и процедурных аспектов кибербезопасности.

В США придерживаются иного подхода: Федеральный стратегический план исследований и разработок в области кибербезопасности включает в себя «кибербезопасность, ориентированную на человека», в качестве первого и самого важного приоритета.

В плане говорится, что необходимо уделять больше внимания подходам к кибербезопасности, ориентированным на человека, когда потребности, мотивы, поведение и способности людей ставятся во главу угла при разработке, эксплуатации и обеспечении безопасности систем информационных технологий.

3 правила кибербезопасности, ориентированной на человека, основанные на последних исследованиях:

• Минимизировать когнитивную нагрузку
• Формировать позитивное отношение к кибербезопасности
• Применение долгосрочной перспективы

Методы обеспечения кибербезопасности должны быть разработаны таким образом, чтобы они были максимально интуитивными и не требовали усилий. Программы обучения должны быть направлены на упрощение сложных концепций и интеграцию методов обеспечения безопасности в повседневный рабочий процесс.

Вместо того чтобы полагаться на тактику устрашения, в процессе обучения следует делать акцент на положительных результатах применения эффективных методов обеспечения кибербезопасности. Такой подход поможет мотивировать людей к совершенствованию своего поведения в области кибербезопасности.

Изменение отношения и поведения — это не единичный случай, а непрерывный процесс. Обучение кибербезопасности должно быть непрерывным, с регулярными обновлениями для устранения меняющихся угроз.

В конечном итоге создание действительно безопасной цифровой среды требует целостного подхода. Он должен сочетать в себе надежные технологии, продуманную политику и обеспечение хорошей образованности людей и их сознательного отношения к безопасности.

Если исследователи смогут лучше понять, что стоит за человеческими ошибками, они смогут разработать более эффективные программы обучения и методы обеспечения безопасности, которые будут работать с человеческой природой, а не против нее.

Ранее сообщалось, что в начале лета целый ряд крупных компаний в России подверглись атаке шифровальщиков, что привело к сбоям в работе их сайтов, приложений и платежных терминалов, а некоторые из них были вынуждены приостановить деятельность на несколько дней. В этой связи ИТ-компания «Киберпротект» опросила около 300 представителей российских компаний и выяснила, как инциденты повлияли на бюджеты компаний в области информационной безопасности.