Сломанная кибербезопасность? Не исправлять пользователей, исправлять технологию
Недавно Брюс Шнайер заставил меня задуматься, когда опубликовал на своем веб-сайте статью под названием «Дизайн безопасности: перестаньте пытаться исправить пользователя». Брюс является известным мыслителем и писателем в области информационной безопасности, и, хотя его наблюдения не всегда приносят деньги, у него есть способ заставить нас смотреть нестандартно, в чем часто оказываются запертыми ИТ-специалисты. Основной тезис Брюса в его статье заключается в том, что «проблема не в пользователях: мы так плохо спроектировали безопасность наших компьютерных систем, что требуем от пользователя делать все эти нелогичные вещи». Затем он спрашивает нас, почему мы не можем разрабатывать вычислительные системы, которые позволяют пользователям «выбирать простые для запоминания пароли» или «нажимать на ссылки в электронных письмах с дикой энергией» или даже «подключать USB-накопитель к компьютеру, не сталкиваясь с множеством вирусов».
Действительно, почему. Вместо того, чтобы стремиться создавать ИТ-системы, которые упрощают работу пользователей и при этом остаются безопасными, мы утверждаем, что существует неотъемлемый компромисс между удобством использования и безопасностью, и что этот компромисс является естественным, аксиоматичным и неизбежным. Затем мы делаем вывод из этой аксиомы, что мы должны разделить наши усилия между обеспечением безопасности технологии и обучением пользователя, чтобы достичь максимальной эффективности безопасности в человеко-машинной среде. Другими словами, организации должны выделять средства на создание программ, повышающих осведомленность своих сотрудников о безопасности. Мы должны обучать пользователей тому, как создавать сложные, но легко запоминающиеся парольные фразы. Мы должны предупредить их, чтобы они не нажимали на ссылки в электронных письмах от отправителей, которых они не узнают. Мы должны предостеречь их от сбора USB-накопителей, которые они могут найти на парковке компании. И если наши пользователи не соблюдают такие политики безопасности, которые мы для них изложили, мы должны наказать их соответствующим образом.
Неправильный способ попытаться исправить пользователей
Если вы придерживаетесь общепринятой точки зрения, согласно которой безопасная ИТ-среда — это надежно реализованная безопасная технология плюс осведомленность конечных пользователей о безопасности, то вам необходимо найти способы успешного изменения поведения пользователей в сторону действий, повышающих безопасность, а не ухудшающих ее. К сожалению, большинство организаций не делают этого в реальном мире, потому что думают, что безопасность ИТ — это проблема ИТ, а не проблема человеческой психологии.
Развешивание плакатов по информационной безопасности на рабочем месте не принесет никакой пользы; сотрудники просто находят это снисходительным и игнорируют их. Это похоже на приглашение контроля учетных записей (UAC), которое появляется в Microsoft Windows, когда вы хотите установить на свой компьютер часть ненадежного программного обеспечения; вы просто нажимаете «ОК», потому что не имеет значения, не доверяет ли Windows программному обеспечению — вы доверяете ему, иначе вы бы его не загрузили. Если вы все еще считаете, что такие плакаты изменят поведение ваших сотрудников, вам следует прочитать отчет «Магический квадрант для поставщиков компьютерного обучения по вопросам безопасности», опубликованный Gartner пару лет назад, чтобы узнать, насколько неэффективны большинство корпоративных инициатив по повышению осведомленности о безопасности. есть вообще.
Привнесите науку о поведении
В том же духе Дина Капуто, ученый-бихевиорист из отдела социальных, поведенческих и лингвистических наук MITRE, несколько лет назад написала статью о том, как извлеченные уроки и стратегии, разработанные учеными-бихевиористами, могут помочь организациям снизить опасность того, что сотрудники могут быть пойманы фишинговыми атаками. которые пытаются заставить пользователей выкашливать конфиденциальную информацию, такую как пароли или номера кредитных карт. Для более крупных организаций может оказаться целесообразным нанять кого-то вроде Дины на консультационной основе, чтобы помочь им разработать кампании по повышению осведомленности об информационной безопасности, которые могут действительно работать, вместо того, чтобы просто повесить плакат над кофемашиной или предложить пользователям прочитать эту статью из Microsoft. Центр безопасности, в котором объясняется, как распознавать фишинговые сообщения электронной почты, ссылки или телефонные звонки. Подобные веб-статьи похожи на плакаты и, скорее всего, не привлекут внимания ваших сотрудников.
Командный подход
Проблема с привлечением экспертов в области поведенческих наук к разработке кампаний по повышению осведомленности об информационной безопасности заключается в том, что наем людей, обладающих не только квалификацией, но и солидным опытом в области управления рисками кибербезопасности и смягчения их последствий, стоит денег. На самом деле, я почти слышу, как в высшем руководстве вашей компании ворчат прилавки при одном лишь упоминании о том, что вам придется платить за привлечение какой-нибудь докторской степени. чтобы помочь им решить проблему. Что еще вы можете сделать, чтобы исправить неисправных пользователей в вашей организации?
Один подход, который я видел, который действительно работает, заключается в том, чтобы вовлечь самих пользователей в разработку вашей кампании по повышению осведомленности. Этот подход включает в себя объединение пользователей в команды на основе местоположения или отдела и поручает им работу по оценке рисков, с которыми сталкивается организация (и их собственная работа) в результате недостаточной осведомленности об информационной безопасности с их стороны, а затем придумывают. некоторые простые способы снижения таких рисков путем коррекции собственного поведения.
Успех такого командного подхода во многом основан на том факте, что пользователи сами берут на себя ответственность за свои действия на рабочем месте. Конечно, вам нужно каким-то образом мотивировать своих сотрудников, чтобы они серьезно относились к такому упражнению, но именно здесь вы всегда можете привлечь счетчиков бобов. В конце концов, что стоит дороже: нанять доктора философии. в течение нескольких месяцев на контрактной основе для разработки нисходящей программы, которая будет пытаться влиять на поведение пользователей без их ведома, или организовать несколько приятных обедов для нерабочих групп сотрудников, чтобы мотивировать их изменить свое поведение? И, пожалуйста, сделайте их награды реальными, например, вкусной едой за их встречи, и забудьте о награждении их значками, устным признанием или красивым блоком люцита. Руководству следует держаться подальше от этих собраний команды и позволить участвующим в них сотрудникам организовывать и проводить их. Группам должно быть разрешено привлекать ИТ-персонал для опроса по различным вопросам в дополнение к обучению, которое сотрудники получают самостоятельно.
Применение на практике
Если ваши пользователи — сломанная часть вашей среды информационной безопасности, позвольте им исправить себя, вместо того, чтобы пытаться исправить их самостоятельно. Люди могут делать замечательные вещи, когда вы даете им возможность самим решать проблемы, а не навязываете им это. Одним из лучших ресурсов, которые я нашел для бизнес-лидеров, которые хотят эффективно применять командный подход к своим сотрудникам, является книга Шона Кейсмора «Расширение возможностей: сотрудничество, инновации и взаимодействие, чтобы победить в конкурентной борьбе». В нем много практических и действенных советов о том, как вы можете привлечь своих сотрудников, побуждая их находить и внедрять улучшения, которые могут сделать их работу проще и безопаснее. Выгода для организации заключается в том, что, когда пользователи исправляют себя, многие проблемы, с которыми сталкивается организация, почти чудесным образом исчезают, в том числе проблемы безопасности, о которых Брюс Шнайер говорит в своей статье.
FreeRange Stock