Усталость от безопасности: диагностика и лечение
Вы устали от ежедневного потока новостей о программах-вымогателях, вредоносных программах, фишинге и других кибератаках? Ты не одинок! Вы можете быть одной из сотен миллионов или около того жертв болезненного состояния, называемого усталостью от безопасности. Это что? Усталость от безопасности — это то, что происходит, когда вы чувствуете, что слишком много информации об угрозах, с которыми сталкиваются ваши компьютеры, и о шагах, которые вы должны предпринять, чтобы попытаться защитить их. Это навалившаяся на вас усталость заставляет вас неохотно узнавать подробности последнего нападения и то, что вы должны сделать, чтобы защитить себя. Эта усталость и нежелание часто могут привести к тому, что вы будете вести себя рискованно в отношении своих вычислительных устройств. Это как если бы вы развели руками и сказали: «Какой смысл? Я могу также открыть это вложение, потому что меня все равно скоро взломают».
Усталость от безопасности стала серьезной проблемой для организаций, поскольку безопасность их информационных систем во многом зависит от поведения их сотрудников. Это потому, что в нашем облачном мире одно фишинговое сообщение может вывести из строя сеть всей организации. Из-за этой опасности Национальный институт стандартов и технологий (NIST) недавно провел некоторые исследования этого болезненного состояния и сообщил, что оно плохо изучено и широко распространено. Их рекомендуемое решение для этого состояния включает в себя сокращение количества решений по безопасности, которые должны принимать конечные пользователи, и упрощение для них последовательного определения правильных действий для выполнения в каждой ситуации, связанной с безопасностью. Но так ли это просто?
Симптомы и причины усталости от безопасности
Давайте немного более технически. Что еще может свидетельствовать о наступлении усталости от безопасности, кроме общей усталости и отвращения ко всему, что связано с компьютерной безопасностью? Некоторые специфические симптомы усталости от безопасности могут включать в себя переход по ссылке в электронном письме, даже если вы не совсем уверены, что это безопасно; подключить флешку, которую вам дал друг, даже если вы не уверены, что антивирусное программное обеспечение обновлено на вашем компьютере; согласие на приглашение UAC на вашем компьютере с Windows, даже если вы не совсем уверены, что загруженное вами программное обеспечение получено с авторитетного и безопасного сайта; не тратить время на тщательную проверку репутации нового сайта до того, как вы введете свою личную информацию в форму для создания новой учетной записи для сайта; идти вперед и использовать свой ноутбук с Wi-Fi в кафе, даже если вы не можете правильно подключиться к VPN-соединению; и так далее.
Короче говоря, рискованное поведение со смартфоном, ноутбуком или другим вычислительным устройством — верный признак начала приступа усталости от безопасности. И причины, как мы уже обсуждали, очевидны: слишком много опасностей, с которыми мы сталкиваемся, когда находимся в сети, поэтому мы выбрасываем все это из головы и все равно продолжаем. В наши дни безопасные вычисления требуют слишком много усилий. Нам нужны менеджеры паролей из-за множества разных сайтов, на которые мы заходим. Нам нужны VPN для противодействия угрозе различных атак WiFI. Нас постоянно просят играть в роли эксперта всякий раз, когда нам нужно установить программное обеспечение, открыть электронную почту или войти в облачные сервисы. Нас окружает постоянный поток новостей о киберугрозах, о которых мы недостаточно осведомлены, чтобы оценить риск.
Лечение и прогноз
Программа лечения NIST звучит красиво, но шаги, связанные с ее реализацией, в основном ложатся на тех, кто разрабатывает программные приложения и облачные сервисы. Можем ли мы ожидать от них рационального поведения? Будут ли они действительно учитывать, что встраивание хорошей, простой в использовании системы безопасности в свои продукты с нуля принесет пользу их бизнесу в долгосрочной перспективе? Глядя на рынок сегодня, я бы сказал, что, вероятно, нет, поскольку большинство компаний стремятся к быстрой прибыли, а не к созданию долгосрочной прибыли.
А как насчет ИТ-специалистов в наших организациях? Будет ли им выгодно попытаться реализовать некоторые рекомендации NIST? Они могут попытаться, но я сомневаюсь, что это даст хороший эффект. Те из нас, кто занимается информационными технологиями, вероятно, даже больше страдают от болезни усталости от безопасности, чем широкая общественность или те, кого мы поддерживаем в наших организациях. Я не знаю ни одного эксперта по ИТ-безопасности, работающего в реальном мире и не испытывающего стресса большую часть времени. И все же Винг Рэймс выглядит таким расслабленным, когда работает с ИТ-технологиями для Тома Круза в его фильмах «Миссия невыполнима». Если бы только это было реальностью для тех из нас, кто занимается ИТ!
Однако самая большая проблема заключается в том, что усталость от безопасности — это не изолированное состояние, а часть более крупного кластера недугов, который мы можем назвать усталостью от технологий. Люди любят учиться большую часть времени, но только тогда, когда они этого хотят, а не тогда, когда им приходится это делать. Очевидным примером этого является то, почему так много людей до сих пор используют Windows 7 вместо того, чтобы обновлять свои машины до Windows 10. Они просто не хотят учиться пользоваться новой операционной системой. Даже я, у которого сейчас Windows 10 на всех моих компьютерах, по-прежнему открываю панель управления вместо нового интерфейса настроек, когда мне нужно изменить некоторые настройки, с которыми я знаком по предыдущей версии Windows.
Облачные приложения и сервисы еще больше усугубили синдром «не хочу учиться». И я говорю не только о пожилых людях, таких как я. Даже молодым людям, с которыми я разговаривал, надоело изучать последние изменения пользовательского интерфейса их любимой платформы социальных сетей. Один из моих племянников, молодой человек в возрасте около 20 лет, обычно переходит в режим разглагольствований всякий раз, когда Zuck & Co. меняет то, как вы что-то делаете на своей странице в Facebook. Угадайте, как отреагируют миллионы давних пользователей Windows на постепенное исчезновение элементов Панели управления из Windows 10 в течение следующих нескольких выпусков.
Тенденция кажется необратимой в том, что касается технологии в целом. Времена исправленного программного обеспечения почти прошли. Как бы вы себя чувствовали, если бы расположение окон и стен в арендованной вами квартире менялось каждые несколько месяцев? Короче говоря, прогноз усталости от технологий в целом — и усталости от безопасности в частности — неблагоприятен. Если чудодейственное лекарство не будет найдено, и не будет найдено в ближайшее время, у пациента будут серьезные проблемы.