Несмотря на значительные успехи в области кибербезопасности, одно слабое место продолжает оставаться доминирующим: человеческий фактор. Исследования показывают, что именно он является причиной подавляющего большинства успешных кибератак. В одном из недавних отчетов эта цифра достигает 68%.
Независимо от того, насколько совершенными будут технологические средства защиты, человеческий фактор, скорее всего, останется самым уязвимым звеном в цепи кибербезопасности. Это касается всех пользователей цифровых устройств, однако традиционные программы киберобразования и повышения осведомленности, а также новые законы не способны адекватно решить эту проблему.
В контексте кибербезопасности выделяют два типа человеческих ошибок:
- Ошибки, основанные на навыках
- Ошибки, основанные на знаниях
Ошибки, основанные на навыках, происходят, когда люди выполняют рутинные задачи, особенно если их внимание отвлечено. Например, человек может забыть сделать резервную копию данных на рабочем столе, хотя знает, как это сделать. Однако отвлечение, например, из-за спешки, может сделать его более уязвимым к хакерским атакам, если он не предусмотрел альтернативные способы получения исходных данных.
Ошибки, основанные на знаниях, возникают, когда менее опытные пользователи совершают ошибки в кибербезопасности из-за недостатка важных знаний или несоблюдения правил. Например, кто-то может кликнуть на ссылку в электронном письме от незнакомца, не понимая, что это может привести к взлому его аккаунта и потере денег и данных, так как ссылка может содержать вредоносное ПО.
Организации и правительства инвестируют значительные средства в образовательные программы по кибербезопасности, чтобы минимизировать количество человеческих ошибок. Однако результаты таких программ часто оказываются неоднозначными, отчасти потому, что многие из них ориентированы на технологические решения и имеют универсальный подход.
Часто такие программы сосредотачиваются на технических аспектах, например, на улучшении паролей или внедрении многофакторной аутентификации, но не учитывают психологические и поведенческие факторы, влияющие на действия пользователей.
На практике изменение поведения человека гораздо сложнее, чем просто предоставить информацию или заставить использовать определенные методы. Это особенно актуально в сфере кибербезопасности.
Примером успешных методов служат кампании общественного здравоохранения, такие как австралийская инициатива по защите от солнца Slip, Slop, Slap, которая была запущена 40 лет назад и привела к значительному снижению случаев заболевания меланомой в Австралии и Новой Зеландии. Изменение поведения требует постоянных инвестиций в просвещение.
Тот же принцип можно применить к обучению кибербезопасности. Знание передовых методов — это еще не гарант того, что люди будут их использовать, особенно когда у них есть конкурирующие приоритеты или недостаток времени.
Австралийское правительство предложило законопроект о кибербезопасности, сосредоточенный на нескольких ключевых аспектах:
- борьба с атаками программ-вымогателей,
- расширение обмена информацией между частными и государственными структурами,
- усиление защиты данных в критически важных секторах, таких как энергетика, транспорт и связь,
- расширение полномочий по расследованию киберинцидентов,
- введение минимальных стандартов безопасности для умных устройств.
Эти меры важны, однако, как и традиционные образовательные программы по кибербезопасности, они в основном касаются технических и процедурных аспектов.
В США существует иной подход: Федеральный стратегический план исследований и разработок в области кибербезопасности включает в себя «человекоцентрированную кибербезопасность» как главный приоритет. В этом плане подчеркивается необходимость акцентирования внимания на подходах к кибербезопасности, где потребности, мотивы, поведение и способности людей становятся центральными при разработке, эксплуатации и обеспечении безопасности информационных систем.
Три принципа кибербезопасности, ориентированной на человека, основанные на последних исследованиях:
- минимизация когнитивной нагрузки,
- формирование позитивного отношения к кибербезопасности,
- применение долгосрочной перспективы.
Методы обеспечения кибербезопасности должны быть интуитивно понятными и не требовать особых усилий. Программы обучения должны упрощать сложные концепции и интегрировать методы безопасности в повседневную работу.
Вместо того чтобы полагаться на устрашение, в обучении следует делать акцент на положительных результатах применения эффективных методов кибербезопасности. Такой подход поможет мотивировать людей к улучшению своего поведения в этой сфере.
Изменение отношения и поведения — это непрерывный процесс, а не единичное событие. Обучение кибербезопасности должно быть постоянным, с регулярными обновлениями, чтобы справляться с меняющимися угрозами.
В конечном счете, создание безопасной цифровой среды требует комплексного подхода, который объединяет надежные технологии, продуманную политику и высокий уровень образования людей о безопасности.
Если исследователи смогут глубже понять, что стоит за человеческими ошибками, они смогут разработать более эффективные программы обучения и методы обеспечения безопасности, которые будут работать с человеческой природой, а не против нее.
Ранее сообщалось, что в начале лета ряд крупных российских компаний стал жертвой атак программ-вымогателей, что привело к сбоям в работе их сайтов, приложений и платежных терминалов, а некоторые из них были вынуждены приостановить свою деятельность на несколько дней. В связи с этим ИТ-компания «Киберпротект» провела опрос среди около 300 представителей российских компаний, чтобы выяснить, как такие инциденты повлияли на их бюджеты в области информационной безопасности.