Почему настоящий ключ к кибербезопасности — это психология?

Макс Емельянов, генеральный директор HostForWeb:

Создание безопасной инфраструктуры — это хорошо, но если вы действительно хотите сохранить свои данные в безопасности, лучший способ — это понять, как люди думают.

Эта истина стара, как мир. Независимо от того, насколько мощна ваша защита, насколько толсты ваши стены или насколько глубок ваш ров, вашим самым слабым звеном кибербезопасности всегда будут люди. Это самый эффективный бэкдор в защищенной системе, основная причина утечек данных и, в конечном счете, самая большая угроза вашей инфраструктуре.

И борьба с этой угрозой требует чего-то большего, чем инструменты и методы смягчения; больше, чем системы безопасности.

Это требует, чтобы вы понимали психологию. Вам нужно знать, как думают ваши сотрудники, но, что более важно, вы также должны знать, как думают ваши злоумышленники. Обладая этим пониманием, вы будете точно знать, что нужно сделать для упреждающего реагирования и смягчения потенциальных утечек данных и кибератак.

Обеспечение безопасности ваших людей

В большинстве своем, люди имеют некое враждебное отношение к кибербезопасности. Хотя сейчас потребители гораздо больше заботятся о безопасности, чем раньше, люди по-прежнему ценят удобство больше, чем безопасность. Они заинтересованы в выполнении своей работы — в максимальной эффективности, не беспокоясь о том, подвергают ли они риску корпоративные данные.

И правда в том, что обычно так и есть.

Для такого поведения есть масса причин. Они могут не знать о рисках своего поведения — они могут не осознавать, как именно они подвергают риску данные. Может быть, они считают безопасность проблемой из сферы ИТ, а не чем-то, о чем им обязательно нужно заботиться, или, может быть, им просто не давали надлежащих знаний.

«Роль, которую инсайдеры играют в уязвимости корпораций любого размера, значительна и продолжает расти», — пишет Марк ван Задельхофф из Harvard Business Review. «Понимание пользователей, которые могут нанести наибольший ущерб, имеет решающее значение. Устранение рисков безопасности, которые представляют эти люди, и критически важные активы, к которым они имеют доступ, должны быть приоритетом. В частности, с большей бдительностью отслеживайте ИТ-администраторов, руководителей высшего звена, ключевых поставщиков и подверженных риску сотрудников ».

Понимая, как ваши люди думают и действуют — и почему — вы можете лучше подготовиться к изменению своей позиции безопасности. При этом необходимо учитывать несколько вещей.

• Какие активы вы пытаетесь защитить и кто имеет к ним доступ.
• Какие инструменты безопасности у вас уже есть, и как они влияют на работу ваших конечных пользователей.
• Как часто вы проводите тренинг по кибербезопасности со своими сотрудниками и что включает в себя это обучение.
• Работаете ли вы с внешним агентством для проведения тестовых фишинговых кампаний и атак социальной инженерии.
• Наличие личных устройств на рабочем месте, таких как планшеты, смартфоны и носимые устройства.
• Политика паролей, которые вы ввели, и насколько хорошо ваши сотрудники их соблюдают.
• Общее отношение к кибербезопасности в вашей организации. Чувствуют ли ваши сотрудники свою заинтересованность в защите корпоративных данных и ответственность за них, или они, кажется, считают, что это проблема вашего ИТ-отдела?

«Понимая, что движет поведением людей, мы можем придумать, как это изменить», — говорится в статье на We Forum. «Например, причина, по которой человек не использует пароль на своем устройстве, может заключаться в том, что он не знает, на какой риск он идет. В этом случае нам необходимо улучшить возможности пользователей, обучив их рискам безопасности. Напротив, причина может заключаться в том, что с устройством сложно взаимодействовать, а установка пароля занимает много времени».

Изучите своих сотрудников. Посмотрите, как они работают, и поговорите с ними об их нуждах и потребностях. Постарайтесь понять их и используйте это понимание, чтобы подтолкнуть их к повышению уровня кибербезопасности.

Знайте своих врагов

Как только вы поймете, какие у вас самые важные активы, вы сможете понять, почему кто-то нацелился на эти активы.

И поняв это, вы сможете лучше сформулировать план по их защите. Например, если вы работаете в сфере здравоохранения, они могут захотеть украсть данные пациентов для продажи на черном рынке или заблокировать их с помощью программ-вымогателей, чтобы получить от вас немного денег. Если ваш бизнес недавно принял непопулярные решения, целевые кибератаки могут быть политически мотивированными.

Вообще говоря, мотивация любой кибератаки заключается в одном или нескольких из следующих факторов:

Заработать деньги

Самая простая мотивация. Преступник, нацеленный на бизнес с целью заработать деньги, может пытаться совершть кражу личных данных. Они также могут пытаться скрыться с собственными данными, такими как чертежи продуктов или списки клиентов.

Они могут быть частью преступной организации, которая пытается продать данные тому, кто предложит самую высокую цену, или они могут просто пытаться шантажировать бизнес, блокируя данные с помощью программы-вымогателя (или угрожая им раскрытием этих данных).

Эту мотивацию легче всего предсказать и защититься от нее — просто поймите, какие данные имеют наибольшую денежную ценность для злоумышленника (и какие данные имеют наибольшую денежную ценность для вас), и защитите эти данные.

Сделать заявление

Ваш бизнес недавно сделал что-нибудь спорное, вызывающее дискуссию? Будьте настороже — вы вполне можете стать целью политически или социально мотивированных «хактивистов». Эти преступники могут просто захотеть немного очернить вас, чтобы преподать вам урок, но чаще они стремятся внести какие-то изменения — возможно, путем публикации разрушительной информации, такой как то, что мы видели в атаке Панамских документов.

Создать хаос

Скорее всего, вы уже слышали о Lizard Squad — хакерской группе, нацелившейся на такие компании, как Sony и Microsoft, во время рождественских праздников, отключив сети видеоигр, такие как Xbox Live и PlayStation Network. Эта группа не нуждалась ни в деньгах, ни в каких-то требованиях.

Вместо этого они просто хотели известности.  

К сожалению, таких злоумышленников труднее всего предугадать, и от них сложнее всего защититься. Они не хотят, чтобы вы давали им деньги или отвечали на их нападки. Они просто хотят смотреть, как горит мир.

Следствие разочарования

Разочарованный ИТ-специалист. Бывший рабочий, недовольный увольнением. Разработчик, который просто перестал заботиться о своей организации. Единственное, что объединяет всех этих сотрудников, — это гнев и способность направить этот гнев против своей компании и причинить как можно больший ущерб.

В идеале, решить эту проблему можно хорошо относясь к своим работникам, убедившись, что у них нет причин разочаровываться. Но в некоторых случаях это может быть не возможно. В таких ситуациях важно, чтобы вы могли распознать признаки того, что кто-то может быть злонамеренным, и принять меры, чтобы предотвратить нанесение ими слишком большого ущерба.

Заключительные мысли

Хорошая кибербезопасность — это не только технологии. Речь идет о понимании, как своих людей, так и людей, которые нацелены на вас. Только применив психологический подход, вы сможете по-настоящему защитить своих людей, системы и данные от тех, кто может причинить им вред.

Об авторе:  Макс Емельянов основал HostForWeb в 2001 году. В своей роли генерального директора HostForWeb он фокусируется на командной работе и предоставлении лучшей поддержки своим клиентам, одновременно предоставляя передовые услуги веб-хостинга.

Перевод статьи ‘Why The Real Key To Cybersecurity Is Psychology’