Перевод статьи Forbes «Why Employees Violate Cybersecurity Policies»
В прошлом году Huntress Labs сообщила, что несколько американских компаний стали жертвами масштабной кибератаки. Атака была совершена глобальной ИТ-компанией, чьи операции в США осуществляются из Флориды, а затем распространилась по остальным корпоративным сетям. До этого крупнейшая в мире мясоперерабатывающая компания заплатила выкуп в размере 11 миллионов долларов за кибератаку, которая затронула их заводы в США, Канаде и Австралии.
Эти типы атак значительно увеличиваются, и некоторые называют эту эскалацию еще одним негативным последствием Covid-19. Поразительно, но ФБР сообщило о 400-процентном всплеске кибератак в первые несколько месяцев пандемии.
К счастью, за последние два года было сформулировано много политик кибербезопасности. Тем не менее, ряд экспертов по-прежнему обеспокоены тем, что эти политики не нацелены конкретно на некоторые основные уязвимости, связанные с поведением сотрудников.
Все ли нарушения кибербезопасности злонамеренны?
Исследование, проведенное Национальным научным фондом, в котором приняли участие более 330 удаленных сотрудников из различных областей, показало, что большинство нарушений требований кибербезопасности являются результатом преднамеренных, но безобидных попыток сотрудников выполнять свои рабочие задачи.
Исследователи попросили участников самостоятельно сообщить о своем повседневном уровне стресса и проблемах, связанных с соблюдением политики кибербезопасности. Они также опросили 36 специалистов, которые изучали, как гибридная или удаленная работа влияет на кибербезопасность.
Удивительно, но соблюдение сотрудниками политик соответствия требованиям безопасности было нестабильным. В ходе 10-дневного исследования было установлено, что 67% сотрудников хотя бы раз не смогли полностью соблюдать политику кибербезопасности. Это означает, что в среднем 1 из 20 рабочих задач выполнялась с нарушением политики кибербезопасности. Если учесть, сколько задач ежедневно выполняется в организации, масштабы этой уязвимости ошеломляют.
Когда участвовавших в опросе сотрудников попросили перечислить причины их неудач, большинство из них назвали «стресс на рабочем месте» наиболее важным фактором. В тройку лучших ответов вошли:
- Для более эффективного выполнения своих рабочих задач.
- Чтобы выполнить то, что мне нужно.
- Помогать другим в выполнении их задач.
Что еще более удивительно, эти ответы охватывали почти 85% случаев, когда сотрудники намеренно нарушали правила. Однако очень немногие из этих действий были направлены на причинение вреда их работодателям — из всех нарушений только 3% были совершены со злым умыслом. Другими словами, это означает, что безобидные нарушения в 28 раз чаще, чем злонамеренные.
Стресс: главный триггер?
Сотрудники сообщали, что они с большей вероятностью намеренно нарушали политику безопасности, когда были слишком вымотаны работой. Такие сотрудники не хотели, чтобы политика кибербезопасности мешала их работе, снижая их производительность или требуя дополнительных усилий и времени. Было обнаружено, что этот стресс возникает по разным причинам, в том числе:
- Семейные заботы, влияющие на их рабочие задачи.
- Опасения по поводу безопасности работы.
- Требования политики кибербезопасности.
Хотя исследование не дало убедительных результатов о других проблемах безопасности, которые люди делают по незнанию, результаты ясно показали, что основные причины большинства нарушений кибербезопасности не являются злонамеренными и непреднамеренными, вопреки тому, на чем часто сосредотачиваются средства массовой информации.
Как создать сильную культуру кибербезопасности
Для работодателей создание сильной культуры кибербезопасности на их рабочих местах было серьезной проблемой в течение многих лет, главным образом потому, что их внимание было больше направлено на наказание сотрудников, нарушающих политику безопасности, а не на то, чтобы помочь им соблюдать правила. Основываясь на упомянутом выше исследовании, мы разработали три рекомендуемых подхода, которые менеджеры могут использовать для создания своей культуры и решения этой ситуации.
- Используйте осведомленность и обучение безопасности
Многие политики безопасности во всем мире предполагают, что сотрудники нарушают правила безопасности, чтобы отомстить им из злого умысла. В результате их политика кибербезопасности построена на этом предположении, а не на учете реальных факторов.
Тем не менее, исследования ясно говорят нам, что между невежеством и злым умыслом очень тонкая грань. Многие сотрудники невежественны и нуждаются в надлежащем руководстве и осведомленности, чтобы оставаться в соответствии с требованиями. Что еще более важно, работодатели должны осознавать основную причину нарушений безопасности. Большинство сотрудников просто хотят выполнять свои задачи самым простым способом и поддерживать свою производительность.
В таких случаях сотрудники должны быть проинформированы о неумышленных нарушениях и их последствиях для отдельных лиц, а также для организации в целом. Основная цель этих учебных занятий должна заключаться в том, чтобы научить сотрудников тому, что им следует делать, когда стресс мешает им соблюдать политику кибербезопасности.
- Вовлекайте сотрудников в разработку политики
Помимо руководства сотрудниками, организации должны напрямую привлекать сотрудников к разработке и тестированию политик безопасности. Кроме того, им следует оснастить свои команды новыми усовершенствованными инструментами, чтобы они могли более эффективно создавать, оценивать и следовать этим политикам.
В большинстве случаев ИТ-специалисты формулируют программные протоколы, не предсказывая влияния этих правил на работу сотрудников. Пандемия Covid-19 усугубила эту ситуацию, значительно повысив уровень стресса у людей. Имея это в виду, было бы разумно учитывать сотрудников и уровень их стресса при разработке, тестировании и внедрении политик кибербезопасности.
- Облегчить дизайн работы и рабочие нагрузки.
В эпоху высоких технологий сотрудникам несложно поддерживать баланс между безопасностью и производительностью. Но после пандемии динамика развернулась на 180 градусов. Уровни стресса резко возросли, что усложняет поддержание производительности и соблюдение политик кибербезопасности.
Поскольку рабочая нагрузка является одной из основных причин нарушений кибербезопасности, ясно, что структура работы и кибербезопасность напрямую связаны. Чтобы решить эту проблему, менеджеры должны работать над изменением структуры работы своей команды. Кроме того, поскольку следование политике кибербезопасности при выполнении своих задач часто является сложной задачей для сотрудников, члены команды должны получать вознаграждение за то, что поддерживают и то, и другое одновременно.
Ключевые выводы
Текущий технологический ландшафт непреднамеренно сделал каждого сотрудника большей потенциальной угрозой безопасности организации. Чтобы обеспечить безопасность своей компании, менеджеры и технические специалисты должны сесть вместе и понять как человеческие, так и технологические факторы, вызывающие нарушения.