Перевод статьи Harvard Business Review «Your Employees Are Your Best Defense Against Cyberattacks»
Большинство кибератак нацелены на людей, а не на системы. Фактически, подавляющее большинство атак можно объяснить ошибками человека. Итак, когда вы задумываетесь о кибербезопасности вашей компании, то думать нужно непосредственно о культуре вашего предприятия.
По данным ФБР, в период с октября 2013 года по июль 2019 года киберпреступники заполучили $26 млрд с помощью «компрометации деловой электронной почты», который подразумевает манипулятивные методы социальной инженерии, сподвигая сотрудников и отдельных лиц к раскрытию их учетных данных и, в конечном итоге, к осуществлению несанкционированных переводов или денежных средств. В 2017 году у Университета МакЭвана в Канаде было украдено около 11,8 миллиона долларов, когда киберпреступник выдал себя за одного из сотрудников университета и потребовал изменить информацию о банковском счете одного из его поставщиков. В другом отчете, охватывающем 31 страну (60% населения мира и соответствующие 85% мирового ВВП), финансовые потери от онлайн-мошенничества в 2019 году оцениваются в 36 миллиардов евро.
Помимо прямых финансовых потерь, нарушения, связанные с безопасностью, подрывают производительность компании и ее общественную репутацию. Например, когда в 2020 году были громкие взломы 130 аккаунтов в Твиттере, это ударило по компании: атака с низким уровнем технического обеспечения была произведена 17-летним юношей, который использовал
поразительную уязвимость в системе безопасности. Из-за выявленной уязвимости компания выглядела глупо, а стоимость ее акций упала на 1,3 миллиарда долларов (только бы временно). Все могло быть и намного хуже: нарушения безопасности также могут иметь юридические последствия и ответственность для директоров и топ-менеджеров.
Во всех этих взломах главную роль играют ошибки индивидуального поведения. Злоумышленники пользуются готовностью людей доверять определенным запросам и бездумно переходить по ссылкам или открывать вложения, содержащие вирусы. Предполагается, что человеческий фактор является конечной целью атаки в 99% взломов. В ходе пятилетнего исследования исследователи успешно проникли в 96% систем безопасности 1000 банков, используя только человеческую психологию.
Итак, как руководители бизнеса снижают эту человеческую ответственность? Руководители логически полагаются на свой отдел безопасности, когда дело доходит до защиты информации организации и принятия инвестиционных решений о правильных инструментах для этого. Но это слишком ограниченный подход. Для того, чтобы в компании начала действовать культура безопасности все члены сообщества должны ее осознанно исповедовать — помимо однодневного или двухдневного тренинга по безопасности, который требует посещать большинство компаний. Создание такой культуры, ориентированной на безопасность, облегчается, когда лидеры могут влиять на членов своей команды, чтобы они приняли определенный образ мышления и поведение.
Исследование принципов влияния Чалдини показало, что существует шесть принципов, которые, если их использовать, побуждают людей подчиняться требованиям или двигаться в желаемом направлении.
- Люди действуют в соответствии с поведением, которое они демонстрировали в прошлом. Формальные и неформальные обязательства приводят к аналогичному поведению в будущем.
- На людей влияют мнения и поведение большинства. Когда люди не уверены в том, что думать или как действовать, они обращаются к внешнему миру в поисках решения.
- Взаимный обмен (или дать кому-то что-то просто так, не требуя ничего взамен) — один из лучших способов получить ответную услугу.
- Люди хотят того, что является редким или кажется им дефицитным, и прилагают дополнительные усилия, чтобы это получить.
- На людей влияют те, кто похож на них, или те, кому они симпатизируют. Люди как птицы — тянутся к тем, у кого похожее оперение и окрас, который им нравятся.
- Люди с большей вероятностью выполняют поручения, если они исходят от того, кто наделен полномочиями (или даже от того, у кого есть простые атрибуты авторитета – соответствующая одежда или вещи).
Основываясь на принципах Чалдини, мы рекомендуем следующие шесть стратегий для защиты человеческого брандмауэра от обманных приемов преступников и развития организационной культуры, ориентированной на безопасность.
1. Попросите сотрудников подписать политику безопасности
Демонстрация приверженности, например: подписание этического кодекса, повышает вероятность того, что люди будут его выполнять, и ведет к более строгому когнитивному и поведенческому соблюдению кодексов поведения. Политика безопасности представляет собой письменные обязательства, в которых говорится, что сотрудник будет, например, обрабатывать всю конфиденциальную корпоративную информацию (например, данные о клиентах и контрактах) конфиденциально, действовать в интересах организации во время операций в сети и вне ее, и немедленно сообщать о подозрительных инцидентах соответствующему должностному лицу. Сотрудники также признают, что не будут раскрывать конфиденциальную корпоративную информацию каким-либо сторонним лицам.
В документе следует четко указать, какая информация является конфиденциальной, а какая нет. (Например, вы не можете попросить сотрудника не жаловаться на еду в кафетерии компании в социальных сетях, но вы можете попросить его не раскрывать списки клиентов).
Например, CISCO требует от своих сотрудников ежегодно подписывать кодекс делового поведения, который напоминает им, как защитить интеллектуальную собственность компании, а также конфиденциальные информационные активы. Компания требует, чтобы ее сотрудники не разглашали конфиденциальную или служебную информацию людям, у которых нет в ней законной или деловой необходимости, и обязаны сообщать о любых наблюдаемых нарушениях такого требования. Влияние корпоративной культуры обвинения может привести к тому, что сотрудники не доложат о подозрительных действиях коллег, но если дать им понимание причин и попросить подписать соглашение, сигнализирующее об их ответственности и обязательствах такого рода докладах, может обойти эту проблему.
Важно, чтобы подписание такого обязательства было добровольным — если оно будет принудительным, последующий внутренний импульс к принятию будет слабее. Но акт подписания способствует личному (внутреннему) и межличностному (внешнему) давлению обязательств, что повышает вероятность того, что они будут придерживаться стандартов компании. И лучше всего, если сотрудники могут подписать его в присутствии коллег; как только обязательство становится публичным, сотрудники чувствуют себя обязанными действовать в соответствии с ним, чтобы не потерять лицо перед своими уважаемыми коллегами.
2. Быть личным примером
Находясь в растерянности, люди озираются в поисках подсказок, как думать и действовать. С одной стороны, такое поведение может быть трактовано как соответствующее, но с другой стороны, его можно рассматривать и как способ помочь им понять общее видение правильного или нормативного поведения. Обращение к другим за подсказками помогает уменьшить неуверенность, особенно когда эти люди занимают уважаемые социальные позиции.
Поэтому руководители высшего звена должны подавать пример и продвигать передовые методы поведения.
Например, они должны подчеркивать важность таких мер безопасности, как: не оставлять свой компьютер разблокированным, не открывать двери на территории компании людям без проверки их легитимность, и не раскрывать документы компании, будь то физические или цифровые, в общественных местах. Мы рекомендуем руководителям также приводить контрастирующие примеры инцидентов, связанных с нарушением безопасности, когда либо они сами проявили неосторожность, либо сообщалось о неосторожном поведении. Это поможет уменьшить чувство неуязвимости у сотрудников и избавиться от постулата, что «со мной этого не случится».
3. Вызывайте взаимность
Существует широко распространенная социальная норма, которая гласит, что если кто-то нам что-то дает, мы чувствуем себя обязанными ответить взаимностью. Это побуждение имеет тенденцию быть правдивым, даже если первоначальный подарок не запрашивался или даже если то, что запрашивается взамен, гораздо более ценно, чем то, что было дано изначально. Принцип взаимности важен, потому что часто оказываемая услуга оказывается бессознательной.
Руководители высшего звена должны знать об этой мощной технике влияния и использовать ее для укрепления культуры безопасности в организации. Принятие мер по защите собственных данных или личности сотрудников, например предоставление им безопасных и зашифрованных флеш-накопителей или настраиваемой цифровой фоторамки, которая отображает напоминания о безопасности, может быть значимым первым шагом к обеспечению взаимности.
4. Принцип дефицитарности
Люди считают предметы и возможности более привлекательными, если они редки или труднодоступны. Руководители высшего звена могут использовать эту психологическую тенденцию при продвижении редких и образцовых аккредитаций организации, таких как аккредитованные процессы информационной безопасности (например, ISO 27001), которые могут быть поставлены под угрозу из-за нарушения безопасности.
Поступая таким образом и недвусмысленно сообщая персоналу о привлекательности организации как о прекрасном месте для работы благодаря культуре безопасности, а также о том, что будет поставлено на карту, если ее безопасность будет скомпрометирована (то есть, что потенциально можно потерять), лидеры укрепят приверженность сотрудников такой культуре. Более того, руководители высшего звена должны способствовать внедрению системы классификации, которая отделяет безобидную информацию от конфиденциальной. Сотрудники получат понимание, какую информацию необходимо защищать, что заставит их быть внимательными в защите священных ценностей компании вместо иллюзорной задачи по защите всей информации, независимо от ее важности.
5. Будьте похожи на тех, кого вы возглавляете
Специалисты по безопасности подчеркивают важность чуткого мышления для достижения согласия в межличностных ситуациях. На людей больше всего влияют те, с кем они себя отождествляют и кто им нравятся, и лидеры могут завоевать доверие сотрудников, если будут действовать со смирением и сочувствием. Лидеры, которые проявляют уязвимость, скорее всего, получат взамен сочувствие и сострадание. Этот взаимный обмен может косвенно способствовать соблюдению директив высшего руководства с точки зрения идеального поведения в области безопасности. Поделившись своими собственными трудностями или историями о своих ошибках, связанных с культурой безопасности, и о том, как они извлекли уроки из этих ошибок, может сделать их более доступными и узнаваемыми, тем самым увеличивая шансы на то, что другие последуют их примеру.
6. Используйте ценность власти
Обычно организации обязывают своих сотрудников проходить ежегодный тренинг по цифровой безопасности. Существует реальный риск того, что сотрудники его пройдут, но не свяжут его содержание со своим повседневным поведением. Когда руководители высшего звена, которых сотрудники считают высшим авторитетом в организации, лично проинструктируют своих сотрудников о соблюдении требований корпоративной информационной безопасности, у них будет больше шансов получить желаемый результат. Но есть загвоздка: лидеры должны рассматриваться в качестве надежного источника в дополнение к своей руководящей должности. В этом разница между тем, чтобы просто быть «наделенным властью», приказывать сотрудникам, что делать, и быть «авторитетом», знающим тему. И то, и другое — наиболее эффективная комбинация.
Руководители высшего звена должны подтвердить свой опыт и грамотное понимание вопросов информационной безопасности, чтобы эффективно выполнять свои инструкции и поручения. Они могут достичь этого, поддерживая прочные отношения со своей командой по информационной безопасности и регулярно пополнять знания о последних достижениях в области безопасности. Подписка на информационные рассылки, например, от SANS , является хорошей отправной точкой. Эта рекомендация может показаться контрастирующей с приведенной выше (будьте как те, кого вы возглавляете). Но лидеры могут проявлять свой авторитет, в то же время будучи скромными и чуткими.
Мошенники и социальные инженеры регулярно используют тактику влияния, чтобы обмануть сотрудников, угрожая ценности и репутации вашей организации. Вышеупомянутые шесть рекомендаций — это простой и экономичный способ для руководителей противодействовать этим рискам информационной безопасности с помощью проверенных принципов, основанных на психологии человека.