До 68% кибератак оказываются успешными из-за ошибок со стороны пользователей, поэтому кибербезопасность должна быть ориентирована на человека
Исследования показывают: несмотря на значительный прогресс в области кибербезопасности, именно человеческий фактор остается самой уязвимой точкой в защите цифровых систем. Даже с современными технологиями защиты человек остается самым слабым звеном.
Содержание:
Традиционные программы обучения и даже новые законы не решают эту проблему в должной мере. Согласно последним данным, до 68% успешных кибератак обусловлены ошибками пользователей.
Старший научный сотрудник Школы компьютерных и информационных систем Мельбурнского университета Чонгил Чжон объяснил The Conversation, почему человеческие ошибки остаются основным фактором риска в кибербезопасности. Он предлагает три способа их минимизации.
Понимание человеческих ошибок
Чонгил Чжон выделяет два типа ошибок, которые допускают люди при работе с информацией.
Первый тип – это ошибки, связанные с навыками. Они происходят, когда человек выполняет привычные действия "на автомате" или его внимание отвлечено. Например, сотрудник может забыть создать резервную копию данных, хотя знает, что это нужно делать, и умеет это делать. Но в спешке или отвлеченности человек пропускает этот важный шаг, что повышает риск потери данных в случае атаки.
Второй тип – ошибки, связанные с недостатком знаний. Эти ошибки чаще встречаются у менее опытных пользователей. К примеру, человек может случайно кликнуть на подозрительную ссылку в электронном письме, не понимая возможных последствий. Это может привести к заражению устройства вредоносным кодом и утрате данных или денег.
Недостатки традиционного подхода
Многие организации и правительства инвестируют значительные средства в обучение кибербезопасности. Однако, как отмечает автор, результаты этих программ часто не оправдывают ожиданий. Причина в том, что большинство таких программ сосредоточено на технических аспектах и не учитывает психологические и поведенческие факторы, которые влияют на поведение людей.
Простое предоставление информации или внедрение обязательных мер, таких как двухфакторная аутентификация, не решает проблему полностью. Изменение поведения людей – гораздо более сложный процесс, чем обучение техническим аспектам.
Пример успешной кампании, которая привела к значительным изменениям в поведении, можно найти в сфере здравоохранения. Например, программа по профилактике меланомы Slip, Slop, Slap в Австралии и Новой Зеландии показала высокую эффективность. За 40 лет с начала кампании количество случаев заболевания снизилось благодаря постоянному напоминанию о необходимости защиты кожи от солнца.
Аналогичные принципы можно применить и в обучении кибербезопасности. Одного знания о лучших практиках недостаточно для постоянного их применения. Люди часто сталкиваются с дефицитом времени или другими приоритетами, что мешает им следовать рекомендациям.
Новые законы не панацея
Законодательные меры в сфере кибербезопасности не всегда работают как надо. Например, австралийское правительство предложило новый закон, направленный на борьбу с кибератаками. Он включает меры по усилению защиты критической инфраструктуры и повышению стандартов безопасности умных устройств. Однако, как и традиционные программы обучения, эти меры в основном нацелены на технические аспекты.
А в США уже идут по иному пути. В их Федеральном плане исследований и разработок в области кибербезопасности особое внимание уделяется "кибербезопасности, ориентированной на человека". Это означает, что потребности, мотивы и поведение людей ставятся во главу угла при разработке и эксплуатации систем информационной безопасности.
Три правила кибербезопасности, ориентированной на человека
Итак, что же делать для того, чтобы минимизировать человеческие ошибки в кибербезопасности? Чонгил Чжон предлагает три ключевых правила:
- Минимизация мыслительной нагрузки. Процедуры кибербезопасности должны быть максимально простыми и интуитивными. Обучение должно быть нацелено на упрощение сложных понятий и интеграцию их в ежедневную работу людей.
- Формирование позитивного отношения к кибербезопасности. Вместо использования тактики запугивания, обучение должно подчеркивать положительные последствия правильных действий в сфере безопасности. Это поможет мотивировать людей на изменение поведения.
- Долгосрочный подход. Изменение привычек – это длительный процесс, который требует постоянной работы. Программы обучения должны быть регулярными с учетом новых угроз и вызовов.
Создание безопасной цифровой среды требует комплексного подхода. Необходимо сочетать надежные технологии, разумную политику и, что самое важное, хорошо обученных и сознательных людей. Если мы сможем лучше понять природу человеческих ошибок, то сможем создать более эффективные программы обучения и разработать методы защиты, которые будут работать в гармонии с человеческими особенностями, а не против них, уверен эксперт. Обучение людей и адаптация систем безопасности к их поведению – ключевые факторы на пути к безопасному цифровому будущему.