Самой большой уязвимостью в кибербезопасности оказались сами люди

Несмотря на огромные достижения в области кибербезопасности, одно слабое место продолжает затмевать все остальные: человеческий фактор.

Исследования постоянно показывают, что человеческий фактор является причиной подавляющего большинства успешных кибератак. В одном из недавних отчетов эта цифра составляет 68%, передает incrussia.ru

Исследования показывают, что независимо от того, насколько совершенными станут технологические средства защиты, человеческий фактор, скорее всего, останется самым слабым звеном в цепи кибербезопасности. Это затрагивает каждого, кто пользуется цифровыми устройствами, однако традиционные программы киберобразования и повышения осведомленности, а также новые, перспективные законы не способны решить эту проблему должным образом.

В контексте кибербезопасности существует два типа человеческих ошибок:

ошибки, основанные на навыках
ошибки, основанные на знаниях
Ошибки, основанные на навыках, возникают, когда люди выполняют рутинные действия, особенно если их внимание отвлечено. Например, человек может забыть сделать резервную копию данных рабочего стола с компьютера, хотя он знает, как ему следует это сделать. Но отвлеченный фактор, например, поскольку он опаздывает домой, может сделать его более уязвимыми для хакерских требований в случае кибератаки, поскольку нет альтернатив для получения исходных данных.

Ошибки, основанные на знаниях, возникают, когда человек с меньшим опытом совершает ошибки в области кибербезопасности из-за отсутствия важных знаний или несоблюдения определенных правил.

Например, человек может нажать на ссылку в электронном письме от незнакомого человека, даже если не знает, что произойдет. Это может привести к тому, что его взломают и он потеряете свои деньги и данные, так как ссылка может содержать опасное вредоносное ПО.

Организации и правительства вкладывают значительные средства в образовательные программы по кибербезопасности, чтобы решить проблему человеческих ошибок. Однако результаты этих программ в лучшем случае неоднозначны. Отчасти это объясняется тем, что многие программы ориентированы на технологию и имеют универсальный подход.

Они часто сосредоточены на конкретных технических аспектах, таких как улучшение гигиены паролей или внедрение многофакторной аутентификации. При этом они не затрагивают основные психологические и поведенческие аспекты, которые влияют на действия людей.

Реальность такова, что изменить поведение человека гораздо сложнее, чем просто предоставить информацию или обязать использовать определенные методы. Это особенно верно в контексте кибербезопасности.

Примером эффективных методов являются кампании в области общественного здравоохранения, такие как инициатива по защите от солнца Slip, Slop, Slap в Австралии и Новой Зеландии. С тех пор как эта кампания началась 40 лет назад, количество случаев заболевания меланомой в обеих странах значительно сократилось. Изменение поведения требует постоянных инвестиций в повышение осведомленности.

Тот же принцип применим и к обучению кибербезопасности. Если люди знают о передовых методах, это еще не значит, что они будут последовательно их применять — особенно когда сталкиваются с конкурирующими приоритетами или нехваткой времени.

Предложенный австралийским правительством закон о кибербезопасности сосредоточен на нескольких ключевых областях:

борьба с атаками вымогателей
расширение обмена информацией между предприятиями и государственными учреждениями
усиление защиты данных в критически важных инфраструктурных секторах, таких как энергетика, транспорт и связь
расширение полномочий по расследованию киберинцидентов
введение минимальных стандартов безопасности для смарт-устройств.
Эти меры крайне важны, однако, как и традиционные образовательные программы по кибербезопасности, они в основном касаются технических и процедурных аспектов кибербезопасности.

В США придерживаются иного подхода: Федеральный стратегический план исследований и разработок в области кибербезопасности включает в себя «кибербезопасность, ориентированную на человека», в качестве первого и самого важного приоритета.

В плане говорится, что необходимо уделять больше внимания подходам к кибербезопасности, ориентированным на человека, когда потребности, мотивы, поведение и способности людей ставятся во главу угла при разработке, эксплуатации и обеспечении безопасности систем информационных технологий.

3 правила кибербезопасности, ориентированной на человека, основанные на последних исследованиях:

Минимизировать когнитивную нагрузку
Формировать позитивное отношение к кибербезопасности
Применение долгосрочной перспективы
Методы обеспечения кибербезопасности должны быть разработаны таким образом, чтобы они были максимально интуитивными и не требовали усилий. Программы обучения должны быть направлены на упрощение сложных концепций и интеграцию методов обеспечения безопасности в повседневный рабочий процесс.

Вместо того чтобы полагаться на тактику устрашения, в процессе обучения следует делать акцент на положительных результатах применения эффективных методов обеспечения кибербезопасности. Такой подход поможет мотивировать людей к совершенствованию своего поведения в области кибербезопасности.

Изменение отношения и поведения — это не единичный случай, а непрерывный процесс. Обучение кибербезопасности должно быть непрерывным, с регулярными обновлениями для устранения меняющихся угроз.

В конечном итоге создание действительно безопасной цифровой среды требует целостного подхода. Он должен сочетать в себе надежные технологии, продуманную политику и обеспечение хорошей образованности людей и их сознательного отношения к безопасности.

Если исследователи смогут лучше понять, что стоит за человеческими ошибками, они смогут разработать более эффективные программы обучения и методы обеспечения безопасности, которые будут работать с человеческой природой, а не против нее.