Несмотря на значительные достижения в области кибербезопасности, одна проблема продолжает доминировать среди всех остальных: человеческая ошибка. Исследования последовательно показывают, что большинство успешных кибератак происходят из-за человеческого фактора. Согласно недавнему отчету , 68% таких атак обусловлены именно ошибками пользователей. И хотя технологии защиты продолжают развиваться, человеческий элемент остаётся самой уязвимой частью системы безопасности.
Человеческий фактор — это неотъемлемая часть повседневной цифровой жизни, и избежать его влияния полностью невозможно. Однако традиционные программы по обучению кибербезопасности и даже новые законы часто не справляются с задачей исправления этой слабости. Так что же делать, чтобы сократить риск, связанный с человеческими ошибками?
Понимание человеческих ошибок
В контексте кибербезопасности существует два основных типа человеческих ошибок:
1. Ошибки, основанные на навыках. Эти ошибки случаются, когда человек выполняет рутинные задачи и его внимание рассеивается. Например, вы можете забыть создать резервную копию данных на своём компьютере, хотя знаете, что это важно и как это сделать. Однако из-за спешки или множества других дел, это может быть упущено из виду. В результате, при кибератаке ваши данные могут быть утеряны без возможности восстановления.
2. Ошибки, основанные на недостатке знаний. Этот тип ошибок возникает, когда человек с недостаточным опытом делает критические ошибки в сфере кибербезопасности, не следуя правилам или не обладая нужными знаниями. Пример — это случайное нажатие на ссылку в электронном письме от незнакомого отправителя, что может привести к установке вредоносного ПО или утрате личных данных.
Почему традиционные подходы не работают
На протяжении многих лет организации и государства инвестировали значительные ресурсы в программы обучения кибербезопасности, но результаты этих усилий оставляют желать лучшего. Главная проблема заключается в том, что многие из этих программ сосредоточены на технических аспектах, таких как улучшение управления паролями или внедрение многофакторной аутентификации. Они редко затрагивают глубинные психологические и поведенческие аспекты, которые влияют на действия людей.
Изменение человеческого поведения — это намного более сложная задача, чем просто передача информации или установление правил. Люди могут быть осведомлены о лучших практиках, но это не гарантирует, что они будут их постоянно соблюдать, особенно когда возникают стрессовые ситуации или временные ограничения.
Пример с австралийской и новозеландской инициативой «Slip, Slop, Slap» иллюстрирует важность постоянного просвещения и изменения поведения людей для достижения долгосрочных результатов. Кампания «Slip, Slop, Slap» была направлена на снижение случаев рака кожи (меланомы) за счёт повышения осведомлённости о рисках пребывания на солнце. Она призывала людей защитить кожу, нанося солнцезащитный крем, надевать головные уборы и укрывать тело одеждой. За десятилетия её работы значительно снизилось количество заболеваний меланомой, что показывает, как постоянные усилия по информированию и изменению поведения могут принести результат.
Новые законы также не решают проблему
Некоторые страны, такие как Австралия, вводят новые законы в области кибербезопасности, включая меры по борьбе с атаками-вымогателями, усилению защиты критически важных секторов и внедрению минимальных стандартов безопасности для умных устройств. Однако, как и программы по обучению, законы в основном фокусируются на технических аспектах безопасности, игнорируя человеческий фактор.
США делают шаг в другом направлении, уделяя особое внимание «человеко-ориентированным» подходам в своей Федеральной стратегии кибербезопасности. Важным элементом этой стратегии является признание того, что системы кибербезопасности должны строиться, исходя из потребностей, мотиваций и возможностей людей, а не только на базе технологий.
Три способа исправить человеческий фактор
Исходя из последних исследований, можно выделить три основных стратегии для борьбы с человеческими ошибками в кибербезопасности:
1. Минимизировать когнитивную нагрузку. Процессы кибербезопасности должны быть максимально простыми и интуитивно понятными. Обучающие программы следует адаптировать под реальный рабочий процесс, чтобы сложные концепции безопасности были интегрированы в ежедневные задачи без лишней нагрузки на пользователя.
2. Создание позитивного отношения к кибербезопасности. Вместо того чтобы полагаться на запугивание и страх перед угрозами , обучение должно быть ориентировано на позитивные результаты. Людей нужно мотивировать, показывая выгоды соблюдения правил безопасности, а не концентрируясь исключительно на негативных последствиях нарушений.
3. Долгосрочный подход. Изменение поведения и отношения к кибербезопасности — это не однократное событие, а постоянный процесс. Необходимо регулярно обновлять программы обучения, чтобы они отражали новые угрозы и помогали людям адаптироваться к изменяющимся условиям.
Заключение
Чтобы создать по-настоящему безопасную цифровую среду, необходим комплексный подход, который включает как передовые технологии, так и надёжные политики. Но самое важное — это сделать людей осведомленными и готовыми киберугрозам. Понимание того, что стоит за человеческими ошибками, поможет разработать более эффективные программы обучения и методы защиты, которые будут работать в гармонии с человеческой природой, а не против неё.
