У сучасному світі технології стають невід’ємною частиною нашого повсякденного життя. Ми покладаємося на складні системи захисту даних: антивіруси, фаєрволи, двофакторну аутентифікацію. Але незважаючи на величезні досягнення в галузі кібербезпеки, одна слабкість продовжує затьмарювати всі інші: людські помилки. Дослідження незмінно показують, що людська помилка є причиною переважної більшості успішних кібератак: у недавньому звіті ця цифра становить 68%.
Незалежно від того, наскільки просунутими стануть наші технологічні засоби захисту, людський фактор, найімовірніше, залишиться найслабшою ланкою в ланцюжку кібербезпеки, пише Science Alert. Ця слабкість зачіпає всіх, хто користується цифровими пристроями, однак традиційні програми кіберосвіти та підвищення обізнаності, а також нові, орієнтовані на майбутнє закони не здатні повною мірою вирішити цю проблему. Отже, як ми можемо впоратися з проблемами кібербезпеки, орієнтованими на людину? Українців це стосується насамперед, на тлі війни з Росією.
Розуміння людської помилки
У контексті кібербезпеки існує два типи людських помилок:
- Перший – помилки, засновані на навичках. Вони відбуваються, коли люди займаються рутинними справами, особливо коли їхня увага відволікається.
Наприклад, ви можете забути зробити резервну копію даних робочого столу з вашого комп’ютера. Ви знаєте, що вам слід це зробити, і знаєте, як це зробити (тому що ви вже робили це раніше). Але оскільки вам потрібно повернутися додому раніше, ви забули, коли ви робили це востаннє, або у вас було багато листів, на які потрібно було відповісти, ви цього не робите. Це може зробити вас більш уразливими для хакерських вимог у разі кібератаки, оскільки немає альтернатив для отримання вихідних даних.
- Другий тип – помилки, засновані на знаннях. Вони відбуваються, коли хтось із меншим досвідом робить помилки в кібербезпеці, оскільки не має важливих знань або не дотримується певних правил.
Наприклад, ви можете натиснути на посилання в листі від невідомого контакту, навіть якщо не знаєте, що станеться. Це може призвести до злому та втрати грошей і даних, оскільки посилання може містити небезпечне шкідливе ПЗ.
Традиційні підходи не виправдовують очікувань
Організації та уряди вклали значні кошти в програми навчання кібербезпеки для усунення людських помилок. Проте ці програми в кращому випадку дали неоднозначні результати. Це частково пов’язано з тим, що багато програм використовують технологічно-орієнтований підхід, який підходить усім. Вони часто фокусуються на конкретних технічних аспектах, як-от поліпшення гігієни паролів або впровадження багатофакторної автентифікації. Але вони не вирішують глибинні психологічні та поведінкові проблеми, що впливають на дії людей.
Реальність така, що зміна людської поведінки – це набагато складніше завдання, ніж просто надання інформації або припис певних практик. Це особливо актуально в контексті кібербезпеки. Прикладом ефективних методів є кампанії в галузі громадської охорони здоров’я, як-от ініціатива із захисту від сонця “Slip, Slop, Slap” в Австралії та Новій Зеландії. Відтоді, як ця кампанія розпочалася чотири десятиліття тому, випадки меланоми в обох країнах значно знизилися. Зміна поведінки вимагає постійних інвестицій у підвищення обізнаності.
Той самий принцип застосовний до освіти в галузі кібербезпеки. Те, що люди знають найкращі практики, не означає, що вони будуть послідовно їх застосовувати – особливо коли стикаються з конкуруючими пріоритетами або браком часу.
3 правила кібербезпеки, орієнтованої на людину
Тож як ми можемо адекватно вирішити проблему людської помилки в кібербезпеці? Ось три ключові стратегії, засновані на останніх дослідженнях.
- Мінімізуйте когнітивне навантаження. Практики кібербезпеки мають бути максимально інтуїтивними та легкими. Програми навчання мають бути спрямовані на спрощення складних концепцій і безшовну інтеграцію практик безпеки в щоденні робочі процеси.
- Виховувати позитивне ставлення до кібербезпеки. Замість того, щоб покладатися на тактику залякування, освіта має підкреслювати позитивні результати хороших практик кібербезпеки. Такий підхід може допомогти мотивувати людей покращувати свою поведінку в галузі кібербезпеки.
- Прийміть довгострокову перспективу. Зміна ставлення та поведінки – це не одноразова подія, а безперервний процес. Навчання кібербезпеки має бути безперервним, з регулярними оновленнями для реагування на мінливі загрози.
Зрештою, створення по-справжньому безпечного цифрового середовища вимагає цілісного підходу. Він повинен поєднувати надійні технології, розумні політики і, що найважливіше, забезпечення того, щоб люди були добре освічені й усвідомлювали безпеку. Якщо ми зможемо краще зрозуміти, що стоїть за людськими помилками, ми зможемо розробити більш ефективні програми навчання та методи гарантування безпеки, які відповідатимуть людській природі, а не суперечитимуть їй.
