Томас Паренти - Кибербезопасность. Что руководителям нужно знать и делать

В книге мы также расскажем о нашумевших киберпреступлениях и приведем примеры из собственного опыта работы. Все это призвано показать, как принципы и методы цифрового управления работают в реальной жизни, а также к каким последствиям может привести невнимательное отношение к ним.

• Вы замечали, что общеизвестная информация о кибербезопасности порой выглядит сомнительно, но эти сомнения трудно конкретизировать?

• Приходило ли вам в голову, что о киберугрозах обычно говорят языком, малопонятным для простых смертных, и это неоправданно?

Если ваш ответ «да», то интуиция вас не подвела. Разница между тем, что кажется истинным в области кибербезопасности, и тем, что таковым является, огромна. Прежде чем перейти к принципам разумного управления в цифровой сфере и поговорить о связанной с этим ответственности, давайте сдернем завесу тайны с бытующих здесь банальных сентенций, теневых факторов и распространенных заблуждений. Именно они напускают тумана и превращают обсуждение проблем кибербезопасности в непроходимый темный лес.

Сфера кибербезопасности переполнена суждениями, которые, может, и звучат разумно и убедительно, но на практике бесполезны и даже контрпродуктивны. К сожалению, их так часто повторяют, что они обрели статус непреложных истин и искажают многие представления об этой сфере и способах добиться в ней эффективных результатов.

Итак, вот три главных, наиболее вредных киберпредрассудка:

• Это все человеческий фактор!

• Спасайте бриллианты короны!

• Киберугрозы не стоят на месте!

«Проблема не в технологиях, а в людях». Иногда это утверждение звучит иначе: «В сфере кибербезопасности человек – самое слабое звено». Хотя люди время от времени забывают флешки в USB-портах, открывают письма с вредоносными вложениями и в целом ведут себя беспечно, не стоит сводить все беды к этому. За многие возникающие проблемы ответственны сами специалисты по кибербезопасности: они не способны понять поведение рядового пользователя в цифровом мире, к тому же существующая система поощрения недостаточно мотивирует их на качественную работу.

Для полноты картины сравним, как человеческий фактор влияет на обеспечение безопасности в повседневной жизни и в мире компьютерных сетей. Проверим тезис на прочность.

В офлайне мы давно поняли, что определенным сферам, локациям и ситуациям присущи повышенные риски, которым люди не всегда уделяют должное внимание. Чтобы нивелировать влияние опасных факторов, мы принимаем меры по защите и стремимся минимизировать возможный ущерб: например, устанавливаем отбойники на шоссе и «лежачих полицейских» возле школ. Мы учитываем поведенческие паттерны и не обвиняем людей в том, что они… скажем так, порой безответственны и неосторожны. Мы не ожидаем, что они исправятся только потому, что мы рекомендуем это сделать.

В цифровом мире все с точностью до наоборот: мы редко пытаемся уберечь или подстраховать людей от ошибок и необдуманных действий. Зато беспощадно ругаем их за случившееся, а в качестве решения проблемы предлагаем изучить правила компьютерной безопасности.

Тайна потерянной флешки

В 2007–2008 годах в Гонконге имело место девять случаев непреднамеренной утраты личных и медицинских данных граждан – в общей сложности 16 000 человек. В итоге Больничное управление Гонконга обратилось к нам за помощью. Перед нами стояла задача – разобраться в истинных причинах потери данных, скорректировать политику конфиденциальности и предложить меры по улучшению системы безопасности [1] “Report of the Hospital Authority Taskforce on Patient Data Security and Privacy,” http://www.ha.org.hk/haho/ho/hesd/Full_Report.pdf . .

В одном случае сотрудница администрации в Больнице принца Уэльского (район Новые Территории) оставила флешку в такси. Сделать вывод, что всему виной отсутствие базовых знаний о кибербезопасности, так же легко, как во время просмотра фильма предположить, что человек с пистолетом, стоящий над трупом, и есть убийца.

Чтобы лучше разобраться в причинах инцидента, мы задали девушке всего два вопроса.

1. В чем состоят ваши рабочие обязанности?

Как оказалось, сотрудница выставляла другим госпиталям счета за проведение клинических исследований в лабораториях больницы.

2. Зачем вы копируете информацию на флешку?

В действиях девушки не было ничего ужасного; они диктовались логикой; многие сотрудники крупных компаний сталкиваются с подобным. На ее компьютере отсутствовала нужная для работы программа Excel. Поэтому она копировала на флешку электронные таблицы, полученные от других больниц, а затем переносила на компьютер коллеги, у которого Excel был. При этом она постоянно и безуспешно просила IT-отдел установить Excel на ее компьютер.

Итак, всему виной действительно человеческий фактор, но связанный не с делопроизводителем, а с сотрудниками IT-отдела, не удосужившимися установить коллеге необходимую программу. Когда они это сделали, риск утечки данных из-за потери флешки исчез, поскольку отпала потребность ее использовать.

Пример показывает, что люди стремятся хорошо выполнить свою работу, даже если при этом нарушают требования безопасности. Девушка не осознавала, что ставит под угрозу данные пациентов. Она просто не нашла другого решения проблемы.

Фишинг, бессмысленный и беспощадный

Люди часто открывают вложения в электронных письмах и кликают по ссылкам, что приводит к установке шпионских программ. Хакеры стали куда умнее: они нередко используют в рассылках информацию, почерпнутую из социальных и профессиональных сетей, а потому отличить фишинговые письма от обычных все труднее. Хотя несколько нигерийских принцев все еще жаждут вручить вам миллионы долларов, их сообщения постепенно вытесняются другими, гораздо более убедительными.

Калифорнийский университет в Беркли собирает базу данных о фишинговых атаках и пополняет ее образцами таких посланий. Нашлось даже поддельное письмо от HR-отдела самого университета (рисунок 1) [2] Berkeley Information Security Office, “Phishing Example: Message from Human Resources,” https://security.berkeley.edu/news/phishing-example-message-human-resources . .

От:

Subject: Message from human resources

Дата: 13 апреля 2017 Время: 21:29:54

Кому: XXXXX@berkeley.edu

Уважаемый XXXXX@berkeley.edu

Информационное письмо направлено HR-отделом.

Пройдите по этой ссылке, чтобы авторизоваться и просмотреть документ. Спасибо!

Калифорнийский университет в Беркли, HR-отдел.