Безопасность — вопрос культуры. Кибербезопасность в корпоративной культуре.

Когда сотрудники обходят границы соблюдения нормативных требований и систем безопасности, инциденты неизбежны. В то время как инвестиции в защитные технологии по праву растут из года в год, компании не должны предполагать, нольенс volens, что кибератаки уходят в прошлое. Самой большой ошибкой в «операционной системе» зачастую является переоценка возможностей технологий и недооценка творческого потенциала киберпреступников. Наибольший ущерб наносят не автоматизированные атаки на IT-эпицентр компании, а отсутствие культуры безопасности. Однако в этом есть нечто большее, чем просто создание коллективного сознания с помощью жестких правил соблюдения. Что действительно нужно сотрудникам, так это «культура безопасности».

Защита в чистой культуре

Представьте себе, что как работодатель в вашей компании вы должны были заставить тысячи сотрудников действовать вместе — за доли секунды. Похоже, это невозможно. Но наше тело «живет» именно так — с впечатляющим успехом. Около 86 миллиардов нейронов должны работать вместе и непрерывно общаться друг с другом, чтобы мы могли думать, чувствовать и действовать. Это работает только при одном условии: каждая клетка должна знать, что именно она должна делать, а химия между всеми ними должна быть буквально правильной. В противном случае будут иметь место повреждения, а в худшем — серьезные сбои.

Когда речь идет о безопасности, этот «режим работы» должен стать моделью культуры безопасности. Здесь формируется центральная нервная система, культура безопасности действует как синапс и в то же время как точка соединения между нервными клетками. Каждый сотрудник воплощает в себе узкоспециализированную ячейку, даже самая маленькая из которых способствует функционированию «системы защиты».

Фактор неопределенности Ответственность

Согласно нынешнему «Cybersecurity Culture Report«, 90% из 4800 респондентов видят расхождение между реальной и желаемой культурой безопасности. Большинство участников опроса считают недостаточными меры защиты от внутренних и внешних атак в собственной компании. Кроме того, большинство сотрудников даже не знают, как они могут сами улучшить защиту (данных). Это, в свою очередь, объясняется их неуверенностью в собственной роли и сфере компетенции, когда речь идет о безопасности. Только трое из десяти сотрудников на самом деле знают об этом.

На этом фоне становится ясно, чем часто пренебрегают в контексте культуры безопасности: Безопасность должна оставлять чисто технический вид и ставить над ним (промежуточный) человеческий элемент. Сегодня это переосмысление тем более важно, что киберпреступники уже некоторое время все больше полагаются на методы «социальной инженерии». При этом они используют психологические уловки, такие как мошенничество генерального директора («трюк управляющего директора»), которыми они манипулируют и оказывают давление на сотрудников в случае с властью. Такие человеческие качества, как благодарность, чувство долга, добрая воля или гордость безжалостно эксплуатируются.

Если работник попадает в ловушку киберпреступника, то в большинстве случаев ему угрожают увольнением. Но разве в этом случае не должна быть поставлена под сомнение культура безопасности, а не сотрудник компании?

«Культура безопасности» как якорь стабильности.

«Ничто не является безопасным, кроме технологии — меньше всего на рабочем месте» — так складывается стратегия многих компаний, независимо от сектора и размера, в нашем обществе, ориентированном на результат. Именно эту точку зрения необходимо обратить вспять. Если мы, как компания, при формировании культуры безопасности реагируем только по шаблону, мы должны быть осторожны, чтобы не потерять два качества нашего «человеческого капитала»: интуицию и непредсказуемость. Или, говоря еретично, знаете ли вы, сколько инцидентов безопасности было предотвращено непредсказуемыми действиями?

Если Вы хотите создать серьезную культуру безопасности, выходящую за рамки обычного маркетинга бла-бла, то как работодатель Вы должны, прежде всего, дать самим работникам больше уверенности — в «(корпоративной) культуре безопасности».  Безопасность является одной из основных человеческих потребностей, мы стараемся защитить себя от всего и каждого, кого мы ценим. Почему немногие компании начинают со своих сотрудников? Небезопасный сотрудник, безусловно, не оставит свой (мыслящий) путь, независимо от того, насколько они хорошо проторчали.

Командная работа между человеком и технологией

Говорят, что королева Елизавета однажды спросила в разговоре о своих собственных похоронах: «Я не уверена, что мне нравятся свечи. Могу я взять с собой?» Это похожая история, когда речь идет о безопасности в большинстве компаний до сих пор: Каждый предпочитает доверять своему собственному опыту и ценностям при работе с технологиями и данными. Руководство по соблюдению требований является разумной основой для действий, но такие ответы, как «Потому что так оно и есть», нигде не встают на одну из сторон, когда речь заходит о внедрении живой культуры безопасности.

Также очень важно наконец-то выкинуть идею «супер безопасной» технологии из головы каждого. Кроме того, нельзя допускать, чтобы используемая технология превращалась в шумиху, а люди не должны восприниматься лишь как зубья в цепочке процесса. Фильм Чарли Чаплина «Modern Times» показывает, как люди притупляются, приспосабливаясь к технологиям — сегодня перед компьютером это ничем не отличается от того, что было тогда на сборочном конвейере. Поэтому культуру безопасности не следует регламентировать, поскольку культура в ее понимании как нечто «формируемое самим собой», а также безопасность как результат интуитивного понимания, ценностей, переживаний и отношения ожидания являются динамическими параметрами.

От одинокого истребителя до сетевика безопасности

Культура безопасности — это не статичная концепция, а своего рода социальная конструкция с динамическими факторами, из которых можно вывести индивидуальные и коллективные максимумы действий. Кроме того, в этом контексте определенную роль играет горизонт ожиданий, который нельзя недооценивать: чем дальновиднее, тем больше можно ожидать безопасности.

Как в техническом, так и в организационном плане сотрудникам необходима (само)уверенность, перекресток между безопасностью и знаниями. Им также необходима уверенность в том, что культура безопасности в компании со временем не перерастет в маргинальное явление, а всегда будет оставаться делом рук босса с инвестиционным характером. Если вы создадите такую надежную среду, культура безопасности будет медленно, но верно становиться второй натурой для ваших сотрудников. Таким образом, одинокие воины могут стать настоящими сетевиками безопасности, которые могут уверенно удалять такие утверждения, как «Если бы я знал» или «Все будет хорошо» из своего словаря и ходить по кибер-миру с широко открытыми глазами.

Безопасная гавань: между властью и вдохновением…

Кроме того, теоматизация вопросов безопасности также связана с неосведомленностью. Технические системы с самого начала не полностью поддаются контролю; только благодаря «сбоям» они становятся все более контролируемыми. Так что если машины должны «учиться» в равной степени, то компании должны ожидать от сотрудников того, что они будут работать безупречно. Культура безопасности создается не давлением, а безопасной средой, в которой, помимо технических и организационных характеристик, есть место для активных вариантов дизайна, «резонансных пространств» и человеческих качеств, таких как интуиция или креативность в поиске решений.

«Что точно, так это то, что ничего не точно. Даже не это, — сказал однажды Рингельнац. Одно можно сказать наверняка: с людьми и технологиями всегда будет остаточный риск. Это относится и к «живой» культуре безопасности, в которой знания, предвидение, размышления и обмен являются одними из наиболее важных факторов. Если сотрудники поощряются к этому, то киберпреступники находятся в трудном положении.

Организационные и технические советы, с помощью которых вы уже заранее можете устранить определенные риски или возможные факторы незащищенности и обеспечить большую безопасность:

• Бережливость данных как контрмера: атаки социальной инженерии, такие как «мошенничество генерального директора», могут быть несколько ограничены «жадностью данных». Компании должны рассмотреть вопрос о том, действительно ли необходимо вездесущее присутствие данных, например, в виде личных адресов электронной почты на сайте или записей об отсутствии (особенно со стороны генерального директора).
• Безопасность и соблюдение требований должны идти рука об руку: Как с организационной, так и с технической стороны, ответственные стороны проинструктированы о том, чтобы сделать корпоративную политику и использование технологий как можно более простыми, понятными и обязательными для сотрудников. Разумными и простыми в реализации являются, например, внедрение цифровых подписей и технологий, пригодных для повседневного использования, защита данных и удобных для защиты данных настроек по умолчанию и т.д.
• Планировать реалистичный бюджет с человеческими и финансовыми ресурсами, а также амортизировать пиковые нагрузки в компании.
• Проверьте на прочность внутренние рабочие и бизнес-процессы: Например, по теме доступа к данным. Кому разрешен доступ к каким данным, когда, как и где? Это действительно необходимо?
• Укреплять сотрудников в их роли: Целенаправленные лица в компаниях, которые особенно подвержены риску стать жертвами нападения, должны знать об этом и, соответственно, должны более активно поощряться к тому, чтобы они знали о своей безопасности. Обучение и подготовка могут быть использованы для совместной разработки реалистичных областей компетенции и четких, практических правил поведения в случае (до) происшествия.

Ildikó Bruhns

Ildikó ist seit 2011 für ESET tätig und tagtäglich ganz nah am Thema Cybersicherheit. Sie hat an der Bauhaus-Universität Weimar Medienkultur studiert - mit Faible für Filmphilosophie. So gesehen, ist für sie die IT-Security-Welt durchzogen von hollywoodreifen (virtuellen) Duellen zwischen Gut und Böse oder einem ewigen Katz- und Maus-Spiel à la „Catch Me If You Can“. Ihre Artikel werden in (Fach-)Magazinen und online publiziert.