|
|
|
|
Некоторые психологические особенности оценки киберрисков
Человечество в процессе своего развития выработало некоторую систему определения угроз и опасностей, например, относительно хищных животных. Но эта система не работает в сфере кибербезопасности, размышляет Ральф Шмальз, доцент Мичиганского государственного университета в интервью журналу Chief Security Officer. «Риск кибератаки представляется довольно абстрактной концепцией, в рамках которой мы не способны чувствовать опасность».
Вообще ощущение грозящей опасности весьма субъективно, подчеркивает Ральф, занимающийся вопросами мозговой деятельности применительно к сфере управления рисками. Множество индивидуальных факторов затрудняют поиск и анализ рисков, включая наши предвзятости и предубеждения, которые накладываются на прошлый опыт работы с похожими инцидентами.
В оценке потенциальных рисков мы часто возлагаем надежды на интуитивное ощущение опасности. Можем быть чересчур оптимистичны и самоуверенны, находиться под влиянием тех или иных предубеждений, полагаться на фальшивую убежденность, что все у нас под контролем.
Оторванный от реальности оптимизм воздействует на принятие решений, отмечает Шмальз. «Это уверенность в том, что мы во всем лучше других. Что никогда не заболеем раком. Что у нас самые лучшие на свете дети. Что ни в коем случае не станем жертвой успешной хакерской атаки».
Иллюзия полного контроля чревата ужасными провалами. К примеру, многие чувствуют себя в безопасности за рулем личного автомобиля, но страшно боятся попасть в авиакатастрофу, хотя по статистике самолетом передвигаться безопаснее, чем автомобилем.
Кроме того, на восприятие рисков воздействует время. Когда мы заранее бронируем авиабилеты, мы не задумываемся об опасностях предстоящего не скоро путешествия, но вольно - невольно начинаем беспокоиться, когда самолет выруливает на взлетную полосу. Так и в области кибербезопасности. Пока потенциальные риски еще за горизонтом, мы их не чувствуем и не реагируем, несмотря на предупреждения экспертов. Мы пропускаем рекомендации мимо ушей, поскольку предпочитаем полагаться на ту конкретную информацию, которая у нас в руках, игнорируя все иные сигналы. Предвзятость восприятия может проявляться в ходе поиска информации, ее интерпретации и принятия решений.
Эксперты обратили внимание на такой психологический нюанс. Некоторые компании подвергаются неоднократным атакам, но ошибки не изучают, а если изучают, то их не исправляют. Проблема в том, что если последствия атак малозначительны, то в компании формируется иллюзорная уверенность, что раз ничего страшного, непоправимого не произошло, то и никогда не произойдет.
Точная, правильная оценка рисков – задача не простая. На нее влияют самые разные вещи, включая наше отношение к своей работе. Стремление любой ценой и на высоком уровне выполнить задание руководства нередко заставляет честолюбивых работников сознательно идти на неоправданный риск. Именно этот фактор был главной причиной крупных утечек в компаниях Yahoo и Equifax.
Equifax - старейшее в США бюро кредитных историй (собирает информацию на 800 млн физлиц и 88 млн юрлиц). В марте 2017 года оно подверглось хакерской атаке. Через уязвимый сайт жалоб и предложений киберпреступники смогли проникнуть в другие сервисы благодаря отсутствию сегментации в сетевой инфраструктуре организации. В течение многих месяцев хакеры незаметно выводили в зашифрованном виде персональную информацию о сотнях миллионов клиентов бюро.
Еще один важный момент: усталость реагирования на сигналы угрозы (alarm fatigue). «Когда читаешь отчеты об угрозах, - замечает Стив Таназе, консультант по киберазведке CSIS Group (Центр стратегических и международных исследований в Вашингтоне), то постоянно наталкиваешься на сильно преувеличенные характеристики киберинцидентов, видимо, сознательно допускаемые с целью маркетинга или PR. Как читатель подобных отчетов может правильно оценить риски, если чуть ли не каждая кибератака преподносится как «самая сложная», а злоумышленник как «сверх изощренный»? Если важно абсолютно все, то, значит, ничего не важно!»
Эксперты отмечают, что полностью избавиться от предубеждений, субъективного восприятия практически невозможно. Но можно контролировать себя посредством критического мышления.
Хотя наши мозги плохо оптимизированы под киберинциденты, можно позаимствовать и творчески использовать опыт физической охраны. Об этом пишет Мэтт Блейз в своей книге “Safecracking for the computer scientist». «Возможно, благодаря давней истории становления и развития, относительно стабильной технологической базы, сообщество физической безопасности научилось формировать достаточно четкое и правильное представление о потенциале и возможностях противостоящей стороны, о ресурсах, требуемых для успешной атаки. В отличие от сетевых технологий, системы физической охраны поддаются более точному количественному измерению эффективности».
Корень проблем – в подборе кадров и формировании команды, которая должна быть диверсифицированной, в том числе и с гендерной точки зрения. О множестве свидетельств того, что мужчины и женщины по-разному воспринимают угрозы, пишет в своей книге «IN Security: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe» Джейн Фрэнкленд: «женщины по своей природе более чувствительны к опасности, они тоньше чувствуют происходящие изменения, аномалии, которые могут указывать на реальные угрозы». По мнению Фрэнкленд, женщины имеют перед мужчинами преимущество в интуитивной, эмоциональной и социальной сферах управления рисками.
Обучение работе с киберрисками в значительной мере еще носит экспериментальный характер. Организации, имея дело с разного рода инцидентами, многому учатся, говорит Том Саммел, в прошлом морской офицер, а ныне начальник безопасности Secureworks (услуги по информационной безопасности). Но все еще сохраняется существенная разница в подходах между специалистами по кибербезопасности и бизнесменами, руководителями компании, принимающими стратегические решения. И многое здесь зависит от умения экспертов и практиков разъяснять предпринимателям и топ-менеджменту, что киберриски – вещь не абстрактная, а вполне реальная и конкретная, что их недооценка рано или поздно обернется наихудшим для бизнеса сценарием.
|