Почему лучшая защита от кибератак — это сотрудники вашей компании

18.09.2021 14:12 | Укррудпром

hbr-russia.ru, 8 сентября 2021. Опубликовано 13:49 18 сентября 2021 года Как руководителям снизить влияние человеческого фактора?

По данным ФБР, в период с октября 2013 по июль 2019 года киберпреступники заполучили $26 млрд с помощью мошеннической схемы “Компрометация корпоративной электронной почты”, за счет которой они, используя обманные и манипулятивные техники социальной инженерии, выманивали у сотрудников компаний и отдельных физических лиц персональные учетные данные и в итоге добивались несанкционированных переводов денежных средств третьим лицам. В 2017 году у Университета Макьюэна в Канаде было украдено $11,8 млн. Тогда киберпреступник выдал себя за одного из сотрудников университета и запросил возможность внести изменения в информацию о банковском счете одного из поставщиков университета. В другом отчете, основанном на информации по 31 стране — а это 60% мирового населения и 85% мирового ВВП, — говорится, что в 2019 году финансовые потери от онлайн-мошенничества оцениваются в €36 млрд.

Прямыми финансовыми потерями ущерб не ограничивается. Атаки на безопасность подрывают производительность компании — и ее общественную репутацию. Например, когда в 2020 году произошел взлом 130 крупных Twitter-аккаунтов, компания понесла серьезные репутационные потери: всех поразила слабина в системе безопасности, которой с легкостью воспользовался 17-летний подросток. В свете такой уязвимости компания показала себя не в лучшем виде, а ее рыночная стоимость упала на $1,3 млрд (пусть и временно). Однако все могло бы быть намного хуже: провалы в безопасности могут иметь юридические и финансовые последствия для директоров и топ-менеджеров организации.

Во всех этих случаях главную роль играет человеческий фактор. Злоумышленники пользуются готовностью людей верить определенным просьбам и бездумно переходить по ссылкам или открывать вложения, содержащие вирусы. Предполагается, что склонность людей к ошибкам в 99% случаев является залогом успеха мошенников. В ходе пятилетнего эксперимента на примере одной тысячи банков исследователи в 96% случаев сумели обойти системы безопасности, выстраивая свою стратегию исключительно на знании человеческой психологии.

Так как же руководителям снизить влияние человеческого фактора? Лидеры логично полагаются на отдел безопасности в деле защиты корпоративной информации и принятия инвестиционных решений о наиболее подходящих для этого инструментах. Но это слишком ограниченный подход. Для создания культуры, по-настоящему сфокусированной на безопасности, все члены сообщества должны быть искренне и безоговорочно привержены делу — недостаточно только одно- или двухдневного тренинга по безопасности, который проводят большинство компаний. Такую культуру, ориентированную на безопасность, легче создать, когда лидеры знают, как повлиять на членов своей команды таким образом, чтобы они восприняли определенный образ мышления и поведения.

Исследование механизмов влияния, проведенное Робертом Чалдини, показало, что существует шесть принципов, которые помогут побудить людей подчиняться определенным требованиям и двигаться в желаемом направлении.

Люди действуют в соответствии с поведением, которое они демонстрировали в прошлом. Принятые человеком формальные и неформальные обязательства определяют его поведение в будущем.

На людей влияет мнение и поведение большинства. Если человек не уверен, как думать или действовать, он обращается к внешнему миру в поисках подсказки.

Взаимообмен (или предоставление чего-либо кому-либо без видимого ожидания равноценной платы за услугу) — один из наиболее эффективных способов добиться зеркальной реакции.

Люди хотят то, что кажется им дефицитом, и прилагают дополнительные усилия, чтобы заполучить желаемое.

Люди поддаются влиянию тех, кто либо похож на них самих, либо им симпатичен — люди прибиваются к стае птиц с похожим оперением или к тем, чьи “перья” им нравятся.

Люди с большей готовностью будут выполнять задания, поступающие от авторитетного источника (или того, кто просто носит на себе атрибуты власти — значки, белые пиджаки, деловую одежду и т. д.).

Основываясь на принципах Чалдини, мы рекомендуем воспользоваться следующими шестью стратегиями, которые помогут укрепить человеческий “файрвол” против мошеннических схем и поспособствуют формированию корпоративной культуры, ориентированной на безопасность. 

Попросите сотрудников подписать политику безопасности

Физическое подтверждение обязательств, например подписание этического кодекса, повышает вероятность того, что люди будут их соблюдать, а также способствует закреплению соответствующих норм на когнитивном и поведенческом уровнях. Этот документ представляет собой сборник письменных обязательств, в котором говорится, что сотрудник будет, например, обрабатывать всю важную корпоративную информацию (данные клиентов и информацию по договорам) конфиденциально, а также действовать в интересах компании, выполняя любые действия онлайн и офлайн, и незамедлительно сообщать о подозрительных инцидентах в соответствующие внутренние инстанции. Также сотрудники подтверждают, что не будут раскрывать конфиденциальную корпоративную информацию третьим лицам.

Также в документе полезно четко прописать, какая информация является конфиденциальной, а какая — нет. (Например, вы не можете запретить сотруднику жаловаться в социальных сетях на еду в столовой, но можете попросить не раскрывать списки клиентов.)

Так, в компании Cisco сотрудники должны ежегодно подписывать кодекс делового поведения, где напоминается, как защитить интеллектуальную собственность организации, а также какие информационные активы считаются конфиденциальными. Сотрудники не должны разглашать конфиденциальную или служебную информацию людям, не имеющим законного права требовать ее в интересах бизнеса, и обязаны сообщать о любых наблюдаемых нарушениях этого принципа. Корпоративная культура обвинения за подобные действия может мешать сотрудникам сообщать о нарушениях, но открытое обсуждение причин этого требования и просьба подписать документ, где прописана их ответственность и обязанность сообщать о подозрительных действиях, поможет решить эту проблему.

Важно, чтобы подписание такого договора было добровольным: если вы будете принуждать сотрудников подписывать кодекс, внутренний импульс следовать данным обязательствам будет слабее. Однако сам акт подписания соглашения способствует личному (внутреннему) и межличностному (внешнему) давлению согласованности, что повышает вероятность того, что сотрудники будут придерживаться стандартов компании. Лучше всего, если работники будут подписывать его в присутствии всех коллег, ведь как только обязательство становится публичным, человек чувствует себя обязанным действовать в соответствии с данным обещанием, чтобы не потерять лицо перед уважаемым им коллективом.

Подавайте пример

В ситуациях неопределенности люди оглядываются в поисках подсказки, как думать и что делать. С одной стороны, такое поведение можно назвать конформизмом, но с другой, можно рассматривать его как способ помочь людям сформировать общее понимание корректного и нормативного поведения. Обращение к другим за подсказкой помогает снизить уровень неопределенности, особенно когда эти другие занимают уважаемую позицию в обществе.

Поэтому руководители высшего звена должны подавать пример и наглядно демонстрировать желаемый тип поведения.

Например, они должны подчеркивать, как важно соблюдать необходимые меры безопасности: всегда блокировать свой компьютер, когда уходишь с рабочего места, не пропускать никого на территорию и к объектам компании без проверки допуска и не оставлять важные физические или цифровые документы в открытом доступе. Мы также рекомендуем руководителям приводить обратные примеры и рассказывать об инцидентах с нарушением техники безопасности, когда либо они сами проявляли неосторожность, либо это делал кто-то из сотрудников. Это поможет ослабить чувство неуязвимости, возникающее по принципу “со мной такого точно никогда не случится”. 

Поощряйте взаимообмен

Глубоко укорененная социальная норма гласит: если кто-то нам что-то дает, мы должны дать что-то в ответ. Мы испытываем такую потребность, даже если изначально не просили об услуге или даже в том случае, если то, что запрашивается взамен, гораздо ценнее самого подарка. Норма взаимообмена важна, поскольку зачастую мы возвращаем услугу бессознательно.

Руководители высшего звена должны помнить об этой мощной технике влияния и применять ее для укрепления культуры безопасности в организации. Принятие мер по защите данных сотрудников и их идентичности — например, предоставленные в личное пользование безопасные и зашифрованные флеш-накопители или настраиваемые цифровые фоторамки с напоминаниями о безопасности могут стать первым шагом к тому, чтобы вызвать сотрудников на взаимность.

Используйте принцип дефицита

Люди находят объекты и возможности более привлекательными, если они редки, дефицитны и труднодоступны. Руководители высшего звена могут использовать эту психологическую тенденцию, говоря об имеющихся у организации редких аккредитациях, например о сертификате системы менеджмента информационной безопасности (ISO 27001), которого в случае нарушения требований можно лишиться.

Поступая таким образом и недвусмысленно сообщая персоналу о том, что эта компания — такое прекрасное место работы именно благодаря культуре безопасности, а также о том, что будет поставлено на карту, если ее безопасность будет скомпрометирована (то есть демонстрируя, что человек может потенциально потерять), руководитель высшего звена сможет укрепить приверженность своих сотрудников культуре безопасности. Более того, руководители должны способствовать внедрению классификационной системы, которая бы отделяла безобидную информацию от конфиденциальной. Сотрудники вскоре станут чувствовать, какую информацию стоит защищать, что заставит их внимательнее охранять “священный грааль” компании вместо того, чтобы пытаться выполнить иллюзорное задание по защите всей корпоративной информации вне зависимости от ее критичности.

Походите на тех, кого возглавляете

Специалисты по безопасности подчеркивают важность эмпатии для достижения согласованности в межличностном взаимодействии. На людей больше всего влияют те, с кем они себя отождествляют, или те, кто им нравится, и лидеры могут завоевать доверие сотрудников, если будут вести себя скромно и эмпатично. Лидеры, умеющие проявлять уязвимость, скорее всего, получат в ответ те же эмпатию и сочувствие. Этот взаимообмен может косвенно поспособствовать выполнению указаний высшего руководства по поводу соблюдения техники безопасности в офисе. Умение рассказать о собственных неудачах и ошибках, связанных с культурой безопасности, а также о том, какие уроки удалось извлечь из этих ошибок, поможет руководителям стать ближе и понятнее, что увеличит шансы на то, что сотрудники последуют их примеру.

Используйте ценность авторитета

Обычно сотрудников обязывают проходить ежегодный тренинг по цифровой безопасности. Однако в реальности есть риск, что сотрудники только пролистывают материалы и при этом никак не связывают их содержание со своими повседневными действиями. Когда руководители высшего звена, которых сотрудники считают высшим авторитетом в компании, лично инструктируют подчиненных о том, как соблюдать требования корпоративной информационной безопасности, сотрудники с большей вероятностью впоследствии продемонстрируют желаемый результат. Но есть одна загвоздка: руководитель должен восприниматься не только как начальник, но и как надежный источник. В этом и заключается разница между тем, чтобы быть “наделенным властью”, приказывать сотрудникам, что делать, и быть “авторитетом”, который разбирается в том, о чем говорит. Соединять в себе и то, и другое — наиболее успешная стратегия для лидера.

Руководители высшего звена должны подтвердить свой опыт и глубокое понимание вопросов информационной безопасности, чтобы убедить сотрудников выполнять свои инструкции и поручения. Они могут достичь этого за счет поддержания прочных отношений со своей командой по информационной безопасности и регулярного обновления своих знаний и знаний персонала компании в области безопасности. Подписка на специальные рассылки, например, от SANS — хорошая отправная точка. Эта рекомендация может идти вразрез приведенному выше правилу (походите на тех, кого возглавляете). Однако лидеры могут эффективно проявлять свой авторитет, в то же время оставаясь скромными и эмпатичными.

Мошенники и социальные инженеры регулярно применяют техники влияния, чтобы обмануть сотрудников, а это, в свою очередь, угрожает ценности и репутации вашей организации. Шесть вышеупомянутых рекомендаций — это простой и экономичный способ противодействовать рискам, связанным с областью информационной безопасности, с помощью проверенных принципов, основанных на человеческой психологии. 

Об авторах

Фабиан Мьюли (Fabian Muhly) — исследователь криминологии в Университете Лозанны, Швейцария. Исследует проблему мошенничества с применением социальной инженерии. Также является соучредителем Leo & Muhly Cyber Advisory LLC.

Дженнифер Джордан (Jennifer Jordan) — социальный психолог, преподаватель лидерства и организационного поведения в IMD, исследователь. Специализируется на вопросах власти, этики, лидерства.

Роберт Чалдини (Robert B. Cialdini) — почетный профессор психологии в Университете штата Аризона, автор книги “Influence: Science and Practice” (“Психология влияния”).

Додати коментар

Користувач:
email:





Inter-American
Development Bank
Building prosperity
For the Americas

- Fin.Org.UA

Новини

21:00 - Новини 14 липня: угоди на 13 мільярдів євро, вищі виплати після народження дитини та американці на одеському з
20:23 - Уряд підтримав законопроєкт про відновлення конкурсів на держслужбу
19:58 - Свириденко обіцяє незабаром оголосити кандидатури в уряд
19:39 - московія так і не навчилася робити електроніку для своїх літаків
19:08 - БЕБ викрило оборудки медизакладів з послугами за державні кошти
19:00 - Зелена енергія в дії: як БаДМ генерує 1,3 млн кВт на рік
18:46 - "Можемо мати певні проблеми": Міненерго про ситуацію з електроенергією в Україні
18:35 - Держбюджет отримає 54 мільйонів гривень відсотків від конфіскованих коштів "PIN-UP"
18:10 - Британский фунт тестирует поддержку, рискуя сломить её
18:05 - В Україні порахували, скільки коштує зарядити електромобіль у липні: традиційне пальне програє
17:46 - Цього року виробники подали 25 заявок на розширення локалізації – нардеп
17:25 - Нацбанк показав курс долара та євро на вівторок 15 липня
17:00 - Мільярд на відбудову
17:00 - Голову правління колишньої компанії Фірташа звинуватили в незаконному нарахуванні собі премії
16:50 - Україна фіналізує єдину зону роумінгу з Євросоюзом без доплат
16:31 - У США побудують завод, який вироблятиме хімічні компоненти для українського ОПК
16:10 - Один раз на 9 днів на 2 години: на окупованій Росією Донеччині виник гострий дефіцит води
16:05 - Засідання Комісії
15:55 - Українським морським коридором перевезли 130 мільйонів тонн вантажів
15:38 - Чиновниця "наварила" сім мільйонів гривень на ремонтах шкільних укриттів
15:30 - Курси валют, встановлені НБУ на 15.07.2025
15:30 - США змінили прогнози виробництва зернових для України: є сюрприз
15:22 - Визначення площі земельної ділянки як об’єкта оподаткування земельним податком для платників єдиного податку другої – третьої груп, які надають в оренду (найм), позичку частину земельної ділянки та/або нерухомого майна
15:20 - Порядок виправлення самостійно виявлених помилок у Податковій декларації з транспортного податку після граничного терміну її подання
15:18 - Дата переходу права власності на нерухомість та дата оплати за неї різні: визначення у продавця дати виникнення податкових зобов’язань з ПДВ при продажу такого нерухомого майна
15:16 - Фізична особа одночасно з доходами у вигляді пенсії з отримує доходи у вигляді заробітної плати: чи є право на ПСП?
15:13 - Безбар’єрність – це не бонус, це норма
15:11 - Безбар'єрність сприяє соціальній інклюзії та боротьбі зі стереотипами
15:03 - Податкова – це сервісна служба, яка безкоштовно надає кваліфіковані електронні довірчих послуги
15:03 - Польща може повернутися до обмеження на український агроімпорт


Більше новин

ВалютаКурс
Алжирський динар0.32234
Австралійський долар27.4692
Така0.35009
Канадський долар30.5905
Юань Женьміньбі5.8369
Чеська крона1.9836
Данська крона6.5525
Гонконгівський долар5.3294
Форинт0.122183
Індійська рупія0.48651
Рупія0.0025743
Новий ізраїльський шекель12.441
Єна0.28379
Теньге0.079766
Вона0.030301
Ліванський фунт0.000467
Малайзійський ринггіт9.8355
Мексиканське песо2.2385
Молдовський лей2.4736
Новозеландський долар25.0574
Норвезька крона4.1428
Саудівський ріял11.1546
Сінгапурський долар32.661
Донг0.0016015
Ренд2.3412
Шведська крона4.362
Швейцарський франк52.5374
Бат1.29058
Дирхам ОАЕ11.39
Туніський динар14.4634
Єгипетський фунт0.8457
Фунт стерлінгів56.4068
Долар США41.8355
Сербський динар0.41742
Азербайджанський манат24.6149
Румунський лей9.6258
Турецька ліра1.0404
СПЗ (спеціальні права запозичення)57.2594
Болгарський лев25.0048
Євро48.8973
Ларі15.4045
Злотий11.4775
Золото140838.37
Срібло1631.43
Платина58377.68
Паладій51625.84

Курси валют, встановлені НБУ на 15.07.2025