Почему лучшая защита от кибератак — это сотрудники вашей компании

18.09 14:12 | Укррудпром

hbr-russia.ru, 8 сентября 2021. Опубликовано 13:49 18 сентября 2021 года Как руководителям снизить влияние человеческого фактора?

По данным ФБР, в период с октября 2013 по июль 2019 года киберпреступники заполучили $26 млрд с помощью мошеннической схемы “Компрометация корпоративной электронной почты”, за счет которой они, используя обманные и манипулятивные техники социальной инженерии, выманивали у сотрудников компаний и отдельных физических лиц персональные учетные данные и в итоге добивались несанкционированных переводов денежных средств третьим лицам. В 2017 году у Университета Макьюэна в Канаде было украдено $11,8 млн. Тогда киберпреступник выдал себя за одного из сотрудников университета и запросил возможность внести изменения в информацию о банковском счете одного из поставщиков университета. В другом отчете, основанном на информации по 31 стране — а это 60% мирового населения и 85% мирового ВВП, — говорится, что в 2019 году финансовые потери от онлайн-мошенничества оцениваются в €36 млрд.

Прямыми финансовыми потерями ущерб не ограничивается. Атаки на безопасность подрывают производительность компании — и ее общественную репутацию. Например, когда в 2020 году произошел взлом 130 крупных Twitter-аккаунтов, компания понесла серьезные репутационные потери: всех поразила слабина в системе безопасности, которой с легкостью воспользовался 17-летний подросток. В свете такой уязвимости компания показала себя не в лучшем виде, а ее рыночная стоимость упала на $1,3 млрд (пусть и временно). Однако все могло бы быть намного хуже: провалы в безопасности могут иметь юридические и финансовые последствия для директоров и топ-менеджеров организации.

Во всех этих случаях главную роль играет человеческий фактор. Злоумышленники пользуются готовностью людей верить определенным просьбам и бездумно переходить по ссылкам или открывать вложения, содержащие вирусы. Предполагается, что склонность людей к ошибкам в 99% случаев является залогом успеха мошенников. В ходе пятилетнего эксперимента на примере одной тысячи банков исследователи в 96% случаев сумели обойти системы безопасности, выстраивая свою стратегию исключительно на знании человеческой психологии.

Так как же руководителям снизить влияние человеческого фактора? Лидеры логично полагаются на отдел безопасности в деле защиты корпоративной информации и принятия инвестиционных решений о наиболее подходящих для этого инструментах. Но это слишком ограниченный подход. Для создания культуры, по-настоящему сфокусированной на безопасности, все члены сообщества должны быть искренне и безоговорочно привержены делу — недостаточно только одно- или двухдневного тренинга по безопасности, который проводят большинство компаний. Такую культуру, ориентированную на безопасность, легче создать, когда лидеры знают, как повлиять на членов своей команды таким образом, чтобы они восприняли определенный образ мышления и поведения.

Исследование механизмов влияния, проведенное Робертом Чалдини, показало, что существует шесть принципов, которые помогут побудить людей подчиняться определенным требованиям и двигаться в желаемом направлении.

Люди действуют в соответствии с поведением, которое они демонстрировали в прошлом. Принятые человеком формальные и неформальные обязательства определяют его поведение в будущем.

На людей влияет мнение и поведение большинства. Если человек не уверен, как думать или действовать, он обращается к внешнему миру в поисках подсказки.

Взаимообмен (или предоставление чего-либо кому-либо без видимого ожидания равноценной платы за услугу) — один из наиболее эффективных способов добиться зеркальной реакции.

Люди хотят то, что кажется им дефицитом, и прилагают дополнительные усилия, чтобы заполучить желаемое.

Люди поддаются влиянию тех, кто либо похож на них самих, либо им симпатичен — люди прибиваются к стае птиц с похожим оперением или к тем, чьи “перья” им нравятся.

Люди с большей готовностью будут выполнять задания, поступающие от авторитетного источника (или того, кто просто носит на себе атрибуты власти — значки, белые пиджаки, деловую одежду и т. д.).

Основываясь на принципах Чалдини, мы рекомендуем воспользоваться следующими шестью стратегиями, которые помогут укрепить человеческий “файрвол” против мошеннических схем и поспособствуют формированию корпоративной культуры, ориентированной на безопасность. 

Попросите сотрудников подписать политику безопасности

Физическое подтверждение обязательств, например подписание этического кодекса, повышает вероятность того, что люди будут их соблюдать, а также способствует закреплению соответствующих норм на когнитивном и поведенческом уровнях. Этот документ представляет собой сборник письменных обязательств, в котором говорится, что сотрудник будет, например, обрабатывать всю важную корпоративную информацию (данные клиентов и информацию по договорам) конфиденциально, а также действовать в интересах компании, выполняя любые действия онлайн и офлайн, и незамедлительно сообщать о подозрительных инцидентах в соответствующие внутренние инстанции. Также сотрудники подтверждают, что не будут раскрывать конфиденциальную корпоративную информацию третьим лицам.

Также в документе полезно четко прописать, какая информация является конфиденциальной, а какая — нет. (Например, вы не можете запретить сотруднику жаловаться в социальных сетях на еду в столовой, но можете попросить не раскрывать списки клиентов.)

Так, в компании Cisco сотрудники должны ежегодно подписывать кодекс делового поведения, где напоминается, как защитить интеллектуальную собственность организации, а также какие информационные активы считаются конфиденциальными. Сотрудники не должны разглашать конфиденциальную или служебную информацию людям, не имеющим законного права требовать ее в интересах бизнеса, и обязаны сообщать о любых наблюдаемых нарушениях этого принципа. Корпоративная культура обвинения за подобные действия может мешать сотрудникам сообщать о нарушениях, но открытое обсуждение причин этого требования и просьба подписать документ, где прописана их ответственность и обязанность сообщать о подозрительных действиях, поможет решить эту проблему.

Важно, чтобы подписание такого договора было добровольным: если вы будете принуждать сотрудников подписывать кодекс, внутренний импульс следовать данным обязательствам будет слабее. Однако сам акт подписания соглашения способствует личному (внутреннему) и межличностному (внешнему) давлению согласованности, что повышает вероятность того, что сотрудники будут придерживаться стандартов компании. Лучше всего, если работники будут подписывать его в присутствии всех коллег, ведь как только обязательство становится публичным, человек чувствует себя обязанным действовать в соответствии с данным обещанием, чтобы не потерять лицо перед уважаемым им коллективом.

Подавайте пример

В ситуациях неопределенности люди оглядываются в поисках подсказки, как думать и что делать. С одной стороны, такое поведение можно назвать конформизмом, но с другой, можно рассматривать его как способ помочь людям сформировать общее понимание корректного и нормативного поведения. Обращение к другим за подсказкой помогает снизить уровень неопределенности, особенно когда эти другие занимают уважаемую позицию в обществе.

Поэтому руководители высшего звена должны подавать пример и наглядно демонстрировать желаемый тип поведения.

Например, они должны подчеркивать, как важно соблюдать необходимые меры безопасности: всегда блокировать свой компьютер, когда уходишь с рабочего места, не пропускать никого на территорию и к объектам компании без проверки допуска и не оставлять важные физические или цифровые документы в открытом доступе. Мы также рекомендуем руководителям приводить обратные примеры и рассказывать об инцидентах с нарушением техники безопасности, когда либо они сами проявляли неосторожность, либо это делал кто-то из сотрудников. Это поможет ослабить чувство неуязвимости, возникающее по принципу “со мной такого точно никогда не случится”. 

Поощряйте взаимообмен

Глубоко укорененная социальная норма гласит: если кто-то нам что-то дает, мы должны дать что-то в ответ. Мы испытываем такую потребность, даже если изначально не просили об услуге или даже в том случае, если то, что запрашивается взамен, гораздо ценнее самого подарка. Норма взаимообмена важна, поскольку зачастую мы возвращаем услугу бессознательно.

Руководители высшего звена должны помнить об этой мощной технике влияния и применять ее для укрепления культуры безопасности в организации. Принятие мер по защите данных сотрудников и их идентичности — например, предоставленные в личное пользование безопасные и зашифрованные флеш-накопители или настраиваемые цифровые фоторамки с напоминаниями о безопасности могут стать первым шагом к тому, чтобы вызвать сотрудников на взаимность.

Используйте принцип дефицита

Люди находят объекты и возможности более привлекательными, если они редки, дефицитны и труднодоступны. Руководители высшего звена могут использовать эту психологическую тенденцию, говоря об имеющихся у организации редких аккредитациях, например о сертификате системы менеджмента информационной безопасности (ISO 27001), которого в случае нарушения требований можно лишиться.

Поступая таким образом и недвусмысленно сообщая персоналу о том, что эта компания — такое прекрасное место работы именно благодаря культуре безопасности, а также о том, что будет поставлено на карту, если ее безопасность будет скомпрометирована (то есть демонстрируя, что человек может потенциально потерять), руководитель высшего звена сможет укрепить приверженность своих сотрудников культуре безопасности. Более того, руководители должны способствовать внедрению классификационной системы, которая бы отделяла безобидную информацию от конфиденциальной. Сотрудники вскоре станут чувствовать, какую информацию стоит защищать, что заставит их внимательнее охранять “священный грааль” компании вместо того, чтобы пытаться выполнить иллюзорное задание по защите всей корпоративной информации вне зависимости от ее критичности.

Походите на тех, кого возглавляете

Специалисты по безопасности подчеркивают важность эмпатии для достижения согласованности в межличностном взаимодействии. На людей больше всего влияют те, с кем они себя отождествляют, или те, кто им нравится, и лидеры могут завоевать доверие сотрудников, если будут вести себя скромно и эмпатично. Лидеры, умеющие проявлять уязвимость, скорее всего, получат в ответ те же эмпатию и сочувствие. Этот взаимообмен может косвенно поспособствовать выполнению указаний высшего руководства по поводу соблюдения техники безопасности в офисе. Умение рассказать о собственных неудачах и ошибках, связанных с культурой безопасности, а также о том, какие уроки удалось извлечь из этих ошибок, поможет руководителям стать ближе и понятнее, что увеличит шансы на то, что сотрудники последуют их примеру.

Используйте ценность авторитета

Обычно сотрудников обязывают проходить ежегодный тренинг по цифровой безопасности. Однако в реальности есть риск, что сотрудники только пролистывают материалы и при этом никак не связывают их содержание со своими повседневными действиями. Когда руководители высшего звена, которых сотрудники считают высшим авторитетом в компании, лично инструктируют подчиненных о том, как соблюдать требования корпоративной информационной безопасности, сотрудники с большей вероятностью впоследствии продемонстрируют желаемый результат. Но есть одна загвоздка: руководитель должен восприниматься не только как начальник, но и как надежный источник. В этом и заключается разница между тем, чтобы быть “наделенным властью”, приказывать сотрудникам, что делать, и быть “авторитетом”, который разбирается в том, о чем говорит. Соединять в себе и то, и другое — наиболее успешная стратегия для лидера.

Руководители высшего звена должны подтвердить свой опыт и глубокое понимание вопросов информационной безопасности, чтобы убедить сотрудников выполнять свои инструкции и поручения. Они могут достичь этого за счет поддержания прочных отношений со своей командой по информационной безопасности и регулярного обновления своих знаний и знаний персонала компании в области безопасности. Подписка на специальные рассылки, например, от SANS — хорошая отправная точка. Эта рекомендация может идти вразрез приведенному выше правилу (походите на тех, кого возглавляете). Однако лидеры могут эффективно проявлять свой авторитет, в то же время оставаясь скромными и эмпатичными.

Мошенники и социальные инженеры регулярно применяют техники влияния, чтобы обмануть сотрудников, а это, в свою очередь, угрожает ценности и репутации вашей организации. Шесть вышеупомянутых рекомендаций — это простой и экономичный способ противодействовать рискам, связанным с областью информационной безопасности, с помощью проверенных принципов, основанных на человеческой психологии. 

Об авторах

Фабиан Мьюли (Fabian Muhly) — исследователь криминологии в Университете Лозанны, Швейцария. Исследует проблему мошенничества с применением социальной инженерии. Также является соучредителем Leo & Muhly Cyber Advisory LLC.

Дженнифер Джордан (Jennifer Jordan) — социальный психолог, преподаватель лидерства и организационного поведения в IMD, исследователь. Специализируется на вопросах власти, этики, лидерства.

Роберт Чалдини (Robert B. Cialdini) — почетный профессор психологии в Университете штата Аризона, автор книги “Influence: Science and Practice” (“Психология влияния”).

Добавить комментарий

Автор:

Введите Код, указанный на рисунке
 




Новини

14:36 - HSB, дочка Munich Re, приобретает у Zeguro новую платформу по кибербезопасности для малого и среднего бизнеса
14:30 - Индийскому чермету прогнозируют рост экспортных объёмов по итогам нынешнего финансового года
14:30 - Германия подтверждает получение украинского предложения об увеличении транзита газа
14:06 - Українська ГТС повністю готова до опалювального сезону
14:06 - Сформовано новий склад склад громадської ради при Держкомтелерадіо
14:06 - Олексій Любченко: Починаємо конкурс на відбір чотирьох незалежних членів правління наглядової ради «Нафтогазу»
14:06 - ДПС: З початку запровадження Інтерактивної податкової карти України її можливостями скористалося понад 140 тис. осіб
14:06 - Підключення житлового фонду до теплопостачання, в середньому, по країні становить понад 45%, у деяких областях — 100%, — Наталія Хоцянівська
14:06 - Денис Шмигаль: Транш від ЄС дозволить реалізувати в Україні амбітні проекти для зростання економіки та підтримки громадян
14:06 - Україна отримала 600 млн євро макрофінансової допомоги ЄС
13:36 - В ЕС установлены предварительные пошлины на китайские графитированные электроды
13:36 - Кэптивный железорудный ГОК Мечела нарастил продажи концентрата по итогам сентября
13:36 - Европейский рынок плоского проката слабеет
13:36 - Чистая прибыль меткомпании Виктора Рашникова в январе — сентябре выросла в восемь раз
13:36 - Мировое производство нержавейки в минувшем квартале оставалось стабильным
12:42 - “Нафтогаз” потратит на услуги по поиску менеджеров почти 49 млн гривен
12:42 - Американская Tenaris полностью восстановила все свои трубопрокатные мощности
12:42 - Российский минпромторг намерен ужесточить правила экспорта черного лома
12:42 - ТМК Дмитрия Пумпянского избавилась от миноритариев в структуре собственности ЧТПЗ
12:36 - В Национальной комиссии по финансовому рынку Молдовы смена руководства
12:36 - Премии литовских страховщиков на конец июня 2021 года выросли до 501 млн. ​​евро
12:36 - Сербский страховой рынок за 6 месяцев 2021 года вырос на 8% до 514 млн. евро
12:36 - Terrafuse AI запустила новую платформу Wildfire для оценки рисков лесных пожаров
12:18 - Відділ комунікацій з громадськістю управління інформаційної взаємодії Головного управління ДПС у Дніпропетровській області
12:00 - Мінекономіки: Промвиробництво з початку року зросло на 1,4%
12:00 - Мінфін: АТ “Ощадбанк” та ЄБРР підписали Мандатний лист щодо умов майбутньої співпраці
11:48 - Мрак Цукерберг. Как Facebook, Inc. захватывает мир
11:48 - Николаев получит 320 млн гривен на закупку трамваев
11:48 - НБУ увеличил выкуп валюты на межбанке до 350 млн долларов за неделю
11:48 - Запасы газа в украинских хранилищах сократились на 381 млн кубометров


Більше новин

ВалютаКурс
Австралійський долар19.7136
Канадський долар21.333
Юань Женьміньбі4.1141
Куна4.0628
Чеська крона1.1919
Данська крона4.1096
Гонконгівський долар3.3821
Форинт0.084123
Індійська рупія0.35111
Рупія0.001861
Новий ізраїльський шекель8.197
Єна0.231
Теньге0.061814
Вона0.022338
Мексиканське песо1.3009
Молдовський лей1.5065
Новозеландський долар18.8065
Норвезька крона3.1485
Російський рубль0.37385
Саудівський ріял7.0095
Сінгапурський долар19.5173
Ренд1.7937
Шведська крона3.0647
Швейцарський франк28.6762
Єгипетський фунт1.6745
Фунт стерлінгів36.2511
Долар США26.2918
Білоруський рубль10.8869
Румунський лей6.1822
Турецька ліра2.7337
СПЗ (спеціальні права запозичення)37.1904
Болгарський лев15.6378
Євро30.5774
Злотий6.6536
Алжирський динар0.1942
Така0.31132
Вірменський драм0.054972
Іранський ріал0.00063375
Іракський динар0.018231
Сом0.31389
Ліванський фунт0.017657
Лівійський динар5.8373
Малайзійський ринггіт6.3551
Марокканський дирхам2.9409
Пакистанська рупія0.15613
Донг0.0011694
Бат0.78536
Дирхам ОАЕ7.2468
Туніський динар9.4198
Узбецький сум0.0024895
Туркменський новий манат7.605
Сербський динар0.26211
Азербайджанський манат15.662
Сомоні2.3536
Ларі8.5403
Бразильський реал4.9316
Золото47289.22
Срібло642.71
Платина28023.12
Паладій53355

Курси валют, встановлені НБУ на: 25.10.2021

ТікерOpenMaxMinCloseVolume
CEEN7.57.57.57.575000.00
KER450450450450900.00

Дані за 22.10.2021