Почему лучшая защита от кибератак — это сотрудники
вашей компании

По данным ФБР, в период с октября 2013 по июль 2019 года киберпреступники заполучили $26 млрд с помощью мошеннической схемы «Компрометация корпоративной электронной почты», за счет которой они, используя обманные и манипулятивные техники социальной инженерии, выманивали у сотрудников компаний и отдельных физических лиц персональные учетные данные и в итоге добивались несанкционированных переводов денежных средств третьим лицам. В 2017 году у Университета Макьюэна в Канаде было украдено $11,8 млн. Тогда киберпреступник выдал себя за одного из сотрудников университета и запросил возможность внести изменения в информацию о банковском счете одного из поставщиков университета. В другом отчете, основанном на информации по 31 стране — а это 60% мирового населения и 85% мирового ВВП, — говорится, что в 2019 году финансовые потери от онлайн-мошенничества оцениваются в €36 млрд.

Прямыми финансовыми потерями ущерб не ограничивается. Атаки на безопасность подрывают производительность компании — и ее общественную репутацию. Например, когда в 2020 году произошел взлом 130 крупных Twitter-аккаунтов, компания понесла серьезные репутационные потери: всех поразила слабина в системе безопасности, которой с легкостью воспользовался 17-летний подросток. В свете такой уязвимости компания показала себя не в лучшем виде, а ее рыночная стоимость упала на $1,3 млрд (пусть и временно). Однако все могло бы быть намного хуже: провалы в безопасности могут иметь юридические и финансовые последствия для директоров и топ-менеджеров организации.

Во всех этих случаях главную роль играет человеческий фактор. Злоумышленники пользуются готовностью людей верить определенным просьбам и бездумно переходить по ссылкам или открывать вложения, содержащие вирусы. Предполагается, что склонность людей к ошибкам в 99% случаев является залогом успеха мошенников. В ходе пятилетнего эксперимента на примере одной тысячи банков исследователи в 96% случаев сумели обойти системы безопасности, выстраивая свою стратегию исключительно на знании человеческой психологии.

Так как же руководителям снизить влияние человеческого фактора? Лидеры логично полагаются на отдел безопасности в деле защиты корпоративной информации и принятия инвестиционных решений о наиболее подходящих для этого инструментах. Но это слишком ограниченный подход. Для создания культуры, по-настоящему сфокусированной на безопасности, все члены сообщества должны быть искренне и безоговорочно привержены делу — недостаточно только одно- или двухдневного тренинга по безопасности, который проводят большинство компаний. Такую культуру, ориентированную на безопасность, легче создать, когда лидеры знают, как повлиять на членов своей команды таким образом, чтобы они восприняли определенный образ мышления и поведения.

Исследование механизмов влияния, проведенное Робертом Чалдини, показало, что существует шесть принципов, которые помогут побудить людей подчиняться определенным требованиям и двигаться в желаемом направлении.

1. Люди действуют в соответствии с поведением, которое они демонстрировали в прошлом. Принятые человеком формальные и неформальные обязательства определяют его поведение в будущем.

2. На людей влияет мнение и поведение большинства. Если человек не уверен, как думать или действовать, он обращается к внешнему миру в поисках подсказки.

3. Взаимообмен (или предоставление чего-либо кому-либо без видимого ожидания равноценной платы за услугу) — один из наиболее эффективных способов добиться зеркальной реакции.

4. Люди хотят то, что кажется им дефицитом, и прилагают дополнительные усилия, чтобы заполучить желаемое.

5. Люди поддаются влиянию тех, кто либо похож на них самих, либо им симпатичен — люди прибиваются к стае птиц с похожим оперением или к тем, чьи «перья» им нравятся.

6. Люди с большей готовностью будут выполнять задания, поступающие от авторитетного источника (или того, кто просто носит на себе атрибуты власти — значки, белые пиджаки, деловую одежду и т. д.).

Основываясь на принципах Чалдини, мы рекомендуем воспользоваться следующими шестью стратегиями, которые помогут укрепить человеческий «файрвол» против мошеннических схем и поспособствуют формированию корпоративной культуры, ориентированной на безопасность. 

Попросите сотрудников подписать политику безопасности

Физическое подтверждение обязательств, например подписание этического кодекса, повышает вероятность того, что люди будут их соблюдать, а также способствует закреплению соответствующих норм на когнитивном и поведенческом уровнях. Этот документ представляет собой сборник письменных обязательств, в котором говорится, что сотрудник будет, например, обрабатывать всю важную корпоративную информацию (данные клиентов и информацию по договорам) конфиденциально, а также действовать в интересах компании, выполняя любые действия онлайн и офлайн, и незамедлительно сообщать о подозрительных инцидентах в соответствующие внутренние инстанции. Также сотрудники подтверждают, что не будут раскрывать конфиденциальную корпоративную информацию третьим лицам.

Также в документе полезно четко прописать, какая информация является конфиденциальной, а какая — нет. (Например, вы не можете запретить сотруднику жаловаться в социальных сетях на еду в столовой, но можете попросить не раскрывать списки клиентов.)

Так, в компании Cisco сотрудники должны ежегодно подписывать кодекс делового поведения, где напоминается, как защитить интеллектуальную собственность организации, а также какие информационные активы считаются конфиденциальными. Сотрудники не должны разглашать конфиденциальную или служебную информацию людям, не имеющим законного права требовать ее в интересах бизнеса, и обязаны сообщать о любых наблюдаемых нарушениях этого принципа. Корпоративная культура обвинения за подобные действия может мешать сотрудникам сообщать о нарушениях, но открытое обсуждение причин этого требования и просьба подписать документ, где прописана их ответственность и обязанность сообщать о подозрительных действиях, поможет решить эту проблему.

Важно, чтобы подписание такого договора было добровольным: если вы будете принуждать сотрудников подписывать кодекс, внутренний импульс следовать данным обязательствам будет слабее. Однако сам акт подписания соглашения способствует личному (внутреннему) и межличностному (внешнему) давлению согласованности, что повышает вероятность того, что сотрудники будут придерживаться стандартов компании. Лучше всего, если работники будут подписывать его в присутствии всех коллег, ведь как только обязательство становится публичным, человек чувствует себя обязанным действовать в соответствии с данным обещанием, чтобы не потерять лицо перед уважаемым им коллективом.

Подавайте пример

В ситуациях неопределенности люди оглядываются в поисках подсказки, как думать и что делать. С одной стороны, такое поведение можно назвать конформизмом, но с другой, можно рассматривать его как способ помочь людям сформировать общее понимание корректного и нормативного поведения. Обращение к другим за подсказкой помогает снизить уровень неопределенности, особенно когда эти другие занимают уважаемую позицию в обществе.

Поэтому руководители высшего звена должны подавать пример и наглядно демонстрировать желаемый тип поведения.

Например, они должны подчеркивать, как важно соблюдать необходимые меры безопасности: всегда блокировать свой компьютер, когда уходишь с рабочего места, не пропускать никого на территорию и к объектам компании без проверки допуска и не оставлять важные физические или цифровые документы в открытом доступе. Мы также рекомендуем руководителям приводить обратные примеры и рассказывать об инцидентах с нарушением техники безопасности, когда либо они сами проявляли неосторожность, либо это делал кто-то из сотрудников. Это поможет ослабить чувство неуязвимости, возникающее по принципу «со мной такого точно никогда не случится». 

Поощряйте взаимообмен

Глубоко укорененная социальная норма гласит: если кто-то нам что-то дает, мы должны дать что-то в ответ. Мы испытываем такую потребность, даже если изначально не просили об услуге или даже в том случае, если то, что запрашивается взамен, гораздо ценнее самого подарка. Норма взаимообмена важна, поскольку зачастую мы возвращаем услугу бессознательно.

Руководители высшего звена должны помнить об этой мощной технике влияния и применять ее для укрепления культуры безопасности в организации. Принятие мер по защите данных сотрудников и их идентичности — например, предоставленные в личное пользование безопасные и зашифрованные флеш-накопители или настраиваемые цифровые фоторамки с напоминаниями о безопасности могут стать первым шагом к тому, чтобы вызвать сотрудников на взаимность.

Используйте принцип дефицита

Люди находят объекты и возможности более привлекательными, если они редки, дефицитны и труднодоступны. Руководители высшего звена могут использовать эту психологическую тенденцию, говоря об имеющихся у организации редких аккредитациях, например о сертификате системы менеджмента информационной безопасности (ISO 27001), которого в случае нарушения требований можно лишиться.

Поступая таким образом и недвусмысленно сообщая персоналу о том, что эта компания — такое прекрасное место работы именно благодаря культуре безопасности, а также о том, что будет поставлено на карту, если ее безопасность будет скомпрометирована (то есть демонстрируя, что человек может потенциально потерять), руководитель высшего звена сможет укрепить приверженность своих сотрудников культуре безопасности. Более того, руководители должны способствовать внедрению классификационной системы, которая бы отделяла безобидную информацию от конфиденциальной. Сотрудники вскоре станут чувствовать, какую информацию стоит защищать, что заставит их внимательнее охранять «священный грааль» компании вместо того, чтобы пытаться выполнить иллюзорное задание по защите всей корпоративной информации вне зависимости от ее критичности.

Походите на тех, кого возглавляете

Специалисты по безопасности подчеркивают важность эмпатии для достижения согласованности в межличностном взаимодействии. На людей больше всего влияют те, с кем они себя отождествляют, или те, кто им нравится, и лидеры могут завоевать доверие сотрудников, если будут вести себя скромно и эмпатично. Лидеры, умеющие проявлять уязвимость, скорее всего, получат в ответ те же эмпатию и сочувствие. Этот взаимообмен может косвенно поспособствовать выполнению указаний высшего руководства по поводу соблюдения техники безопасности в офисе. Умение рассказать о собственных неудачах и ошибках, связанных с культурой безопасности, а также о том, какие уроки удалось извлечь из этих ошибок, поможет руководителям стать ближе и понятнее, что увеличит шансы на то, что сотрудники последуют их примеру.

Используйте ценность авторитета

Обычно сотрудников обязывают проходить ежегодный тренинг по цифровой безопасности. Однако в реальности есть риск, что сотрудники только пролистывают материалы и при этом никак не связывают их содержание со своими повседневными действиями. Когда руководители высшего звена, которых сотрудники считают высшим авторитетом в компании, лично инструктируют подчиненных о том, как соблюдать требования корпоративной информационной безопасности, сотрудники с большей вероятностью впоследствии продемонстрируют желаемый результат. Но есть одна загвоздка: руководитель должен восприниматься не только как начальник, но и как надежный источник. В этом и заключается разница между тем, чтобы быть «наделенным властью», приказывать сотрудникам, что делать, и быть «авторитетом», который разбирается в том, о чем говорит. Соединять в себе и то, и другое — наиболее успешная стратегия для лидера.

Руководители высшего звена должны подтвердить свой опыт и глубокое понимание вопросов информационной безопасности, чтобы убедить сотрудников выполнять свои инструкции и поручения. Они могут достичь этого за счет поддержания прочных отношений со своей командой по информационной безопасности и регулярного обновления своих знаний и знаний персонала компании в области безопасности. Подписка на специальные рассылки, например, от SANS — хорошая отправная точка. Эта рекомендация может идти вразрез приведенному выше правилу (походите на тех, кого возглавляете). Однако лидеры могут эффективно проявлять свой авторитет, в то же время оставаясь скромными и эмпатичными.

Мошенники и социальные инженеры регулярно применяют техники влияния, чтобы обмануть сотрудников, а это, в свою очередь, угрожает ценности и репутации вашей организации. Шесть вышеупомянутых рекомендаций — это простой и экономичный способ противодействовать рискам, связанным с областью информационной безопасности, с помощью проверенных принципов, основанных на человеческой психологии. 

Об авторах

Фабиан Мьюли (Fabian Muhly) — исследователь криминологии в Университете Лозанны, Швейцария. Исследует проблему мошенничества с применением социальной инженерии. Также является соучредителем Leo & Muhly Cyber Advisory LLC.

Дженнифер Джордан (Jennifer Jordan) — социальный психолог, преподаватель лидерства и организационного поведения в IMD, исследователь. Специализируется на вопросах власти, этики, лидерства.

Роберт Чалдини (Robert B. Cialdini) — почетный профессор психологии в Университете штата Аризона, автор книги «Influence: Science and Practice» («Психология влияния»).