Как «параноики» из Yahoo построили эффективную
культуру кибербезопасности

Можно просто сказать сотрудникам, что им нужно делать. Но это вряд ли приведет к нужным изменениям — спросите любого человека, которому приходилось смотреть информационные видеоролики по кибербезопасности. Такие видеоролики рассказывают сотрудникам, что нужно быть осторожнее, но редко ведут к массовому улучшению поведения в компании. Чтобы улучшить культуру кибербезопасности, а значит, и повысить устойчивость к кибератакам, нужно понять, как ведут себя сотрудники, когда никто на них не смотрит.

В конце прошлого года исследовательская группа по кибербезопасности Школы менеджмента Слоуна при MIT (CAMS) начала сотрудничать с командой безопасности Yahoo по прозвищу Paranoids («Параноики»). Группа CAMS хотела понять, как «параноики» изменили культуру кибербезопасности в своей компании за счет управленческих механизмов. Команда проактивного вовлечения Yahoo успешно внедрила ряд интересных инновационных механизмов, которые способствовали улучшению поведения пользователей в области кибербезопасности. 

Модель проактивного вовлечения

Летом 2018 года в процессе общей реорганизации системы безопасности «параноики» создали две разные команды: «красную команду» (группу «хакеров», которая симулировала атаки на внутренние системы, сервисы, процессы и на пользователей, чтобы выявить системные слабости) и команду информирования о безопасности. Немного позже «параноики» добавили к ним команду поведенческой инженерии: она измеряла действия, которые считались правильным поведением в сфере безопасности, на основании данных от отдела кадров и из корпоративных технологических журналов.

Чтобы понять, как сотрудники реагируют на угрозы в сфере кибербезопасности, команда поведенческой инженерии ввела разделение между действиями, привычками и поведением сотрудников. По их определению, действие — это то, что человек делает однократно и полностью. Например, сотрудники Yahoo должны были пройти ежегодный курс по обучению кибербезопасности. Прохождение такого курса — это действие. Привычка — это усвоенное регулярное действие. Например, если научить сотрудников пользоваться менеджером паролей, а не менять пароли вручную, то у них сформируется привычка.

Наконец, поведение определяется как сочетание действий и привычек в контексте какой-либо ситуации, среды или в ответ на какой-либо стимул. Например, в предыдущем примере нужное поведение не сводилось к использованию менеджера паролей. Целью было сделать так, чтобы сотрудники научились генерировать и хранить данные в менеджере паролей при создании или обновлении аккаунтов.

Процесс изменения поведения

Чтобы изменить поведение, сначала нужно было определить контекст для нужного действия — как выражаются «параноики», «создать поведенческую цель». При создании поведенческой цели команда поведенческой инженерии старалась использовать следующую формулировку: «В таком-то контексте мы требуем от группы (или человека) таких-то действий».

Например: «Когда какому-либо сотруднику нужен новый пароль для входа, мы требуем, чтобы он генерировал этот пароль в менеджере паролей, одобренном нашей компанией, и хранил его там же». Чтобы измерить состояние культуры кибербезопасности, команда должна была четко определять такие цели.

Команда поведенческой инженерии постепенно изучала и разрабатывала поведенческие цели и наконец разработала следующий план.

Этап 1: Определите нужную поведенческую цель. Для любых существенных изменений нужно поставить четкую цель, затрагивающую конкретное поведение. Эта цель должна избегать того, что команда называла «невыполнимыми советами», то есть не должна требовать от конечных пользователей самостоятельных суждений о безопасности.

Этап 2: Найдите подходящую метрику и установите базовый уровень. Чтобы улучшить культуру кибербезопасности компании и укрепить устойчивость бизнеса к атакам, нужно понять, что делают люди, когда на них никто не смотрит.

Этап 3: Примите меры по изменению текущего поведения, а затем корректируйте эти меры и повторяйте процесс. После этого команда разработала меры, призванные повлиять на эти показатели. Однако для успеха этих мер было не менее важно то, что нужно было учиться на их основании, а затем вводить корректирующие меры и создавать новые действия для постоянного улучшения.

Этот план стал основой экспериментов по изменению поведения, проводимых командой проактивного вовлечения. Команда не рекомендовала сотрудникам компании самостоятельно оценивать подозрительность ссылок: это слишком субъективный и ненадежный подход. Вместо этого команда задала сотрудникам новую поведенческую цель. Когда на их корпоративную почту приходило письмо со ссылкой, по которой от них требовали ввести логин и пароль, нужно было показать это письмо команде по безопасности.

Как измерять поведение сотрудников

«Красная команда» раз за разом ловила сотрудников на фишинговые письма с фальшивыми страницами входа, примерно такие же, как в истории с ассистентом бывшего председателя Национального комитета Демократической партии США Джона Подесты под короткой ссылкой во вредоносном письме была замаскирована фальшивая страница авторизации, через которую хакеры запросили пароль).

Команда изучила проблему и выявила три главные метрики.

Уровень уязвимости: число сотрудников, которые ввели свои данные и не сообщили о письме, деленное на общее число симулированных фишинговых писем.

Уровень захвата логинов и паролей: число сотрудников, которые ввели свои данные (и не сообщили о письме отделу безопасности), деленное на число сотрудников, которые открыли письмо и вошли на фальшивую страницу входа.

Уровень отчетности: число сотрудников, сообщивших о письме, деленное на общее число разосланных писем.

После определения поведенческой цели и ключевых метрик команда постаралась внедрить новые управленческие механизмы, чтобы снизить долю тех, кто введет пароль. До внедрения этих мер «красная команда» получала в каждом испытании данные каждого седьмого сотрудника, и лишь один из десяти сотрудников правильно сообщал о потенциальной атаке. Изучив эти цифры, команда проактивного вовлечения решила сконцентрироваться на том, чтобы сотрудники не вводили свои данные на фишинговой странице.

Решение этой проблемы было уже готово. Команда хотела, чтобы сотрудники использовали менеджер паролей, который компания уже купила и предоставила. И поскольку менеджер паролей автоматически вводит данные только на тех сайтах, которые узнает, а не на фальшивках, разработанных для кражи данных, сотрудникам не нужно было ни о чем догадываться.

Архитектура выбора, мотивация, коммуникации и геймификация

К середине 2019 года команда установила корпоративный менеджер паролей для определения домена во всех корпоративных браузерах и ввела его как инструмент по умолчанию для всех сотрудников. Кроме того, она разработала систему мотивации за использование корпоративного менеджера паролей. Сотрудники, которые активно пользовались менеджером, получали сувениры с символикой «параноиков»: футболки, худи и кепки. Команда также подготовила образовательный контент (в том числе видео), чтобы объяснить пользователям, на что нужно обращать внимание, как определять опасные письма и что делать, если они увидят что-то подозрительное. Кроме того, тем, кто попался на симуляции, были отправлены электронные письма с призывом прочитать дополнительные образовательные материалы и использовать корпоративный менеджер паролей.

Команда проактивного вовлечения измеряла прогресс с помощью специальных панелей: руководители могли сравнить результаты своего отделения с результатами других отделений. Эти панели стали полезным инструментом для менеджеров, потому что они создавали среду для активной и пассивной конкуренции. Такая конкуренция мотивировала сотрудников действовать лучше, а менеджеры в свою очередь могли следить за подчиненными. Кроме того, панели стали мостом между командой проактивного вовлечения и топ-менеджментом Yahoo.

Практические рекомендации для менеджеров

Чтобы добиться существенных изменений, менеджерам нужно предпринять три основных шага. Во-первых, они должны выявить ключевые действия сотрудников. Главная реформа «параноиков» была не технологической, а организационной: они провели тестирование сотрудников, чтобы составить более эффективную стратегию и изменить культуру кибербезопасности. Только после этого они разработали и внедрили план.

Во-вторых, измерения поведения сотрудников должны быть прозрачными. Команда по безопасности не может принимать бизнес-решений, но это могут делать руководители. Для этого команда проактивного вовлечения Yahoo разработала панели, которые позволяли менеджерам оценивать поведение своих прямых подчиненных и сравнивать его с результатами других отделений.

Наконец, в-третьих, менеджеры должны объяснять сотрудникам, почему определенные действия важны. Команда по проактивному вовлечению никогда не наказывала сотрудников и не заставляла их использовать какие-либо инструменты — она только использовала свои проактивные тесты для того, чтобы обосновать свои рекомендации, а затем объясняла, почему те или иные действия сотрудников полезны для компании.

Ко второй половине 2020 года доля сотрудников Yahoo, вводивших свои данные по ссылке, сократилась вдвое, а число правильных сообщений о попытках фишинга, напротив, удвоилось. А главное, объем использования корпоративного менеджера паролей — основы корпоративной культуры кибербезопасности — вырос в три раза.

Об авторах

Кери Перлсон (Dr. Keri Pearlson) — исполнительный директор исследовательского консорциума по кибербезопасности в Школе менеджмента Слоуна при MIT (CAMS). Ее исследования посвящены организационным, стратегическим, управленческим и лидерским аспектам кибербезопасности. Сейчас работает над вопросами построения культуры кибербезопасности.

Шон Спозито (Sean Sposito) — участник команды проактивного вовлечения Yahoo. Ранее работал отраслевым аналитиком и журналистом.

Маша Арбисман (Masha Arbisman) ранее возглавляла в Yahoo команду бихевиористов, аналитиков по безопасности, экспертов по обучению и визуализации данных, чтобы развивать поведение сотрудников в аспекте кибербезопасности. Получила степень бакалавра в области количественной психологии в Калифорнийском университете в Дейвисе. Занимается поведенческими исследованиями в области обучения, потребления, а теперь также кибербезопасности.

Джош Шварц (Josh A. Schwartz) — старший директор по технической безопасности в команде информационной безопасности Yahoo. Возглавляет группу, занимающуюся проактивными оценками безопасности, методологией «красной команды», разработкой продуктов, которые поддерживают культуру безопасности, и инициативами по изменению поведения.