Как американские военные научились пресекать
хакерские атаки

Едва мы с коллегами закончили работать над статьей для Harvard Business Review, в которой ставили в пример подход американского военного ведомства к защите от хакерских атак, как тут же прозвучала новость: взломана почтовая система для несекретной переписки, которую используют сотрудники Объединенного комитета начальников штабов в Пентагоне. На самом деле этот инцидент лишь еще сильнее подчеркивает нашу основную мысль.

По имеющимся сведениям, злоумышленники проникли в систему методом точечного фишинга при помощи подставного электронного адреса. Министерство обороны полагает, что львиная доля успешных хакерских атак обусловлена человеческим фактором. И действительно, наша ключевая идея заключается в том, что чаще всего в организациях уделяется недостаточно внимания изменению человеческого поведения и, наоборот, тратится слишком много усилий на технические меры защиты.

Мы предлагаем компаниям следовать примеру вооруженных сил США. Военные усиливают свою кибербезопасность с помощью методов, используемых в программе атомных энергоустановок ВМФ, чьи показатели безопасности практически безупречны. Эта методика включает интенсивную программу подготовки, отчетности и проверок, а также шесть принципов производственной эффективности:

Честность — глубоко укоренившийся идеал, побуждающий всех без исключения людей отказаться от «преступных деяний» (сознательных нарушений протокола) в работе и без промедления признавать совершенные ошибки.

Глубина знаний — детальное понимание всех аспектов системы, которое повышает способность людей быстро распознавать сбои в работе и принимать наиболее эффективные меры к их устранению.

Читайте материал по теме: Даже маленькая ошибка может стоить миллионы

Соблюдение процедур. Важно, чтобы специалист знал (или был в курсе, где найти) необходимые операционные процедуры и следовал им досконально и неукоснительно, а также умел понять, когда ситуация выходит за рамки существующих протоколов и требует создания новых.

Мощная поддержка, которая, помимо прочего, предполагает, что любое действие, представляющее повышенную опасность для системы, должно выполняться не одним, а двумя сотрудниками. Кроме того, это означает, что любой, даже самый младший член коллектива уполномочен остановить процесс при возникновении проблемы.

Установка на критическое отношение, которую можно сформировать, приучая людей прислушиваться к своим внутренним «сигналам тревоги», побуждая их выявлять причины, а затем применять надлежащие меры по исправлению ситуации.

Читайте материал по теме: Можно ли верить вашим данным?

Формальность коммуникации означает общение в предписанной манере, чтобы свести к минимуму возможные недопонимания при передаче или получении инструкций в критические моменты (например, отдающий приказ должен ясно и недвусмысленно его изложить, а исполняющие обязаны дословно этот приказ повторить). Формальность также создает атмосферу должной серьезности, устраняя пустую болтовню и фамильярность, которые могут привести к невнимательности, ложным предположениям, пропущенным шагам и другим ошибкам.

Эти методы постепенно принимаются на вооружение во всех подразделениях военного ведомства США и ложатся в основу его усилий по укреплению кибербезопасности. Несмотря на недавний неприятный инцидент со взломом почты Пентагона, программа неплохо развивается и делает определенные успехи. А учитывая, насколько серьезной проблемой стали хакерские атаки в частном секторе, руководителям также следует начать преобразование своих компаний в организации повышенной надежности. Одни лишь технические меры защиты не смогут обеспечить безопасность вашего бизнеса.