RW Space

Несмотря на огромные достижения в области кибербезопасности, одна слабость продолжает затмевать все остальные: человеческая ошибка.

Исследования постоянно показывают, что человеческая ошибка является причиной подавляющего большинства успешных кибератак. В недавнем отчете эта цифра составляет 68%.

Независимо от того, насколько продвинутой станет наша технологическая защита, человеческая элемент, скорее всего, останется самым слабым звеном в цепочке кибербезопасности.

Эта слабость затрагивает всех, кто использует цифровые устройства. , однако традиционные программы киберобучения и повышения осведомленности – и даже новые, дальновидные законы – не в состоянии адекватно решить эту проблему.

Итак, как мы можем справиться с проблемами кибербезопасности, ориентированными на человека?

Понимание человеческих ошибок

В контексте кибербезопасности существует два типа человеческих ошибок.

Во-первых, это ошибки, связанные с навыками. Это происходит, когда люди занимаются рутинными делами, особенно когда их внимание отвлекается.

Например, вы можете забудьте сделать резервную копию данных рабочего стола со своего компьютера. Вы знаете, что вам следует это сделать, и знаете, как это сделать (потому что вы делали это раньше).

Но поскольку вам нужно вернуться домой пораньше, вы забыли, когда вы делали это в последний раз, или у вас есть много писем, на которые нужно ответить, вы этого не делаете. Это может сделать вас более уязвимым для хакерских атак в случае кибератаки, поскольку альтернатив для получения исходных данных нет.

Второй тип — ошибки, основанные на знаниях. Это происходит, когда кто-то с меньшим опытом совершает ошибки в области кибербезопасности из-за отсутствия важных знаний или несоблюдения определенных правил.

Например, вы можете нажать на ссылку в электронном письме от неизвестного контакта, даже если не знаете, что произойдет. Это может привести к тому, что вы будете взломаны и потеряете свои деньги и данные, поскольку ссылка может содержать опасное вредоносное ПО.

Традиционные подходы не оправдывают ожиданий

Организации и правительства вкладывают значительные средства в образовательные программы по кибербезопасности, направленные на устранение человеческих ошибок. Однако эти программы в лучшем случае дали неоднозначные результаты.

Отчасти это связано с тем, что многие программы используют технологию- центральный, универсальный подход. Они часто фокусируются на конкретных технических аспектах, таких как улучшение гигиены паролей или реализация многофакторной аутентификации.

Однако , они не затрагивают основные психологические и поведенческие проблемы, которые влияют на действия людей.

Реальность такова, что изменить человеческое поведение гораздо сложнее, чем просто предоставить информацию или предписать определенные действия. Это особенно актуально в контексте кибербезопасности.

Кампании общественного здравоохранения, такие как «Slip, Slop Инициатива по обеспечению солнечной безопасности «Slap» в Австралии и Новой Зеландии иллюстрирует, что работает.

С момента начала этой кампании прошло четыре десятилетия. назад число случаев меланомы в обеих странах значительно снизилось. Изменение поведения требует постоянных инвестиций в повышение осведомленности.

Тот же принцип применим и к образованию в области кибербезопасности. Тот факт, что люди знают лучшие практики, не означает, что они будут последовательно их применять – особенно когда они сталкиваются с конкурирующими приоритетами или нехваткой времени.

The США придерживаются другого подхода. Его Федеральный стратегический план исследований и разработок в области кибербезопасности включает «кибербезопасность, ориентированную на человека» в качестве первого и наиболее важного приоритета.

В плане говорится

Необходимо уделять больше внимания человеко-ориентированным подходам к кибербезопасности, где потребности, мотивация, поведение и способности людей находятся на переднем крае определения конструкции, функционирования и безопасности. систем информационных технологий.

3 правила кибербезопасности, ориентированной на человека

Итак, как мы можем адекватно решить проблему человеческих ошибок в кибербезопасности? Вот три ключевые стратегии, основанные на последних исследованиях.

1. Минимизировать когнитивную нагрузку. Практика кибербезопасности должна быть максимально интуитивно понятной и простой. Программы обучения должны быть направлены на упрощение сложных концепций и плавную интеграцию методов обеспечения безопасности в повседневные рабочие процессы.
2. Стимулируйте позитивное отношение к кибербезопасности. Вместо того, чтобы полагаться на тактику запугивания, образование должно подчеркивать положительные результаты хороших практик кибербезопасности. Такой подход может помочь мотивировать людей улучшить свое поведение в области кибербезопасности.
3. Примите долгосрочную перспективу. Изменение отношения и поведения – это не единичное событие, а непрерывный процесс. Обучение кибербезопасности должно быть постоянным, с регулярными обновлениями для устранения развивающихся угроз.

В конечном счете, создание по-настоящему безопасной цифровой среды требует целостного подхода. Оно должно сочетать в себе надежные технологии, разумную политику и, что наиболее важно, обеспечение хорошего образования людей и заботы о безопасности.

Если мы сможем лучше понять, что стоит за человеческими ошибками, мы сможем разработать более эффективные программы обучения и методы обеспечения безопасности, которые работают с человеческой природой, а не против нее.

Чонгкил Джей Чжон, старший научный сотрудник Школы вычислительных и информационных систем Мельбурнского университета

Эта статья переиздана из The Conversation под лицензией Creative Commons. Прочтите оригинал статьи.