Несмотря на огромные достижения в области кибербезопасности, одно слабое место продолжает затмевать все остальные: человеческий фактор.
Исследования постоянно показывают, что человеческий фактор является причиной подавляющего большинства успешных кибератак. В одном из недавних отчетов эта цифра составляет 68%, передает incrussia.ruИсследования показывают, что независимо от того, насколько совершенными станут технологические средства защиты, человеческий фактор, скорее всего, останется самым слабым звеном в цепи кибербезопасности. Это затрагивает каждого, кто пользуется цифровыми устройствами, однако традиционные программы киберобразования и повышения осведомленности, а также новые, перспективные законы не способны решить эту проблему должным образом.В контексте кибербезопасности существует два типа человеческих ошибок:ошибки, основанные на навыкахошибки, основанные на знанияхОшибки, основанные на навыках, возникают, когда люди выполняют рутинные действия, особенно если их внимание отвлечено. Например, человек может забыть сделать резервную копию данных рабочего стола с компьютера, хотя он знает, как ему следует это сделать. Но отвлеченный фактор, например, поскольку он опаздывает домой, может сделать его более уязвимыми для хакерских требований в случае кибератаки, поскольку нет альтернатив для получения исходных данных.Ошибки, основанные на знаниях, возникают, когда человек с меньшим опытом совершает ошибки в области кибербезопасности из-за отсутствия важных знаний или несоблюдения определенных правил.Например, человек может нажать на ссылку в электронном письме от незнакомого человека, даже если не знает, что произойдет. Это может привести к тому, что его взломают и он потеряете свои деньги и данные, так как ссылка может содержать опасное вредоносное ПО.Организации и правительства вкладывают значительные средства в образовательные программы по кибербезопасности, чтобы решить проблему человеческих ошибок. Однако результаты этих программ в лучшем случае неоднозначны. Отчасти это объясняется тем, что многие программы ориентированы на технологию и имеют универсальный подход.Они часто сосредоточены на конкретных технических аспектах, таких как улучшение гигиены паролей или внедрение многофакторной аутентификации. При этом они не затрагивают основные психологические и поведенческие аспекты, которые влияют на действия людей.Реальность такова, что изменить поведение человека гораздо сложнее, чем просто предоставить информацию или обязать использовать определенные методы. Это особенно верно в контексте кибербезопасности.Примером эффективных методов являются кампании в области общественного здравоохранения, такие как инициатива по защите от солнца Slip, Slop, Slap в Австралии и Новой Зеландии. С тех пор как эта кампания началась 40 лет назад, количество случаев заболевания меланомой в обеих странах значительно сократилось. Изменение поведения требует постоянных инвестиций в повышение осведомленности.Тот же принцип применим и к обучению кибербезопасности. Если люди знают о передовых методах, это еще не значит, что они будут последовательно их применять — особенно когда сталкиваются с конкурирующими приоритетами или нехваткой времени.Предложенный австралийским правительством закон о кибербезопасности сосредоточен на нескольких ключевых областях:борьба с атаками вымогателейрасширение обмена информацией между предприятиями и государственными учреждениямиусиление защиты данных в критически важных инфраструктурных секторах, таких как энергетика, транспорт и связьрасширение полномочий по расследованию киберинцидентоввведение минимальных стандартов безопасности для смарт-устройств.Эти меры крайне важны, однако, как и традиционные образовательные программы по кибербезопасности, они в основном касаются технических и процедурных аспектов кибербезопасности.В США придерживаются иного подхода: Федеральный стратегический план исследований и разработок в области кибербезопасности включает в себя «кибербезопасность, ориентированную на человека», в качестве первого и самого важного приоритета.В плане говорится, что необходимо уделять больше внимания подходам к кибербезопасности, ориентированным на человека, когда потребности, мотивы, поведение и способности людей ставятся во главу угла при разработке, эксплуатации и обеспечении безопасности систем информационных технологий.3 правила кибербезопасности, ориентированной на человека, основанные на последних исследованиях:Минимизировать когнитивную нагрузкуФормировать позитивное отношение к кибербезопасностиПрименение долгосрочной перспективыМетоды обеспечения кибербезопасности должны быть разработаны таким образом, чтобы они были максимально интуитивными и не требовали усилий. Программы обучения должны быть направлены на упрощение сложных концепций и интеграцию методов обеспечения безопасности в повседневный рабочий процесс.Вместо того чтобы полагаться на тактику устрашения, в процессе обучения следует делать акцент на положительных результатах применения эффективных методов обеспечения кибербезопасности. Такой подход поможет мотивировать людей к совершенствованию своего поведения в области кибербезопасности.Изменение отношения и поведения — это не единичный случай, а непрерывный процесс. Обучение кибербезопасности должно быть непрерывным, с регулярными обновлениями для устранения меняющихся угроз.В конечном итоге создание действительно безопасной цифровой среды требует целостного подхода. Он должен сочетать в себе надежные технологии, продуманную политику и обеспечение хорошей образованности людей и их сознательного отношения к безопасности.Если исследователи смогут лучше понять, что стоит за человеческими ошибками, они смогут разработать более эффективные программы обучения и методы обеспечения безопасности, которые будут работать с человеческой природой, а не против нее.