TED-доклад: Кибербезопасность начинается с честности и ответственности

Многие из нас сами попадались на фишинг или слышали об этом от знакомых. Нажать на ссылку с интригующим заголовком и получить компьютерный вирус — это неожиданность, но реальность. Надя Бартол работала со многими компаниями по вопросу улучшения кибербезопасности, инструментам мониторинга и правильному поведению пользователей. Она говорит, что видит во всем этом гораздо большую проблему, которую не может исправить никакой инструмент: стыд, связанный с ошибками, которые мы делаем.

"Нам нравится думать о себе как о компетентных и технически подкованных людях, когда мы совершаем ошибки, которые могут иметь плохие последствия для нас и наших компаний. Несмотря на миллиарды долларов, которые компании тратят на кибербезопасность, такие специалисты, как я, снова и снова сталкиваются с одними и теми же проблемами. Приведу несколько примеров.

Взлом украинских коммунальных предприятий в 2015 году, в результате которого отключили электричество 225 000 клиентов, а на восстановление нормальной работы потребовались месяцы, начался с фишинговой ссылки. Кстати, 225 000 клиентов — это намного больше 225 000 человек. Заказчиками могут быть все: от многоквартирного дома до промышленного объекта и торгового центра.

Подписывайтесь на Youtube-канал delo.ua

Утечка данных Equifax в 2017 году, в результате которой была раскрыта личная информация 140 млн человек и может в конечном итоге стоить Equifax порядка $1,4 млрд: это было вызвано использованием хорошо известной уязвимости на портале жалоб потребителей компании.

По сути, это технологии и инновации. Инновация — это хорошо, это делает нашу жизнь лучше. Большинство современных автомобилей являются компьютерами на колесах. Они говорят нам, куда ехать, чтобы избежать пробок, когда сдавать их на техническое обслуживание, а затем предоставляют нам все виды современных удобств. Многие люди используют подключенные медицинские устройства, такие как кардиостимуляторы и глюкометры с инсулиновыми помпами. Эти устройства делают жизнь людей лучше, а иногда даже продлевают их жизнь. Но все, что можно подключить, можно взломать. Знаете ли вы, что бывший вице-президент США Дик Чейни держал кардиостимулятор отключенным от Wi-Fi до того, как ему сделали пересадку сердца? Я объясню почему.

В мире, связанном с цифровой связью, киберриски присутствуют буквально повсюду. В течение многих лет мы с коллегами говорили об этом неуловимом понятии культуры кибербезопасности. Культура кибербезопасности — это когда каждый в организации считает, что кибербезопасность — это их работа, знает, что делать, а чего не делать, и делает правильные вещи. К сожалению, я не могу сказать вам, какие компании делают это хорошо, потому что таким образом могу привлечь к ним внимание амбициозных злоумышленников. Но что я могу, так это сделать кибербезопасность менее загадочной, раскрыть ее и поговорить о ней.

Внутри организации не должно быть тайн или секретов. Когда что-то невидимо и работает, мы не узнаем об этом, пока оно не исчезнет. Как туалетная бумага. Когда началась пандемия COVID-19, внезапно туалетная бумага стала очень важной, потому что мы не могли нигде ее найти. Кибербезопасность, по сути, то же самое: когда она работает, мы не знаем о ней и нам все равно. Но когда она не работает, все может стать очень плохо.

Туалетная бумага — это просто. Кибербезопасность — это очень сложно. И я думаю, что все начинается с понятия психологической безопасности. Эту мысль популяризировала Эми Эдмондсон, ученая, занимающаяся вопросами организационного поведения. Эми изучала поведение медицинских бригад в ситуациях с высокими рисками, например в больницах, где ошибки могут быть фатальными. И она обнаружила, что медсестрам неудобно что-то советовать врачам из-за боязни подвергнуть сомнению их авторитет. Эми помогла улучшить медицинские бригады, чтобы медсестрам было удобнее давать советы врачам о лечении пациентов, не опасаясь, что их могут наказать. Чтобы это произошло, врачам нужно было слушать и быть восприимчивыми, не осуждая.

Психологическая безопасность — это когда всем удобно говорить о том, что они думают. Я хочу, чтобы кибербезопасность была такой же. Я хочу, чтобы специалисты по кибербезопасности чувствовали себя комфортно, что-то советуя руководителям высшего звена или разработчикам программного обеспечения. Чтобы их советы не отвергались. Конечно, это сложно для людей, ответственных за создание цифровых продуктов, потому что, по сути, эти продукты — их гордость и радость.

Однажды я попыталась поговорить с одним из высших руководителей по разработке программного обеспечения о необходимости повышения безопасности. Вы знаете, что он сказал? "Вы говорите мне, что мы разрабатываем небезопасный код?" Другими словами, он услышал: "Ваш ребенок уродлив".

Что, если вместо того, чтобы сосредоточиться на том, чего не следует делать, мы сосредоточимся на том, что делать? Например:
- Как нам разработать лучшее программное обеспечение и в то же время защитить информацию о наших клиентах?
- Как сделать так, чтобы наша организация могла работать в условиях кризиса, атаки или чрезвычайной ситуации?
- Может быть, мы будем вознаграждать людей за то хорошее, что они делают в сфере кибербезопасности, и поощрять их делать это? Например, сообщать об инцидентах безопасности, сообщать о потенциальных фишинговых письмах или находить и исправлять ошибки безопасности программного обеспечения в разрабатываемом ими программном обеспечении?
- Что, если мы свяжем эти хорошие действия по обеспечению безопасности с оценками продуктивности, чтобы сделать их действительно значимыми?

Я хотела бы, чтобы мы рассказывали об этих хороших вещах в области кибербезопасности и поощряли их в общекорпоративном общении, таком как информационные бюллетени, блоги, веб-сайты, микросайты — все, что мы используем для связи в нашей организацией. Компания может объявить конкурс на поиск ошибок в кибербезопасности и на общем собрании наградить победителей, например, недельным оплачиваемым дополнительным отпуском или бонусом. Коллеги увидят важность этого и захотят делать то же самое.

В энергетике существует по-настоящему сильная культура безопасности труда. Люди заботятся об этой культуре, гордятся ей и укрепляют. Один из способов продемонстрировать и сохранить эту культуру безопасности — это подсчет и показ количества дней с момента последнего происшествия, связанного с безопасностью. Когда люди видят этот счетчик, они стремятся сделать максимум, чтобы он не вернулся на отметку "0". Кибербезопасность — это то же самое, что и безопасность труда. Что, если мы все согласимся беречь это количество дней с момента последнего инцидента кибербезопасности вечно, а затем приложить все усилия, чтобы не сбросить его до нуля?

Кроме того, важно говорить и о том, чего делать категорически нельзя. Желательно сообщать о запрещенных вещах легким, даже забавным способом, например, через геймификацию и симуляции. Так люди лучше это запомнят. Важно говорить, что каждая ошибка несет за собой последствия. Так, например, если сотрудник покупает оборудование на Amazon или eBay или использует личный Dropbox для бизнеса компании, он должен столкнуться с какими-то последствиями. И когда это происходит, к руководителям следует относиться так же, как к обычным сотрудникам, потому что в противном случае люди не поверят, что это реально, и вернутся к своему прежнему поведению. Говорить об ошибках — это нормально и это ценно. Но последствия должны быть в любом случае. Конечно, они должны соответствовать степени ошибки.

Кибербезопасность — это путешествие, а не пункт назначения. Над кибербезопасностью нужно работать всегда. Я бы хотела, чтобы мы чествовали людей, занимающихся кибербезопасностью, как героев, которыми они и являются. Если задуматься, то они — пожарные, врачи и медсестры отделения неотложной помощи, сотрудники правоохранительных органов, руководители по управлению рисками и стратеги бизнеса — все в одном лице. Они помогают нам защитить ту жизнь, которая нам так нравится. Они защищают нашу личность, наши изобретения, нашу интеллектуальную собственность, нашу электросеть, медицинские устройства, подключенные автомобили и множество других вещей. Так что давайте создавать безопасную среду, учиться на своих ошибках и делать все возможное, чтобы улучшить ситуацию".