Почему пора перестать винить человека в сбоях системы

Кибербезопасность давно страдает от проблемы с людьми, но не в том смысле, о котором часто говорят. Будучи отраслью, основанной на обеспечении глобальной связи через интернет и множество устройств, многие из нас, практиков, очень плохо умеем общаться с людьми.

Яркий пример — известная в нашей индустрии фраза «человек — самое слабое звено». Она подразумевает, что если бы не люди, наши системы были бы полностью защищены, но что ещё хуже — транслирует неспециалистам в области кибербезопасности мысль об их неполноценности. Таким образом, эта фраза не только отдаляет нас от коллег, но и, я уверен, является несправедливой и вводящей в заблуждение. Реальная проблема кибербезопасности — не человеческая ошибка, а неспособность технологий, проектных решений и архитектуры систем учитывать реальное поведение человека.

Несмотря на многолетние кампании по повышению осведомлённости, утечки данных, связанные с фишингом и компрометацией учётных данных, продолжают доминировать в отчётах об инцидентах и новостных заголовках. И после каждой такой утечки поставщики и эксперты, комментируя её, вновь повторяют фразу «человек — самое слабое звено», возлагая вину не на недостатки защитных технологий, а на пользователя компьютера. Даже если человек действительно стал жертвой фишинга или вредоносного письма, это не должно вызывать новую волну обвинений. Вместо этого должны возникнуть срочные вопросы о том, почему так много наших систем по-прежнему оставляют людей уязвимыми.

Возьмём, к примеру, фишинг. Если вредоносное письмо попадает в почтовый ящик и сотрудник нажимает на ссылку, типичная реакция — обвинить этого человека в невнимательности. Но почему письмо вообще прошло? Почему почтовые фильтры его не остановили, песочница не изолировала, а системы обнаружения угроз не сработали? Когда эти технические средства защиты терпят неудачу, человек становится не «самым слабым звеном», а «последним рубежом обороны».

Основная проблема кроется в дизайне наших цифровых систем. Пользовательские интерфейсы часто бывают неясными, непоследовательными или излишне сложными. Предупреждения о безопасности написаны языком, понятным только IT-специалистам. Всплывающие окна предлагают бинарный выбор без каких-либо пояснений. Настройки по умолчанию ставят удобство выше безопасности или, что хуже, монетизацию личных данных выше приватности и защиты. Эти недостатки дизайна создают идеальный шторм. В современном мире от людей требуют принимать критически важные для безопасности решения, обладая минимумом информации, в то время как всё, чего они на самом деле хотят, — это заниматься своей непосредственной работой.

Что ещё хуже, как индустрия мы приучили людей игнорировать прерывания. Усталость от кликов — это реальность. После многих лет пролистывания баннеров о куках, обновлений программ и запросов на вход люди привыкают нажимать «разрешить», «принять» или «продолжить», не вчитываясь в детали. В этом контексте клик по фишинговой ссылке — это не провал здравого смысла, а предсказуемое следствие плохого дизайна и чрезмерной зависимости от бдительности пользователя, чем активно пользуются злоумышленники.

Дополнительную сложность создаёт наша излишняя уверенность в обучении. Многие организации запускают пару онлайн-модулей по повышению осведомлённости каждый год, обычно в октябре в рамках Месяца кибербезопасности, и полагают, что этого достаточно для подготовки сотрудников к меняющемуся ландшафту угроз. Но ожидать, что люди станут киберактивными благодаря нескольким общим видеороликам, крайне нереалистично. Мы же не учим людей ездить на велосипеде или водить машину, используя только электронные курсы, однако ожидаем, что офисные работники будут противостоять всё более изощрённым атакам, имея за плечами не более чем формальное упражнение по соблюдению требований, которое часто представляет собой лишь несколько минут видео и тест с выбором ответа.

Это указывает на более широкую проблему в нашем подходе к безопасности. Вместо того чтобы встраивать защиту в системы и процессы, мы слишком часто перекладываем эту ответственность и бремя на человека. Мы создаём инструменты, требующие от людей поведения экспертов, а затем виним их в случае неудачи. Это обратная модель. Если система настолько хрупка, что один ошибочный клик может обрушить всю сеть, то проблема не в человеке, а в системе.

Нам необходимо пересмотреть приоритеты. Безопасность не должна зависеть от безупречного поведения человека. Вместо этого она должна быть результатом грамотного проектирования, безопасных настроек по умолчанию и устойчивой инфраструктуры. Инструменты должны направлять к безопасным действиям, не требуя технических знаний. Угрозы должны выявляться и устраняться до того, как они достигнут пользователя. А когда что-то всё же пойдёт не так, реакцией должно быть улучшение системы, а не наказание человека.

Это означает, что мы должны требовать от наших технологий более высокого стандарта. Почему фишинговые письма всё ещё проходят? Почему критические предупреждения выглядят как обычные всплывающие окна? Почему от людей ожидают управления множеством сложных паролей, когда существуют более совершенные варианты аутентификации? Ответы на эти вопросы указывают на провал индустрии в расстановке приоритетов: удобство использования, ясность и надёжность остаются не на первом месте.

Для ясности: речь не идёт о полном отказе от программ повышения осведомлённости. Но осведомлённость должна быть лишь частью более широкой и продуманной стратегии. Она должна расширять возможности, а не вызывать чувство стыда. Она должна признавать, что ошибки неизбежны, и проектировать системы, достаточно устойчивые, чтобы их поглотить. Что критически важно, она должна рассматривать сотрудников как союзников, а не как козлов отпущения.

Если мы хотим лучших результатов, нам нужно перестать спрашивать, почему люди продолжают ошибаться, и начать спрашивать, почему созданные нами системы так легко позволяют потерпеть неудачу. Ответственность за безопасное поведение лежит не только на отдельном человеке. Она лежит на всём дизайне цифровой среды, в которой он работает. Пока мы не решим этот вопрос, никакое обучение или повышение осведомлённости не будет достаточным.