Инциденты в области безопасности, которые ставят под угрозу конфиденциальность информации, многочисленны и в настоящее время достигли рекордного уровня. Например, IBM X-Force отследила более 600 миллионов утечек документов в 2015 году и более четырех миллиардов в 2016 году. К другим недавно сообщенным нарушениям относятся Yahoo, LinkedIn, Last.fm, Equifax и Marriott . Такие события стоили организациям и странам больших денег, угрожали критически важным объектам инфраструктуры и нарушали жизнь людей. Многие организации пытаются найти лучшие способы предотвращения инцидентов и остановить, казалось бы, беспрепятственный уровень успеха хакеров.
Построение мета-видеологии кибербезопасности и постановка под сомнение лежащих в ее основе предположений могут помочь сформировать новые и полезные представления, которые могут привести по более эффективным направлениям в плане повышения кибербезопасности.
Социально-технические системы, которые, по сути, являются киберсистемами, состоят из множества взаимосвязанных компонентов, включая человеческие субъекты, технологии и процессы. На уровне компонентов вступают в действие такие дополнительные факторы, как практика управления, организационная иерархия и взаимодействие между компонентами. Все они также подвержены влиянию внешних условий и законодательных ограничений.
Исследования в области кибербезопасности
Проведенное в 2018 г. исследование проанализировало публикации десятилетия на крупных конференциях по безопасности, ориентированных на человека, с точки зрения того, были ли они сосредоточены на личности, на социальных аспектах безопасности, ориентированной на человека, или на их большей роли в социально-технической системе. Исследователи обнаружили, что большинство докладов фокусируется на личности, при этом очень небольшое количество фокусируется на социальных аспектах или на более широкой картине. Основное внимание уделялось слою взаимодействия человека и компьютера, т.е. роли отдельного человека в кибербезопасности.
По мнению Wood and Banks, человеческий фактор является наиболее частой причиной неблагоприятных инцидентов и серьезной угрозой для жизнеспособности компьютерных систем и, следовательно, для индустриального мира в целом. Некоторые говорят, что среднему пользователю компьютера просто не хватает знаний и осведомленности по вопросам кибербезопасности.
Другие исследователи утверждают, что недостаток знаний не является основной проблемой, а скорее, что пользователей не волнуют возможные последствия, что они не мотивированы брать на себя ответственность или просто ленивы. Небезопасное поведение, ошибки и использование механизмов преодоления также объясняются несоответствием между дизайном системы и познанием человека.
Исследователи в относительно молодой области полезной безопасности сосредоточились на повышении удобства использования и поиске решений для проектирования. Например, в своей основополагающей работе Whitten and Tygar, определили проблемы удобства использования в качестве основной причины того, что пользователи не могут шифровать электронную почту.
Исследователи также изучали поведение других людей в социально-технической системе, включая киберпреступников. Примерно через 16 лет после того, как Wood and Banks выразила обеспокоенность по поводу пользователей компьютеров, 67% всех проанализированных инцидентов были вызваны человеческой ошибкой, что является значительным предвестником нарушения конфиденциальности в американских фирмах. Это подтверждает, что в настоящее время действительно проводятся исследования по многим индивидуальным кибер проблемам.
Проблемы, выявленные правительством
Многие правительства опубликовали политику в области стратегии кибербезопасности, в основном в кодировке того, что говорит правительство и что оно планирует делать. Те, кто разрабатывает и пишет эти политики, делают это, основываясь на их неявном понимании проблемы, для решения которой разработана политика, независимо от того, сформулирована ли в них концепция четко или нет.
Сравнили девятнадцать национальных стратегий кибербезопасности в 2017 году. Их анализ основывался на предположении о наличии общей глобальной совокупности угроз и был сосредоточен на различиях в целях и стратегиях, сформулированных правительствами для борьбы с этими угрозами.
Ряд организаций публикуют списки Глобального индекса кибербезопасности, но они отличаются тем, на чем основан этот индекс, и страны занимают в них разные позиции. Было решено сосредоточиться на политике кибербезопасности, опубликованной странами Австралии, Канады, Великобритании, США и Новой Зеландии. Это можно считать самым полным и всеобъемлющим альянсом разведывательных служб в мире.
Процесс решения проблемы
Выявленные проблемы:
- недостаточные кибер знания,
- осведомленность и навыки,
- отсутствие соответствия,
- отсутствие отчетности,
- вредоносная деятельность сотрудников внутри организации.
Организации, не желающие брать на себя или разделять ответственность, и недостатки в соблюдении передовых методов обеспечения безопасности, находятся на стыке организационных процессов и технологий. Это касается деятельности киберпреступников и уязвимостей программного обеспечения, поскольку уязвимости программного обеспечения упущены из виду или не исправлены разработчиками программного обеспечения, взаимодействующими с технологиями, и используются киберпреступниками.
Таким образом, эти проблемы вновь косвенно затрагивают человека. Некоторые проблемы на индивидуальном уровне находят отражение на общественном или правительственном уровне, например, недостаток индивидуальных кибербезопасности отражается в общем дефиците специалистов по кибербезопасности, недостатке целевых исследований и недостатке местных инноваций.
Проблемы выявления преступной деятельности и реагирования на инциденты находятся на стыке управления и технологий. В организациях первоначальное обнаружение и обработка аномальной или вредоносной деятельности в значительной степени зависит от технологических мер, таких как брандмауэры или системы обнаружения вторжений, предупреждающие операторов и направляющие информацию для дальнейшей обработки.
Почти все выявленные проблемы в области кибербезопасности, тем или иным образом затрагивают различных субъектов деятельности человека. Например, разработчиков программного обеспечения, которые создают и поддерживают технологии, связанные с безопасностью, лиц, ответственных за принятие законов и стандартов, а также сотрудников и конечных пользователей, использующих эти технологии для достижения других целей, связанных с работой или личной жизнью.
Участники гуманитарной деятельности используют устаревшие технологии, игнорируют уязвимость программного обеспечения, впадают в фишинг, не следуют политике безопасности и не делят ответственность. Вывод заключается в том, что человек рассматривается в качестве основной угрозы безопасности и, следовательно, проблемы, требующей решения.
