Если вас когда-нибудь озадачивали инструкции по обеспечению компьютерной безопасности на вашем рабочем месте, то вы не одиноки. Недавнее исследование указывает на фундаментальную проблему, связанную с разработкой этих инструкций, и предлагает простые меры по их совершенствованию, что, вероятно, приведет к повышению уровня компьютерной безопасности.
Проблема связана с протоколами компьютерной безопасности, которые выдают своим сотрудникам учреждения, в том числе предприятия и государственные органы. Эти протоколы призваны помочь сотрудникам защитить личные и организационные данные от таких опасностей, как вредоносные программы и фишинговые атаки.
"Как исследователь в области компьютерной безопасности я заметил, что некоторые советы по компьютерной безопасности, которые я читаю в Интернете, являются запутанными, вводящими в заблуждение или просто неверными", - говорит Брэд Ривз, автор нового исследования и доцент кафедры компьютерных наук Университета штата Северная Каролина. В некоторых случаях я не знаю, откуда исходят эти советы и на чем они основаны". Это и послужило толчком к проведению данного исследования. Кто пишет эти рекомендации? На чем они основывают свои рекомендации? Каков их процесс? Можем ли мы сделать что-то лучше?".
В рамках исследования ученые провели 21 углубленное интервью со специалистами, отвечающими за составление рекомендаций по компьютерной безопасности в таких организациях, как крупные корпорации, университеты и государственные учреждения.
"Главный вывод состоит в том, что люди, пишущие эти руководства, стараются дать как можно больше информации", - говорит Ривз. "Теоретически это замечательно. Но авторы не расставляют приоритеты между наиболее важными советами. Или, если говорить точнее, они не расставляют приоритеты между теми пунктами, которые имеют значительно меньшее значение. А поскольку советов по безопасности так много, руководство может оказаться перегруженным, и наиболее важные моменты теряются в общей суматохе".
Исследователи пришли к выводу, что одной из причин, по которой рекомендации по безопасности могут быть настолько перегруженными, является то, что авторы рекомендаций стремятся включить в них все возможные сведения из широкого круга авторитетных источников.
"Другими словами, авторы руководств занимаются компиляцией информации по безопасности, а не ее отбором для своих читателей", - говорит Ривз.
Опираясь на результаты интервью, исследователи разработали две рекомендации по совершенствованию будущих руководств по безопасности.
Во-первых, составителям рекомендаций необходим четкий набор лучших практик по сбору информации, чтобы рекомендации по безопасности рассказывали пользователям как о том, что им необходимо знать, так и о том, как расставить приоритеты в этой информации.
Во-вторых, писателям - и сообществу специалистов по компьютерной безопасности в целом - необходимы ключевые сообщения, которые будут понятны аудитории с разным уровнем технической подготовки.
"Послушайте, компьютерная безопасность - это сложно", - говорит Ривз. Но медицина еще сложнее". Тем не менее, во время пандемии эксперты в области общественного здравоохранения смогли дать населению достаточно простые и четкие рекомендации по снижению риска заражения COVID. Мы должны быть в состоянии сделать то же самое в области компьютерной безопасности".
В итоге исследователи пришли к выводу, что авторам советов по безопасности нужна помощь.
"Нам нужны исследования, рекомендации и сообщества практиков, которые могли бы поддержать этих авторов, поскольку они играют ключевую роль в превращении открытий в области компьютерной безопасности в практические советы для применения в реальном мире", - говорит Ривз.
"Я также хочу подчеркнуть, что при возникновении инцидента, связанного с компьютерной безопасностью, мы не должны обвинять сотрудника в том, что он не выполнил одно из тысячи правил безопасности, которые мы от него ожидали. Мы должны лучше работать над созданием инструкций, которые легко понять и выполнить".
Источник : SciTechDaily