В современном цифровом мире вопросы информационной безопасности (ИБ) становятся всё более актуальными. Постоянные утечки данных, кибератаки и мошеннические схемы заставляют как государства, так и компании различного масштаба принимать меры для защиты информации. Однако часто эти меры вызывают негативные чувства у обычных пользователей. Причина в излишней "надоедливости" и "да кому мы нужны, чтобы у нас что-то украсть". Где проходит грань между разумным контролем и чрезмерным вмешательством?
Начнем с того, что любая система ИБ должна быть основана на классическом балансе между защитой данных и удобством их использования. В идеале, меры безопасности должны быть достаточно эффективными для предотвращения угроз, но при этом не создавать непреодолимых препятствий для правомерного доступа. На практике же этот баланс часто нарушается.
Один из самых ярких примеров "чрезмерного" подхода к ИБ в моей практике. Многие организации (в том числе та, в которой я в свое время трудился) требуют от сотрудников использовать сложные пароли с периодической заменой каждые 30-60 дней. При этом, длина пароля должна составлять минимум 8 символов, включая заглавные буквы, цифры и специальные символы. В теории это отличная и очень нужная практика, но в реальности она приводит к тому, что люди начинают записывать пароли на бумажках или использовать одни и те же комбинации с незначительными изменениями. А что еще хуже - бумажки оставлять под клавиатурами или прикрепляют к мониторам. Получается интересный казус - информационная безопасность заботясь о безопасности самостоятельно уменьшает безопасность.
Другой распространенный случай – это двухфакторная аутентификация (2FA). Хотя 2FA действительно повышает безопасность, её избыточное применение может создавать серьёзные неудобства. Например, некоторые банки требуют подтверждения каждого действия через SMS или мобильное приложение, даже если клиент совершает операцию с привязанного устройства. Мне это часто напоминают старую "добрую" Windows NT 4.0, которая почти после каждого движения "мышки" требовала перезагрузки. Бесила ужасно!
Особенно остро вопрос стоит в сфере соблюдения №152-ФЗ. Для его соблюдения вводят строгие требования к хранению и обработке информации. С одной стороны, это защищает граждан от несанкционированного использования их данных. С другой – создаёт множество бюрократических барьеров для бизнеса и усложняет жизнь рядовым пользователям. А с третьей - позволяет наживаться несознательным гражданам на его неверном толковании и отчасти - шантаже.
Примером крайнего проявления может служить китайская система социального кредитования. Она собирает огромные массивы данных о гражданах и использует их для оценки надёжности человека. Подобный подход вызывает серьёзные опасения относительно конфиденциальности и возможного злоупотребления информацией. Но, это в Китае. Наверное, стоит добавить - "пока".
Тем не менее, нельзя отрицать важность мер ИБ. Каждый день происходит множество кибератак, которые могут привести к серьёзным последствиям – от финансовых потерь до компрометации личных данных. По данным экспертов, только в 2022 году количество кибератак выросло на 30% по сравнению с предыдущим годом.
Существует несколько способов найти "золотую середину" между безопасностью и удобством:
1. Адаптивный подход к защите, учитывающий уровень риска и удобство работы сотрудников. Использовать не просто "надо", "ИБ против" или "BestPractices", а грамотный, адаптивный и даже - человеческий подход.
2. Обучение пользователей правилам безопасного обращения с информацией и использованию защитных механизмов. И не просто обучение, а постоянная работа с пользователям, постоянное использование "обратной связи".
3. Регулярная оценка эффективности существующих мер ИБ, в том числе, с точки зрения удобства работы пользователей.
Сотрудникам ИБ всегда важно помнить. Человеческий фактор - почти всегда угроза безопасности и это правда. Но человеческий ресурс - ключевой момент в работе любой организации. Пока ни одна организация не сможет работать без человека. А значит, он, человек, продолжает оставаться одновременно и угрозой, и самым ценным ресурсом любой компании.