Информационная безопасность: от повышения осведомленности – к формированию культуры кибербезопасности

Статья показывает важность постепенного перехода от традиционной стратегии работы с сотрудниками организации, основанной на повышении осведомленности об информационной безопасности (ИБ), – к стратегии формирования и развития культуры их кибербезопасности.  Повышение осведомленности сотрудников об ИБ в сегодняшних условиях стремительной динамики угроз утрачивает необходимую результативность. Автор обосновывает необходимость сделать акцент на культуре кибербезопасности, предполагающей не только повышение знаний (осведомленности) об ИБ, но и установление в организации адекватных норм и ценностей, которые должны проявляться в повседневном поведении сотрудников при использовании ими информационных технологий. Это позволит предотвращать инциденты ИБ по вине внутренних нарушителей более эффективно.

Согласно аналитическим исследованиям, в 2023 году в России произошло снижение выявляемых утечек данных по вине персонала, по сравнению с 2022 годом. В наибольшей степени это связанно с проведением обучающих мероприятий по ИБ и информационной гигиене, внедрением систем защиты от вторжений, DLP-систем.

Однако успокаиваться рано. Опрошенные специалисты в области ИБ и ИТ к наиболее опасным по-прежнему относят угрозы, связанные с внутренними нарушителями.  Дело в том, что все чаще происходит объединение внутренних и внешних нарушителей, противоборство в киберпространстве стало неотъемлемой частью всех военных конфликтов. Помимо роста количества утечек информации, в 2024 году респонденты ожидают увеличения количества фишинговых атак, компрометации деловой переписки, попыток взлома ИТ-периметра компании и атаки с помощью программ-вымогателей. Одна из главных проблем – это мошенничество со стороны третьих лиц в отношении клиентов их компаний.

Готовы ли сегодня российские организации к этим вызовам? К сожалению, опасность внутренних нарушителей не снижается, а только усиливается из-за недооценки многими организациями регулярной актуализации моделей угроз, дефицита финансовых и кадровых ресурсов, отсутствия поддержки зарубежного ПО и рисков форсированного импортозамещения в области ИБ.

С помощью традиционных программ повышения осведомленности об основах ИБ с этими вызовами, безусловно, не справиться. И это несмотря на то, что организации и в России, и за рубежом вкладывают значительные средства в разработку и реализацию программ повышения ИБ-осведомленности для сотрудников. Для этой цели проводятся онлайн-тренинги по информационной безопасности, групповые встречи, общение по электронной почте и семинары и др. Однако это не дает ожидаемых результатов. Многие сотрудники считают посещение этих мероприятий дополнительной нагрузкой, рассматривают их как препятствия для обычной работы.

Какую же стратегию деятельности с сотрудниками как потенциальными внутренними нарушителями ИБ выбрать организации?

Согласно классической теории стратегического менеджмента, стратегия – это совокупность всех действий управляющих, способствующих достижению целей организации.  Выделяют оборонительные и наступательные стратегии организации, отличающиеся своими целями и средствами реализации. В нашем случае оборонительная стратегия обеспечения ИБ, связанной с персоналом, - это повышение его осведомленности. Наступательная стратегия обеспечения ИБ, связанной с персоналом, – формирование и развитие культуры его кибербезопасности. Культура кибербезопасности предполагает не только повышение знаний (осведомленности) об ИБ, но и установление в организации адекватных норм и ценностей, которые должны проявляться в повседневном поведении сотрудников при использовании ими информационных технологий.

Оборонительная (защитная) стратегия. Цель оборонительной стратегии организации – снижение рисков быть атакованной по вине внутренних пользователей, возможность пережить их преднамеренные и непреднамеренные атаки на информационные системы с минимальными потерями для организации. Минимизация человеческих рисков ИБ с помощью повышения осведомленности сотрудников об ИБ – это начальная ступень, предпосылка формирования культуры кибербезопасности (ККБ) организации. Достижение ее более высокого уровня возможно исключительно в результате реализации наступательной стратегии.

Наступательная (развивающая) стратегия. Цель наступательной стратегии – получение и развитие конкурентных преимуществ организации за счет развития человеческого, интеллектуального и культурного капиталов каждого сотрудника в отдельности и организации в целом, что является профилактикой реализации человеческих рисков ИБ.

Цели стратегий. В криминологии профилактика является самым ранним, начальным этапом предупредительной деятельности, направленной на недопущение правонарушения. По мнению экспертов, под профилактикой следует понимать процесс выявления, устранения причин и условий, способствующих совершению правонарушений, а под предупреждением - недопущение уже замышляемых и подготавливаемых противоправных деяний. Поэтому предупреждение может быть квалифицировано как защитная мера, а профилактика – как развивающая.

Впервые термин «профилактика» был нормативно закреплен в ст. 2 Федерального закона от 23 июня 2016 г. N 182-ФЗ «Об основах системы профилактики правонарушений в Российской Федерации», согласно которой «профилактика правонарушений - это совокупность мер социального, правового, организационного, информационного и иного характера, направленных на выявление и устранение причин и условий, способствующих совершению правонарушений, а также на оказание воспитательного воздействия на лиц в целях недопущения совершения правонарушений или антиобщественного поведения».

Самостоятельную разновидность профилактики правонарушений образует виктимологическая профилактика, под которой понимают «целенаправленное специализированное воздействие на лиц с неправомерным или аморальным поведением, а также на факторы, обусловливающие виктимность, связанную с подобным поведением. В равной мере ее объектом являются факторы и лица, положительное поведение которых, тем не менее, виктимоопасно для них». Основная задача виктимологической профилактики состоит в создании системы эффективной защиты человека от потенциальной виктимизации. Именно в этом заключена суть развивающей стратегии: создании системы эффективной защиты сотрудников организации от потенциальной виктимизации, которая может стать угрозой для защищаемой информации.

Объекты воздействий стратегий. Объектами воздействий в рамках защитной стратегии являются причины и условия совершения правонарушений, а также поведение лиц, потенциально способных совершить или уже совершивших правонарушение. Объекты воздействий в рамках развивающей стратегии - факторы, влияющие на формирование и развитие личности. Поэтому недостаток защитной стратегии заключается в том, что каждый сотрудник организации рассматривается потенциальным нарушителем безотносительно к его личностным качествам. Достоинство развивающей стратегии – в определении возможностей личностной самореализации каждого сотрудника с целью его защиты от попадания в число нарушителей.

Средства реализации стратегий. Разные цели стратегий и объекты воздействия определяют специфичность средств их реализации.

В ходе планирования в организации, выбравшей защитную стратегию, учитываются субъективные, внутриорганизационные факторы: внутреннее состояние, стадия жизненного цикла организации, уровень общей организационной культуры, наличие действующей системы защиты конфиденциальной информации в организации. От этого зависит стратегический план работы с персоналом, т.е. какие управленческие мероприятия будут проводиться: разработка и реализация политик управления рисками, инцидентами ИБ, изменениями, персоналом, осведомленностью, обучением и др.

Именно на защитную стратегию профилактики правонарушений нацелен Федеральный закон от 23 июня 2016 г. N 182-ФЗ «Об основах системы профилактики правонарушений в Российской Федерации». Согласно ст.6 закона, реализация профилактики правонарушений осуществляется посредством:

• выявления, оценки и прогнозирования криминогенных факторов социального характера;
• правового регулирования профилактики правонарушений;
• разработки специальных программ в сфере профилактики правонарушений;
• выявления и устранения причин и условий, способствующих антиобщественному поведению и совершению правонарушений;
• выявления лиц, склонных к совершению правонарушений;
• проведения мониторинга в сфере профилактики правонарушений и др.

Российские стандарты по управлению компьютерными инцидентами, принятые в 2022 году,  содержат подобные рекомендации. Этап «Организация деятельности по управлению компьютерными инцидентами» ограничен такими мероприятиями, связанными с сотрудниками организации, как организация обучения и информирования в части управления компьютерными инцидентами и проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты. По сути, стандарты декларируют традиционное повышение   ИБ-осведомленности, что, безусловно, является первоочередной и очень актуальной темой.

Между тем, огромное значение имеет степень взаимного доверия, лояльности (приверженности) сотрудников к организации, их вовлеченности в реализацию ИБ-стратегии предприятия, степень гармонизации потребностей работодателя (в обеспечении ИБ организации) и сотрудников (в самореализации и саморазвитии). Это существенно повышает шансы на успех обеспечения ИБ. Высокий уровень лояльности сотрудника к организации предполагает, что он идентифицирует себя с ней, представляет себя и организацию как единое целое, отождествляет себя с ее культурой и способен реализовать все свои личностные характеристики в информационном поведении в процессе профессиональной деятельности. В результате развивается и сотрудник, и организация, что является главным профилактическим средством обеспечения ИБ.

Зарубежные эксперты пришли к выводу о том, что погружение в общие цели организации значительно повышают стремление и готовность сотрудников участвовать в соблюдении требований информационной безопасности, приводит к повышению уровня производительности труда, а также повышает этическое и ответственное поведение. Вовлеченность в работу организации позволяет человеку увидеть свое отражение в цели и почувствовать свои усилия в ее существовании. Согласно исследованиям, когда люди погружаются в определенную деятельность, они по своей природе мотивированы активно участвовать в этой деятельности и одновременно испытывают сильное чувство контроля над окружающей средой. Поэтому сотрудники с сильной психологической причастностью к организации не склонны демонстрировать такое поведение, как кража, повреждение имущества организации, преднамеренные ошибки в работе или кибер-бездействие.

Использование внутренней мотивации, присущее развивающей стратегии, как правило, более эффективно, чем строгое принуждение сотрудников к обучению. Поэтому переход предприятия от защитной к развивающей стратегии обеспечения ИБ, связанной с сотрудниками, позволяющей активировать их мотивацию, запустить механизм их самореализации и развития в ходе участия в управлении ИБ, - это закономерность развития управления человеческими рисками ИБ предприятия. Поэтому столь важно дополнять повышение осведомленности об ИБ мероприятиями, связанные с развитием организации и ее сотрудников:

• изучение их личностных качеств и ценностей, потребностей и установок, эмоционального состояния;
• постоянное развитие их знаний о кибербезопасности;
• контроль за соблюдением правил кибербезопасного поведения.

Постепенный переход от традиционной стратегии работы с сотрудниками организации, основанной на повышении осведомленности об ИБ, к стратегии формирования и развития культуры их кибербезопасности - это неизбежная траектория деятельности организации в современных условиях.

Выводы:

1. Как бы стремительно ни развивались технологии и средства защиты информации, защищаемая информационная система остается уязвимой, если остается без внимания ее внутренний пользователь – сотрудник организации. Это самое слабое звено в цепи кибербезопасности.
2. В условиях современной социально-политической ситуации стремительно меняется ландшафт внутренних угроз ИБ, что требует регулярного обновления моделей угроз организации.
3. Традиционная практика повышения ИБ-осведомленности сотрудников имеет ограниченный эффект, сама по себе не обеспечивает достаточной защиты от постоянно развивающихся кибератак, требуется искать новые пути.
4. Обоснованы две стратегии управления человеческими рисками информационной безопасности организации: оборонительная (защитная) и наступательная (развивающая).
5. Стратегии имеют специфические особенности целей, объектов и средств реализации.

• Повышение ИБ-осведомленности сотрудников (защитная стратегия) нацелена на минимизацию рисков ИБ, направлена на сотрудников как на потенциальных нарушителей и реализуется преимущественно посредством мер принудительного информирования об ИБ.
• Формирование и развитие культуры кибербезопасности (развивающая стратегия) затрагивает не только знания об ИБ, но и нормы и ценности кибербезопасного поведения сотрудника. Эта стратегия имеет целью создание системы снижения рисков потенциальной виктимизации сотрудников, направлена не только на повышение их осведомленности об ИБ, но и на развитие факторов их личностного развития. Она реализуется с помощью сотрудничества работодателя и сотрудников, усиления их вовлеченности в производственно-управленческие процессы.

1. Современный императив – это постепенный переход к стратегии формирования и развития культуры кибербезопасности, несмотря на ресурсный дефицит в условиях использования киберпространства и человеческих уязвимостей в качестве важнейших средств военного противоборства. Состояние организации зависит от общих убеждений, ценностей и действий ее сотрудников, и это включает их отношение к кибербезопасности.
2. В случае невозможности самостоятельной разработки и внедрения системы повышения осведомленности сотрудников организации и ее культуры кибербезопасности предлагаем обратиться в ООО «Институт МОИБ».

Астахова Л.В., д.п.н., профессор, заместитель директора по методической и научной работе ООО «Институт МОИБ»