Свежие законы, ужесточившие наказание за утечки персональных данных, могут увеличить риск новых киберинцидентов. Причина такого парадоксального вывода в том, что главная причина утечек — небезопасные действия или бездействие сотрудников компаний. Людей. В том числе тех, кого оштрафуют на серьёзную сумму, если очередная кибератака окажется успешной. Угроза наказания создаёт мощную волну стресса, который крайне негативно влияет на способность сотрудников совершать правильные действия в критической ситуации.
Давайте внимательнее рассмотрим проблемы, цепочка которых привела к такому неожиданному результату, и выясним, как действовать, чтобы защитить компанию.
Проблема № 1. Киберинцидентов становится больше, несмотря на попытки их предотвратить
Не хочется создавать панические настроения, однако цифры говорят сами за себя. На конференции «Антифрод Россия 2024» представитель СК РФ сообщил, что за три квартала 2024 года совершено на 15,3% больше преступлений с использованием ИКТ, чем в 2023 году. Если брать ситуацию по отдельным отраслям, всё ещё печальнее. Например, по данным «Нейроинформ», число хакерских атак на логистические компании в 2024 году увеличилось на треть.
Проблема № 2. Последствия инцидентов становятся всё более масштабными
Операторы персональных данных обязаны выполнять требования закона, то есть защищать собранную информацию, однако у киберпреступников таких обязательств нет, поэтому сообщения о появлении в публичном доступе очередной базы утечек появляются с пугающей регулярностью. По словам главы «Ростелекома» Михаила Осеевского, персональные данные каждого россиянина уже опубликованы в сети. А эксперты InfoWatch выяснили, что «за первые шесть месяцев 2024 года в России зафиксирован антирекорд по утечкам персональных данных — скомпрометировано почти 1 млрд записей, на 33,8% больше, чем в первом полугодии 2023 года».
Самое неприятное, что данные из утечек не просто лежат в публичном доступе в ожидании, пока кто-нибудь их скачает. Хакеры и спецслужбы из недружественных стран агрегируют базы из различных утечек по номерам телефонов, ИНН, СНИЛС и другим ключевым полям, создавая сайты, где по номеру телефона можно выяснить всю подноготную любого жителя России от дня рождения, номера паспорта и накопленных бонусных баллов «спасибо» до банковских карт и даже остатков по счетам, пусть и не самых актуальных.
Проблема № 3. Ужесточение законодательства
Критическую ситуацию с утечками и другими киберинцидентами пытаются исправить на законодательном уровне. Например, 25 июля 2024 года вступил в силу закон 161-ФЗ, который обязывает банки приостанавливать подозрительные переводы и передавать в базу ЦБ данные скомпрометированных счетов.
Помогла ли эта мера сократить количество подозрительных переводов? Безусловно. Если говорить именно о краже денег с помощью банковских переводов.
Вот только мошенники, для защиты от которых и был принят закон, по-прежнему при деньгах. Они просто модифицировали схему, добавив в неё невольного «дропа» — случайного человека, которому «по ошибке» прислали деньги, собранные «маме на операцию». И ему просто нужно переслать их по правильному телефону, чтобы исправить досадную оплошность отправителя. Количество таких «ошибок» в 2024 году выросло на 20%.
Ещё один вариант обхода ограничений на переводы — переход на наличные. В этом случае деньги для перевода «на безопасный счёт» передаются курьеру. Например, студентка РАНХиГС слетала из Москвы в Нижневартовск, чтобы забрать 950 тыс. рублей из сейфа и отдать «спасителям». А московская пенсионерка лишилась почти 150 млн рублей, причём часть она перевела на указанный счёт, а часть отдала наличными курьеру.
Получается, что новый закон всего лишь вынудил мошенников действовать иначе. Но при этом вместе с мошенниками под блокировку счетов попали добропорядочные граждане, не замешанные ни в каких кибераферах.
30 ноября 2024 года были подписаны ещё два закона, ужесточающие административную и уголовную ответственность за нарушение обработки и защиты ПДн. Теперь штрафы для граждан, должностных и юридических лиц, допустивших утечку, исчисляются сотнями тысяч или даже миллионами рублей в зависимости от количества попавших в публичный доступ записей данных. А за незаконное использование ПДн могут назначить как штраф, так и тюремное заключение.
Что происходит в компаниях
Давайте взглянем на новую систему наказаний глазами руководителей компаний и ИБ-подразделений. Ведь это им грозят штрафы за киберинциденты с утечкой данных. Какие действия они должны предпринять?
Посмотрим правде в глаза. Запреты есть? Есть, да столько, что не сосчитать. Наказания есть? Ещё какие, с учётом свежих законов. А где рекомендации по организации защиты? Не абстрактные, а конкретные. Такие, которые реально сработают?
Компании остались один на один с киберпреступниками. Им приходится противостоять различным кибергруппировкам и даже целым киберармиям. Единого киберфронта нет. Есть островки благополучия, но в основном каждый за себя. Защищается как может, как умеет. Или покупает услугу по защите и надеется, что это сработает. Если бюджет позволяет.
А потом на очередной конференции CISO напоминают, что основная причина инцидентов — люди. Железки и услуги защищают лишь частично. Но люди спят и видят, как эту защиту нарушить или даже разрушить. С благими намерениями, если речь о «своих» сотрудниках.
Что остаётся делать CISO?
Поделиться своим стрессом с коллегами. То есть взять на вооружение методы законодателей и организовать жестокие наказания для всех нарушителей правил безопасности. Использовать управление через стресс для быстрого наведения порядка.
Обучение — это долго. Тренировки — ещё и дорого. А вот организовать для сотрудников пачку распоряжений с запретами и ознакомить под подпись — быстро и эффективно. С точки зрения поиска виновного. Но защитить от успешной кибератаки не только не поможет, а совсем наоборот. Следите за руками.
Сотрудник ознакомился со страшными карами за нарушения процедур безопасности. Теперь он боится сделать что-то не так. Вряд ли ему удалось запомнить все запреты, перечисленные в приложении к приказу. Из-за этого он боится ещё сильнее. И тут приходит письмо «от ИБ-руководителя» с указанием срочно скачать и установить обновление безопасности. Или проверить свой пароль на специальном ресурсе по ссылке. Или выполнить что-то ещё очень срочное и важное.
Что сделает сотрудник? Задаст вопрос в ответном письме? Вряд ли. Ведь он боится наказания. Поэтому он спешно скачивает и устанавливает «обновление», чтобы не лишиться премии. Потому что стресс. Критическое мышление отключено. Режим выживания подавил осознанность. Сотрудник совершил небезопасное действие.
В результате бэкдор открывает хакерам доступ в сеть. Бойцы очередной кибергруппировки крадут данные, шифруют документы и требуют выкуп. Или молча добавляют похищенную актуалочку на один из заблокированных Роскомнадзором агрегаторов утечек.
Об утечке становится известно регулятору. Организация и руководители получают штрафы. Угроза сурового наказания не помогла защитить компанию.
Кстати, это в РФ агрегаторы утечек заблокированы. А для телефонных мошенников с территории сопредельных государств всё в свободном доступе. И они пользуются этим, чтобы грабить всё ещё слишком доверчивых россиян. Несмотря на все блокировки, запреты подмены номеров и прочие не слишком эффективные попытки защитить людей.
Стресс как быстрое решение
Подведём промежуточный итог сказанному. Руководители компаний и ИБ-подразделений выбирают менеджмент через стресс не просто так. Высокие штрафы за утечки данных и несоблюдение нормативов создают стресс, ведь крупный штраф — это убытки для компании или даже угроза её существованию. Стремясь предотвратить финансовые потери, менеджеры усиливают контроль и давление на сотрудников.
Кроме финансовых последствий, существуют ещё и репутационные риски. Утечки подрывают доверие клиентов и могут привести к их потере, а негативные публикации в СМИ и соцсетях снижают конкурентоспособность компании.
Даже незначительные ошибки могут иметь серьёзные последствия, и это усиливает напряжённость. Стремясь создать идеальную защиту, команда безопасности будет постоянно усиливать контроль над сотрудниками, увеличивая напряжённость.
Последствия стресса
Высокий уровень стресса ведёт к эмоциональному и физическому истощению сотрудников, к их профессиональному выгоранию. Их эффективность снижается, ведь постоянное напряжение снижает концентрацию и продуктивность. Ещё одно печальное последствие — самые квалифицированные кадры покидают компанию, не выдерживая давления.
В результате уровень безопасности организации снижается, поскольку переутомлённые сотрудники в состоянии стресса допускают больше ошибок. Растут затраты на поиск и обучение новых сотрудников, а также на ликвидацию последствий кибератак. Моральный дух в команде снижается, сотрудничество и коммуникации между подразделениями затруднены.
Люди как люди
Стремление как можно больше запретить и жёстко наказывать за нарушение запретов характерно для компаний, в которых считают, что
Если исходить из такой парадигмы, действительно, описанная выше система «издать приказ — ознакомить — наказать нарушителя» кажется единственным вариантом защиты. Поддерживать постоянный стресс, устраивать показательные порки, чтобы даже мысли не возникло сделать что-то не так. Но наш многолетний опыт работы в сфере ИБ говорит о другом.
Атмосфера нервозности и стресс значительно увеличивают вероятность ошибки. Конструктивная коммуникация в такой обстановке невозможна. Сотрудники боятся задавать вопросы, и это становится критической проблемой. Потому что все технические возможности совершить инцидент заблокировать невозможно. Всегда будут сотрудники с большими полномочиями, как бы команда безопасности ни боролась с этим. Люди всегда найдут способ передать свой пароль хакеру или сделать что-то ещё очень простое, нужное атакующему, так, что за этим не получится уследить. А всего один вовремя заданный вопрос предотвратил бы инцидент.
Люди будут действовать так, как им проще и понятнее. Так, как принято в их командах. Они будут пытаться выполнить свою работу, и если какие-то правила безопасности в этом мешают, будут их нарушать. Молча, не задавая вопросов.
Люди выбирают то, что соответствует их убеждениям. Если они во что-то не верят или не считают важным, они не будут это делать, даже если знают или умеют действовать иначе.
Любых, даже самых хороших курсов по повышению осведомлённости недостаточно, чтобы люди начали вести себя безопасно. Нужны навыки, которые человек умеет применять на практике, а ещё убеждения — вера в то, что будет способствовать правильному и безопасному поведению.
А ещё очень важно, чтобы команды безопасности понимали, как будут себя вести их коллеги, пытаясь выполнить свои служебные обязанности. И насколько им легко или сложно работать с учётом правил безопасности.
Что делать?
Развивать киберкультуру. То есть повышать осведомлённость людей в сфере информационной безопасности, тренировать навыки безопасного поведения и формировать правильные убеждения. Цель этих мероприятий — развитие коммуникаций между командой безопасности и остальными членами коллектива, выработка понимания, что безопасность — это не что-то абстрактное, чем занимаются за закрытой дверью специалисты по ИБ, а обязанность каждого сотрудника. И это важно не только потому, что могут наказать, но и потому, что от безопасности зависит благополучие компании и людей, которые в ней работают.
Крайне желательно, чтобы люди в компании видели в членах команды безопасности не надсмотрщиков, а коллег, которые готовы помочь в неясных ситуациях, объяснить сложные моменты, научить действовать правильно.
В этом случае не придётся рассматривать валерьянку или другие успокоительные в качестве обязательного компонента защитного комплекса. Потому что человеческий файрвол будет устойчиво работать вместе с аппаратными средствами безопасности, не давая сбоев в стрессовых ситуациях.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)