Заметки на полях с Positive Hack Days: лень, невнимательность и самоуверенность – питательная среда для рисков ИБ
Чем больше слушаешь выступления экспертов по темам, связанным с информационной безопасностью, тем чаще приходишь к выводу, что это – не о технологиях, а о человеческих качествах и личностных характеристиках.
Чем больше слушаешь выступления экспертов по темам, связанным с информационной безопасностью, тем чаще приходишь к выводу, что это – не о технологиях, а о человеческих качествах и личностных характеристиках.
Например, сегодня в рамках тематической сессии «Информационная безопасность и личность», которую провел глава Group-IB Илья Сачков, выяснилось, что подавляющее количество инцидентов в сфере ИБ являются не следствием чьего-либо злого умысла, а следствием лени и невнимательности пользователей. И даже зачастую следствием их завышенной самооценки, то есть старого известного принципа «это со всеми остальными может случиться, но не со мной, потому что я – это я».
Бороться с человеческой природой бессмысленно, коль скоро люди на протяжении веков остаются беспечными и излишне самоуверенными. При этом можно отметить одну интересную особенность: чем меньше они способны влиять на происходящее, тем больше они уверены в том, что происходящее не будет иметь для них негативных последствий. Как писал еще великий немецкий поэт Гёте, «мир, человек и Бог – так ли это сложно? Нет, но человек не хочет слушать, и тайна остается темна». Примерно то же самое можно сказать, заменив слово Бог на словосочетание «информационная безопасность».
И тут, раз уж вопрос, кто виноват, или, точнее, какие человеческие качества виноваты, возникает следующий вопрос – что делать? Образовательные программы, подробные репортажи по телевидению о том, как кто-то из-за собственной беспечности лишился денег или стал жертвой шантажа со стороны мошенников, похитивших критически важную личную информацию – это, конечно, хорошо, но это производит на людей лишь краткосрочное воздействие. Государство – и об этом много говорилось в первый день форума, конечно, может и, наверное, даже должно создать некую универсальную и национальную систему безопасности. Но надо же понимать, что эта система будет призвана противодействовать общим угрозам, а не рискам, порожденным нашей ленью и невнимательностью.
Получается, спасение утопающих – дело рук самих утопающих. Выскажу крамольную мысль: чтобы наступил перелом в сознании пользователей электронных средств, необходимо, чтобы количество инцидентов достигло, если не критического, то впечатляющего уровня. Пока речь все же идет об единичных случаях, большинство людей уверены, что их беда не коснется. И, что отмечают эксперты, подобные настроения царят, независимо от образовательного, возрастного и/или социального ценза: так, те, кого называют VIP-пользователями, проявляют не меньшую беспечность и самоуверенность в вопросах ИБ, чем люди с невысоким социальным и имущественным статусом. В этом смысле все одинаковы, а это означает, что придется ожидать момента, когда осознание размера риска должно прийти ко всем.
.jpg "Forensics forever!")
