Почему лучшая защита от кибератак — это сотрудники вашей компании

По данным ФБР, в период с октября 2013 по июль 2019 года киберпреступники заполучили $26 млрд с помощью мошеннической схемы «Компрометация корпоративной электронной почты», за счет которой они, используя обманные и манипулятивные техники социальной инженерии, выманивали у сотрудников компаний и отдельных физических лиц персональные учетные данные и в итоге добивались несанкционированных переводов денежных средств третьим лицам. В 2017 году у Университета Макьюэна в Канаде было украдено $11,8 млн. Тогда киберпреступник выдал себя за одного из сотрудников университета и запросил возможность внести изменения в информацию о банковском счете одного из поставщиков университета. В другом отчете, основанном на информации по 31 стране — а это 60% мирового населения и 85% мирового ВВП, — говорится, что в 2019 году финансовые потери от онлайн-мошенничества оцениваются в €36 млрд.

Прямыми финансовыми потерями ущерб не ограничивается. Атаки на безопасность подрывают производительность компании — и ее общественную репутацию. Например, когда в 2020 году произошел взлом 130 крупных Twitter-аккаунтов, компания понесла серьезные репутационные потери: всех поразила слабина в системе безопасности, которой с легкостью воспользовался 17-летний подросток. В свете такой уязвимости компания показала себя не в лучшем виде, а ее рыночная стоимость упала на $1,3 млрд (пусть и временно). Однако все могло бы быть намного хуже: провалы в безопасности могут иметь юридические и финансовые последствия для директоров и топ-менеджеров организации.

Во всех этих случаях главную роль играет человеческий фактор. Злоумышленники пользуются готовностью людей верить определенным просьбам и бездумно переходить по ссылкам или открывать вложения, содержащие вирусы. Предполагается, что склонность людей к ошибкам в 99% случаев является залогом успеха мошенников. В ходе пятилетнего эксперимента на примере одной тысячи банков исследователи в 96% случаев сумели обойти системы безопасности, выстраивая свою стратегию исключительно на знании человеческой психологии.

Так как же руководителям снизить влияние человеческого фактора? Лидеры логично полагаются на отдел безопасности в деле защиты корпоративной информации и принятия инвестиционных решений о наиболее подходящих для этого инструментах. Но это слишком ограниченный подход. Для создания культуры, по-настоящему сфокусированной на безопасности, все члены сообщества должны быть искренне и безоговорочно привержены делу — недостаточно только одно- или двухдневного тренинга по безопасности, который проводят большинство компаний. Такую культуру, ориентированную на безопасность, легче создать, когда лидеры знают, как повлиять на членов своей команды таким образом, чтобы они восприняли определенный образ мышления и поведения.

Исследование механизмов влияния, проведенное Робертом Чалдини, показало, что существует шесть принципов, которые помогут побудить людей подчиняться определенным требованиям и двигаться в желаемом направлении.

1. Люди действуют в соответствии с поведением, которое они демонстрировали в прошлом. Принятые человеком формальные и неформальные обязательства определяют его поведение в будущем.

2. На людей влияет мнение и поведение большинства. Если человек не уверен, как думать или действовать, он обращается к внешнему миру в поисках подсказки.

3. Взаимообмен (или предоставление чего-либо кому-либо без видимого ожидания равноценной платы за услугу) — один из наиболее эффективных способов добиться зеркальной реакции.

4. Люди хотят то, что кажется им дефицитом, и прилагают дополнительные усилия, чтобы заполучить желаемое.

5. Люди поддаются влиянию тех, кто либо похож на них самих, либо им симпатичен — люди прибиваются к стае птиц с похожим оперением или к тем, чьи «перья» им нравятся.

6. Люди с большей готовностью будут выполнять задания, поступающие от авторитетного источника (или того, кто просто носит на себе атрибуты власти — значки, белые пиджаки, деловую одежду и т. д.).

Основываясь на принципах Чалдини, мы рекомендуем воспользоваться следующими шестью стратегиями, которые помогут укрепить человеческий «файрвол» против мошеннических схем и поспособствуют формированию корпоративной культуры, ориентированной на безопасность. 

Попросите сотрудников подписать политику безопасности

Физическое подтверждение обязательств, например подписание этического кодекса, повышает вероятность того, что люди будут их соблюдать, а также способствует закреплению соответствующих норм на когнитивном и поведенческом уровнях. Этот документ представляет собой сборник письменных обязательств, в котором говорится, что сотрудник будет, например, обрабатывать всю важную корпоративную информацию (данные клиентов и информацию по договорам) конфиденциально, а также действовать в интересах компании, выполняя любые действия онлайн и офлайн, и незамедлительно сообщать о подозрительных инцидентах в соответствующие внутренние инстанции. Также сотрудники подтверждают, что не будут раскрывать конфиденциальную корпоративную информацию третьим лицам.

Также в документе полезно четко прописать, какая информация является конфиденциальной, а какая — нет. (Например, вы не можете запретить сотруднику жаловаться в социальных сетях на еду в столовой, но можете попросить не раскрывать списки клиентов.)

Так, в компании Cisco сотрудники должны ежегодно подписывать кодекс делового поведения, где напоминается, как защитить интеллектуальную собственность организации, а также какие информационные активы считаются конфиденциальными. Сотрудники не должны разглашать конфиденциальную или служебную информацию людям, не имеющим законного права требовать ее в интересах бизнеса, и обязаны сообщать о любых наблюдаемых нарушениях этого принципа. Корпоративная культура обвинения за подобные действия может мешать сотрудникам сообщать о нарушениях, но открытое обсуждение причин этого требования и просьба подписать документ, где прописана их ответственность и обязанность сообщать о подозрительных действиях, поможет решить эту проблему.

Важно, чтобы подписание такого договора было добровольным: если вы будете принуждать сотрудников подписывать кодекс, внутренний импульс следовать данным обязательствам будет слабее. Однако сам акт подписания соглашения способствует личному (внутреннему) и межличностному (внешнему) давлению согласованности, что повышает вероятность того, что сотрудники будут придерживаться стандартов компании. Лучше всего, если работники будут подписывать его в присутствии всех коллег, ведь как только обязательство становится публичным, человек чувствует себя обязанным действовать в соответствии с данным обещанием, чтобы не потерять лицо перед уважаемым им коллективом.

Подавайте пример

В ситуациях неопределенности люди оглядываются в поисках подсказки, как думать и что делать. С одной стороны, такое поведение можно назвать конформизмом, но с другой, можно рассматривать его как способ помочь людям сформировать общее понимание корректного и нормативного поведения. Обращение к другим за подсказкой помогает снизить уровень неопределенности, особенно когда эти другие занимают уважаемую позицию в обществе.

Поэтому руководители высшего звена должны подавать пример и наглядно демонстрировать желаемый тип поведения.

Например, они должны подчеркивать, как важно соблюдать необходимые меры безопасности: всегда блокировать свой компьютер, когда уходишь с рабочего места, не пропускать никого на территорию и к объектам компании без проверки допуска и не оставлять важные физические или цифровые документы в открытом доступе. Мы также рекомендуем руководителям приводить обратные примеры и рассказывать об инцидентах с нарушением техники безопасности, когда либо они сами проявляли неосторожность, либо это делал кто-то из сотрудников. Это поможет ослабить чувство неуязвимости, возникающее по принципу «со мной такого точно никогда не случится».