Как «параноики» из Yahoo построили эффективную культуру кибербезопасности

Можно просто сказать сотрудникам, что им нужно делать. Но это вряд ли приведет к нужным изменениям — спросите любого человека, которому приходилось смотреть информационные видеоролики по кибербезопасности. Такие видеоролики рассказывают сотрудникам, что нужно быть осторожнее, но редко ведут к массовому улучшению поведения в компании. Чтобы улучшить культуру кибербезопасности, а значит, и повысить устойчивость к кибератакам, нужно понять, как ведут себя сотрудники, когда никто на них не смотрит.

В конце прошлого года исследовательская группа по кибербезопасности Школы менеджмента Слоуна при MIT (CAMS) начала сотрудничать с командой безопасности Yahoo по прозвищу Paranoids («Параноики»). Группа CAMS хотела понять, как «параноики» изменили культуру кибербезопасности в своей компании за счет управленческих механизмов. Команда проактивного вовлечения Yahoo успешно внедрила ряд интересных инновационных механизмов, которые способствовали улучшению поведения пользователей в области кибербезопасности. 

Модель проактивного вовлечения

Летом 2018 года в процессе общей реорганизации системы безопасности «параноики» создали две разные команды: «красную команду» (группу «хакеров», которая симулировала атаки на внутренние системы, сервисы, процессы и на пользователей, чтобы выявить системные слабости) и команду информирования о безопасности. Немного позже «параноики» добавили к ним команду поведенческой инженерии: она измеряла действия, которые считались правильным поведением в сфере безопасности, на основании данных от отдела кадров и из корпоративных технологических журналов.

Чтобы понять, как сотрудники реагируют на угрозы в сфере кибербезопасности, команда поведенческой инженерии ввела разделение между действиями, привычками и поведением сотрудников. По их определению, действие — это то, что человек делает однократно и полностью. Например, сотрудники Yahoo должны были пройти ежегодный курс по обучению кибербезопасности. Прохождение такого курса — это действие. Привычка — это усвоенное регулярное действие. Например, если научить сотрудников пользоваться менеджером паролей, а не менять пароли вручную, то у них сформируется привычка.

Наконец, поведение определяется как сочетание действий и привычек в контексте какой-либо ситуации, среды или в ответ на какой-либо стимул. Например, в предыдущем примере нужное поведение не сводилось к использованию менеджера паролей. Целью было сделать так, чтобы сотрудники научились генерировать и хранить данные в менеджере паролей при создании или обновлении аккаунтов.

Процесс изменения поведения

Чтобы изменить поведение, сначала нужно было определить контекст для нужного действия — как выражаются «параноики», «создать поведенческую цель». При создании поведенческой цели команда поведенческой инженерии старалась использовать следующую формулировку: «В таком-то контексте мы требуем от группы (или человека) таких-то действий».

Например: «Когда какому-либо сотруднику нужен новый пароль для входа, мы требуем, чтобы он генерировал этот пароль в менеджере паролей, одобренном нашей компанией, и хранил его там же». Чтобы измерить состояние культуры кибербезопасности, команда должна была четко определять такие цели.

Команда поведенческой инженерии постепенно изучала и разрабатывала поведенческие цели и наконец разработала следующий план.

Этап 1: Определите нужную поведенческую цель. Для любых существенных изменений нужно поставить четкую цель, затрагивающую конкретное поведение. Эта цель должна избегать того, что команда называла «невыполнимыми советами», то есть не должна требовать от конечных пользователей самостоятельных суждений о безопасности.

Этап 2: Найдите подходящую метрику и установите базовый уровень. Чтобы улучшить культуру кибербезопасности компании и укрепить устойчивость бизнеса к атакам, нужно понять, что делают люди, когда на них никто не смотрит.

Этап 3: Примите меры по изменению текущего поведения, а затем корректируйте эти меры и повторяйте процесс. После этого команда разработала меры, призванные повлиять на эти показатели. Однако для успеха этих мер было не менее важно то, что нужно было учиться на их основании, а затем вводить корректирующие меры и создавать новые действия для постоянного улучшения.

Этот план стал основой экспериментов по изменению поведения, проводимых командой проактивного вовлечения. Команда не рекомендовала сотрудникам компании самостоятельно оценивать подозрительность ссылок: это слишком субъективный и ненадежный подход. Вместо этого команда задала сотрудникам новую поведенческую цель. Когда на их корпоративную почту приходило письмо со ссылкой, по которой от них требовали ввести логин и пароль, нужно было показать это письмо команде по безопасности.

Как измерять поведение сотрудников

«Красная команда» раз за разом ловила сотрудников на фишинговые письма с фальшивыми страницами входа, примерно такие же, как в истории с ассистентом бывшего председателя Национального комитета Демократической партии США Джона Подесты под короткой ссылкой во вредоносном письме была замаскирована фальшивая страница авторизации, через которую хакеры запросили пароль).

Команда изучила проблему и выявила три главные метрики.

Уровень уязвимости: число сотрудников, которые ввели свои данные и не сообщили о письме, деленное на общее число симулированных фишинговых писем.