Когато става дума за сигурност на корпоративните мрежи, да обвиняваме потребителите – служителите на фирмата – за пробиви е най-лошото нещо, което можем да направим като отговорници за виртуалната защита, предупреждават експерти. Създаването на усещане за вина у хората може да доведе до още по-големи щети.
„Много организации по подразбиране прилагат политика на обвиняване, когато става дума за сигурността на данните”, коментира Тони Пепър, главен изпълнителен директор на Egress Software Technologies, цитиран от TechRepublic. „Те вярват, че действията имат последствия – и че този, който е „донесъл” проблеми, трябва да носи отговорност”.
В случаите, когато служителите съобщават за случайни загуби на данни – проблеми, които те са причинили случайно – често пъти отнасят сериозни негативни последици, обяснява Пепър. „Това неизбежно създава атмосфера на страх. Страхът води до премълчаване за други подобни инциденти. А това на свой ред изостря проблема. Поради тази „каскада”, много организации всъщност не подозират реалния мащаб на действителните си проблеми със сигурността”.
Коментарите на Пепър се основават на констатации, получени от независимата фирма за пазарни проучвания Arlington Research. Анализаторите са интервюирали повече от 500 мениджъри от горно ниво от организации в рамките на финансовите услуги, здравеопазването, банковото дело и правния сектор. Според резултатите от проучването, 45% от мениджърите биха направили забележка на служителите, отговорни за загуба на данни, а 25% посочват, че вероятно биха уволнили въпросните служители.
Макар организациите да вярват, че подобен подход намалява шанса за повторен проблем, всъщност санкционирането може да има различен и дори по-вреден ефект, смята Пепър. Много вероятно е служителите да предпочетат да не се обаждат изобщо при инциденти със сигурността, за да избегнат последици като глоба или уволнение.
„Особено в тези несигурни времена служителите ще бъдат още по-малко склонни да докладват за проблем или да споделят с други, ако вярват, че може да загубят работата си заради това”, добавя Пепър.
Става по-зле
Според резултатите от проучването, голям процент от организациите разчитат на служителите си, които са основният механизъм за откриване на пробиви в данните – особено що се отнася до имейлите.
„Нашето проучване установи, че 62% от организациите разчитат на докладване от хората, за да узнаят за пробиви в данните”, споменава Пепър. „Но като порицават служителите, които само се опитват да подходят отговорно, организациите всъщност подкопават механизма за докладване на инциденти – и си гарантират, че по-нататъшни инциденти няма да бъдат докладвани”.
Липсата на реално разбиране защо се случват пробиви в данните затруднява изключително много онези, които отговарят за киберсигурността. Това им пречи да разработят защитна стратегия, която ефективно да брани данните на организацията.
Без обвинения
След като се разбере, че порицанието на служителите е неефективно и даже зловредно, организациите трябва да се стремят да създадат по-положителна култура на сигурност. Една непосредствена полза е повишената видимост на неизвестни досега рискове за сигурността.
Друго предимство е възможността да се покаже на регулаторните органи, в случай на инцидент, че организацията е предприела всички разумни стъпки за защита на чувствителните данни. Пепър обяснява: „Ако не знаете къде са рисковете ви, е трудно да се въведат разумни мерки. Регулаторите биха могли да разберат това по време на разследването за теч на данни и да наложат по-високи глоби и санкции”.
Ролята на технологиите
Ако културата на обвинения бъде ограничена, време е да се включат технологиите. „Първата стъпка е да постигнем правилно докладване, използвайки технология, а не хора. Това ще премахне натиска на самоотчитането от служителите и ще възложи твърдо отговорността в ръцете на отговорниците за киберсигурността”, предлага Пепър.
Спорен него, „напредъкът в контекстното машинно самообучение означава, че е възможно инструментите за сигурност да разбират потребителите и да се учат от своите действия, така че да могат да откриват и смекчават анормалното поведение – например добавяне на неправилен получател към имейл”.
Това е мястото, където технологията прави всичко различно. Тя предотвратява случайната загуба на данни. Дава възможност на служителите да бъдат част от решението, дава на екипа за сигурност безпристрастна видимост над рисковете и възникващите заплахи.
Какво трябва да разберат екипите за киберсигурност
Образованието за потенциалните последици е жизненоважно. Всеки, който работи с цифровите активи на организацията, трябва да е наясно с възможните последствия от пробив в данните – например глоби или увреждане на репутацията на организацията.
Сигурен ход е служителите на организацията да разбират последствията от случайна грешка – например изпращането на клиентски данни до грешен получател или отговор на фишинг имейл. Тогава те ще са много по-внимателни, но и много по-склонни да съобщят за инцидент, ако – и когато – им се случи. Запомнете: ако инцидент не бъде докладван, няма начин да го отстраните или да попречите той да се повтори.
В заключение Пепър съветва управляващите киберсигурността: „Най-добрият начин да се ангажират служителите със сигурност и да се гарантира, че те разбират нейното значение, е да се създаде „положителна за сигурността фирмена култура”. Екипите за сигурност трябва да успокоят всички в организацията, че макар нарушенията на данните да се приемат сериозно, служителите, които съобщават за случайни инциденти, няма да бъдат наказвани, а ще получат подходяща подкрепа от бизнеса”.