Мечтают ли ИБ-шники о киберкультуре. Разговор с экспертом Phishman.

- Алексей, добрый день! Почему у вашего доклада было такое название?

Это отсылка к классике фантастики – роману Филипа Дика «Мечтают ли андроиды об электроовцах». В романе описывается будущее, в котором андроиды не уступают людям в способности принимать решения, управлять сложными процессами и так далее. И единственно, что доступно только людям – это чувства, эмоции (в том числе реализуемые через заботу о домашних питомцах, в качестве которых выступают тоже роботы-электроовцы). И один из главных вопросов романа – а такое ли уж это существенное различие, не достаточно ли для жизни и эффективной работы лишь логических, рассудочных действий, или все же нужно что-то за этими рамками – отношения, эмоции, неформальные отношения, культура?

Во многом этот вопрос может быть поставлен и в контексте нашей отрасли – информационной безопасности. Как показал блиц-опрос на конференции, большинство специалистов в ИБ считают себя скорее «технарями», чем гуманитариями. И важно понять, могут ли они справляться с вызовами настоящего времени чисто техническими, рациональными методами (тем, что соответствует концепции DCS - Data Centered Security, т.е. безопасности, сфокусированной на данных), или же им все же нужно овладевать и «мягкими навыками», гуманитарными инструментами (как это предлагает концепция PCS – People Centered Security, безопасности, сфокусированной на человеке).


- А вы как считаете?

Безусловно, одних технических или административных мер недостаточно. Ведь причиной большинства инцидентов ИБ являются именно люди со своими знаниями ИТ и ИБ (и незнанием зачастую), мотивами, культурой. И реагировать на это надо на этом же уровне – гуманитарном, социальном. На уровне формирования осознанного поведения сотрудников в вопросах работы с информацией, с информационными системами. На уровне установления определенных положительных шаблонов действий для предотвращения происшествий в сфере ИБ или своевременного реагирования на них.


- Вы употребили слово «культура». Насколько это важно для кибербезопасности?

Я думаю, что развитие культуры кибербезопасности должно стать важнейшим направлением деятельности служб ИБ. Мне нравится определение «Культура – это то, как человек ведет себя, когда думает, что его никто не видит». И действительно, предотвратить опасные действия сотрудников только установкой ограниченных прав, запретами «под подпись» тех или иных действий в информационной системе или даже постоянным контролем событий в информационной системе и действий пользователя (с помощью систем DLP и SIEM) не удастся. Если человек считает, что правила ИБ существуют «для галочки», что они мешают ему эффективно «делать дело», если в компании или подразделении царит атмосфера, поощряющая отступление от правил ради достижения бизнес-результата – то он всегда найдет уловки и обходные пути, или просто проигнорирует правила.

Я и другие выступающие приводили много примеров такого поведения. И ведь тут дело не только в информированности сотрудника – очень часто правила кибербезопасности нарушают хорошо осведомленные в ИТ сотрудники – например, сотрудники ИТ-департамента и даже системные администраторы (что вдвойне опасно, так как они обладают гораздо большими правами в информационной системе, и последствием их осознанных или неосознанных действий может быть очень серьезный ущерб). Поэтому важно не только повышать информированность, но формировать осознание сотрудником действий, касающихся информационной безопасности (или, короче, киберосознанность), т.е. наличие у сотрудников необходимых знаний, понимания их сути, выработки навыков правильных действий в случае инцидентов, и мотивации эти знания и навыки применять.

При этом недостаточно наличия киберосознанности у некоторого количества сотрудников. Важно, чтобы киберосознанность стала частью культуры организации, поддерживалась и воспроизводилась ею.


- А как приступить к созданию такой культуры?

Я считаю, что культура кибербезопасности – это часть общей культуры безопасности в компании, включающей безопасность бизнеса, производственную безопасность и т.п. В свою очередь, культура безопасности – это часть организационной культуры. Поэтому известные инструменты анализа и развития организационной культуры, производственной культуры – могут применяться и для работы над киберкультурой компании (безусловно, с учетом специфики последней).

В частности, в своем докладе я показал, как такие известные концепции, как пирамида организационной культуры Эдгара Шейна и лестница культуры безопасности Патрика Хадсона, могут быть применены теми, кто развивает культуру кибербезопасности в своей компании, для понимания – каков сейчас уровень культуры, в чем она конкретно проявляется, какие цели реально ставить для перехода на более высокий уровень и какие действия предпринимать. Неэффективно стараться «перепрыгивать через ступеньки», изменения культуры – дело небыстрое, надо настраиваться на систематическую работу в течение нескольких лет.


- Способны ли типичные специалисты ИБ на такую трансформацию, ведь, как Вы уже говорили ранее, они в основном «технари»?

Во-первых, изменение культуры организации точно невозможно осуществить усилиями только одного подразделения. Тут необходимо заручиться и поддержкой высшего руководства, и научиться действовать совместно с службами HR, ИТ, организационного развития, внутренних коммуникаций. Нужно сделать понятной нужность и ценность кибербезопасности каждому сотруднику. И, во-вторых, самим специалистам по ИБ расширять понимание сути своей собственной работы, менять свою «картину мира», осваивать «мягкие навыки».

Алексей Калмыков
Эксперт Phishman