Доверять или проверять в условиях новых угроз информационной безопасности?

 
В статье приведены результаты исследования ООО «Институт мониторинга и оценки информационной безопасности» (сокращенно ИМОИБ) по проблемам работы организаций с сотрудниками как потенциальными нарушителями правил информационной безопасности (ИБ). Выявлена недооценка контроля сотрудников как способа предотвращения утечек информации по их вине. Обоснована необходимость интеграции мер доверия и контроля в условиях меняющегося ландшафта угроз ИБ в России.
 
Одним из направлений деятельности Института мониторинга и оценки информационной безопасности является научно-аналитическая деятельность. В рамках этой деятельности летом 2024 года мы провели экспресс-опрос 72 слушателей программ повышения квалификации и профессиональной переподготовки по информационной безопасности из разных регионов России. В их число входили руководители (45% опрошенных) и рядовые сотрудники (40%) подразделений по защите информации.  Преимущественно они представляли малые предприятия (70%), остальные – средний (26,4%) и крупный (6,7%) бизнес.
Отрадно, что в большинстве организаций принята Политика информационной безопасности (66,7%), проводится повышение осведомленности сотрудников об информационной безопасности (60%), что, безусловно, является отражением общей тенденции усиления внимания организаций к сотрудникам как возможным источникам инцидентов ИБ. Хотя, конечно, нельзя сказать, что эти показатели отражают идеальную картину.   
Результаты опроса показали, что в организациях принимаются меры для установления доверия между руководством и сотрудниками, а также между сотрудниками. В 70% организаций сотрудники имеют возможность сообщать подразделению ИБ об обнаруженных инцидентах ИБ. В 90% опрошенных организаций действует система поощрений сотрудников для обеспечения соответствия политикам ИБ. 85% опрошенных ответили, что их организации прилагают усилия по формированию и сплочению коллектива, а 65% - по личностному развитию сотрудников. Это радует, поскольку еще 2-3 года назад эти меры не были столь распространены и это было проблемой.  Так, мы обращали внимание на то, что модель нулевого доверия часто негативно влияет на информационное поведение сотрудников организаций, провоцируя инциденты ИБ[1]. В дальнейшем сотруднику организации стали уделять больше внимания, поскольку, согласно статистическим данным на протяжении долгого периода времени, внутренний нарушитель стабильно доминировал как источник утечек информации в организациях. Поэтому внимание к человеку и усиление доверия к нему в организациях, выявленное в ходе нашего исследования, – это весьма положительное явление.
  Однако настораживает факт, что всего лишь 50% опрошенных нами организаций осуществляют контроль за выполнением сотрудниками правил поведения в области ИБ, закрепленных в локальных документах. Почему настораживает?
Дело в том, что недостаточное внимание к контролю противоречит теории управления, согласно которой контроль - одна из ключевых функций управления. Поэтому контроль за выполнением сотрудниками правил ИБ – это важнейшая функция управления
информационной безопасностью организации. «Доверяй, но проверяй!». Этот известный фразеологизм, призывающий проявлять разумную бдительность даже к тому, чему (кому) нет оснований не верить.
Кроме того, контроль всегда был ключевым, традиционным и достаточно эффективным методом ИБ, и отказ от него половины опрошенных организаций в отношении персонала нарушает преемственность.  Ситуация напоминает работу маятника, качнувшегося из стороны излишнего контроля, т.е. недоверия к пользователям защищаемых ресурсов организации - в сторону недостаточного контроля, т.е. излишнего доверия к ним.
Согласно аналитическим исследованиям, в России, действительно,  происходит снижение выявляемых утечек данных по вине персонала [1]. Но это не повод «почивать на лаврах». Дело в том, что все чаще происходит объединение внутренних и внешних нарушителей, противоборство в киберпространстве стало неотъемлемой частью всех военных конфликтов. Внутренних нарушителей становится все сложнее обнаружить в рамках распространения искусственного интеллекта и других современных технологий, при развитии практики гибридной работы[2]. И мы согласны с тем, что «в современных условиях это направление требует сложных, многогранных подходов, включающих обучение сотрудников, внедрение передовых технологий мониторинга, включая контроль привилегированных пользователей и регулярную ревизию парка учетных записей, а также использование современных инструментов DLP для предотвращения утечек различного характера» [3].
К таким гибридным, многогранным подходам мы относим культуру доверия.
Ранее в ходе теоретического исследования мы определили доверие в информационной безопасности как информационно-измерительный механизм управления (планирования, реализации, контроля и мотивации) безопасным взаимодействием субъектов информационных отношений (руководство и сотрудников) в организации, направленным на их устойчивое функционирование и развитие [4].  Поэтому без контроля процессов ИБ, участниками которых выступают и сотрудники организации, доверие в ИБ недостижимо.
Иными словами, обеспечение информационной безопасности организации требует определенного уровня не только доверия, но и недоверия, которые находятся в диалектической взаимосвязи. Потребность не только в доверии, но и в недоверии выражается в появлении термина «рациональное доверие». В его основе лежит критическая оценка условий и обстоятельств. Рациональное доверие противостоит безрассудному доверию, основанному на самообмане[5].   Переизбыток доверия, как известно, становится следствием серьезных злоупотреблений этим доверием. И наоборот – недоверие, сопровождаемое излишним контролем и надзором, порождает злобу и цинизм и разрушает процесс взаимодействия. И только гармоническое единство доверия и недоверия, их неразрывность способно привести организацию к оптимальному состоянию ее ИБ.   Этот сложный подход мы называем культурой доверия в ИБ организации.
Повышение осведомленности сотрудников в области информационной безопасности направлено на совершенствование их деятельности по обеспечению
информационной безопасности в части их знаний, умений и навыков. Внимание руководства к личностному развитию сотрудников и хорошим отношениям в коллективе способствует развитию их лояльности, мотивации и вовлеченности в процессы обеспечения ИБ. Однако все эти средства неэффективны, если сотрудник преднамеренно осуществляет дестабилизирующие воздействия на защищаемую в организации информацию.
Поэтому усилия злоумышленников увенчаются успехом, если администрация недостаточно контролирует информационное поведение сотрудников в процессе выполнения ими производственных обязанностей, а после проведения мероприятий по повышению осведомленности не анализирует, как сотрудники выполняют правила поведения в области ИБ. Это необходимо делать в рамках непрерывного мониторинга состояния ИБ организации, проведения аудита ИБ организации, в том числе -  с помощью организаций-лицензиатов ФСТЭК. Необходимо активное развитие и внедрение передовых технологий мониторинга ИБ на основе искусственного интеллекта.
Таким образом, исследование Института мониторинга и оценки информационной безопасности (ИМОИБ) по проблемам работы организаций с сотрудниками как потенциальными нарушителями правил информационной безопасности (ИБ) показало определенную динамику внимания к повышению ИБ-осведомленности сотрудников организаций, к различным способам укрепления их лояльности к организации, личностного развития. Однако выявлена недооценка контроля сотрудников как способа предотвращения утечек информации по их вине. Обоснована необходимость развития культуры доверия в ИБ организаций как интеграции мер доверия и недоверия (контроля) в условиях меняющегося ландшафта угроз ИБ в России. «Доверяй, но проверяй» - закон ИБ организации. Таков однозначный ответ на вопрос, поставленный в заглавии этой статьи.
Астахова Л.В., д.п.н., профессор, зам. директора по методической и научной работе Института МОИБ
[1] Astakhova, L. V. Zero Trust Model as a Factor of Influence on the Information Behavior of Organization Employees / L. V. Astakhova // Scientific and Technical Information Processing. – 2022. – Vol. 49, No. 1. – P. 60-64. – DOI 10.3103/S0147688222010105. – EDN ZRQMTB.

[2] Утечки информации ограниченного доступа в России за 2022-2023 / InfoWatch. 2024. – URL: https://www.infowatch.ru/analytics/analitika/rossiya-utechki-informatsii...

[3] Утечки информации ограниченного доступа в России за 2022-2023 / InfoWatch. 2024. – URL: https://www.infowatch.ru/analytics/analitika/rossiya-utechki-informatsii-ogranichennogo-dostupa-2022-2023-gody

[4] Утечки информации в избранных отраслях, 2021-2023 годы/ InfoWatch. 2024. – URL: https://www.infowatch.ru/analytics/analitika/issledovaniye-utechek-infor...

[5] Астахова, Л. В. Онтологический статус доверия в информационной безопасности / Л. В. Астахова // Научно-техническая информация. Серия 1: Организация и методика информационной работы. – 2016. – № 3. – С. 1-9. – EDN VSSDDL.

[6] Мальцева А.П. Полноценное доверие: понятие, проблема, метод формирования // Власть. –

2014. – №7. – С.115-118. С.115.

 

 

Ключевые слова: