Статья показывает важность постепенного перехода от традиционной стратегии работы с сотрудниками организации, основанной на повышении осведомленности об информационной безопасности (ИБ), – к стратегии формирования и развития культуры их кибербезопасности. Повышение осведомленности сотрудников об ИБ в сегодняшних условиях стремительной динамики угроз утрачивает необходимую результативность. Автор обосновывает необходимость сделать акцент на культуре кибербезопасности, предполагающей не только повышение знаний (осведомленности) об ИБ, но и установление в организации адекватных норм и ценностей, которые должны проявляться в повседневном поведении сотрудников при использовании ими информационных технологий. Это позволит предотвращать инциденты ИБ по вине внутренних нарушителей более эффективно.
Согласно аналитическим исследованиям, в 2023 году в России произошло снижение выявляемых утечек данных по вине персонала, по сравнению с 2022 годом. В наибольшей степени это связанно с проведением обучающих мероприятий по ИБ и информационной гигиене, внедрением систем защиты от вторжений, DLP-систем[1].
Однако успокаиваться рано. Опрошенные специалисты в области ИБ и ИТ к наиболее опасным по-прежнему относят угрозы, связанные с внутренними нарушителями. Дело в том, что все чаще происходит объединение внутренних и внешних нарушителей, противоборство в киберпространстве стало неотъемлемой частью всех военных конфликтов. Помимо роста количества утечек информации, в 2024 году респонденты ожидают увеличения количества фишинговых атак, компрометации деловой переписки, попыток взлома ИТ-периметра компании и атаки с помощью программ-вымогателей. Одна из главных проблем – это мошенничество со стороны третьих лиц в отношении клиентов их компаний.
Готовы ли сегодня российские организации к этим вызовам? К сожалению, опасность внутренних нарушителей не снижается, а только усиливается из-за недооценки многими организациями регулярной актуализации моделей угроз, дефицита финансовых и кадровых ресурсов, отсутствия поддержки зарубежного ПО и рисков форсированного импортозамещения в области ИБ[2].
С помощью традиционных программ повышения осведомленности об основах ИБ с этими вызовами, безусловно, не справиться. И это несмотря на то, что организации и в России, и за рубежом вкладывают значительные средства в разработку и реализацию программ повышения ИБ-осведомленности для сотрудников. Для этой цели проводятся онлайн-тренинги по информационной безопасности, групповые встречи, общение по электронной почте и семинары и др. Однако это не дает ожидаемых результатов. Многие сотрудники считают посещение этих мероприятий дополнительной нагрузкой, рассматривают их как препятствия для обычной работы[3].
Какую же стратегию деятельности с сотрудниками как потенциальными внутренними нарушителями ИБ выбрать организации?
Согласно классической теории стратегического менеджмента, стратегия – это совокупность всех действий управляющих, способствующих достижению целей организации[4]. Выделяют оборонительные и наступательные стратегии организации[5], отличающиеся своими целями и средствами реализации. В нашем случае оборонительная стратегия обеспечения ИБ, связанной с персоналом, - это повышение его осведомленности. Наступательная стратегия обеспечения ИБ, связанной с персоналом, – формирование и развитие культуры его кибербезопасности[6]. Культура кибербезопасности предполагает не только повышение знаний (осведомленности) об ИБ, но и установление в организации адекватных норм и ценностей, которые должны проявляться в повседневном поведении сотрудников при использовании ими информационных технологий.
Оборонительная (защитная) стратегия. Цель оборонительной стратегии организации – снижение рисков быть атакованной по вине внутренних пользователей, возможность пережить их преднамеренные и непреднамеренные атаки на информационные системы с минимальными потерями для организации. Минимизация человеческих рисков ИБ с помощью повышения осведомленности сотрудников об ИБ – это начальная ступень, предпосылка формирования культуры кибербезопасности (ККБ) организации. Достижение ее более высокого уровня возможно исключительно в результате реализации наступательной стратегии.
Наступательная (развивающая) стратегия. Цель наступательной стратегии – получение и развитие конкурентных преимуществ организации за счет развития человеческого, интеллектуального и культурного капиталов каждого сотрудника в отдельности и организации в целом, что является профилактикой реализации человеческих рисков ИБ.
Цели стратегий. В криминологии профилактика является самым ранним, начальным этапом предупредительной деятельности, направленной на недопущение правонарушения. По мнению экспертов, под профилактикой следует понимать процесс выявления, устранения причин и условий, способствующих совершению правонарушений, а под предупреждением - недопущение уже замышляемых и подготавливаемых противоправных деяний[7]. Поэтому предупреждение может быть квалифицировано как защитная мера, а профилактика – как развивающая.
Впервые термин «профилактика» был нормативно закреплен в ст. 2 Федерального закона от 23 июня 2016 г. N 182-ФЗ «Об основах системы профилактики правонарушений в Российской Федерации», согласно которой «профилактика правонарушений - это совокупность мер социального, правового, организационного, информационного и иного характера, направленных на выявление и устранение причин и условий, способствующих совершению правонарушений, а также на оказание воспитательного воздействия на лиц в целях недопущения совершения правонарушений или антиобщественного поведения».
Самостоятельную разновидность профилактики правонарушений образует виктимологическая профилактика, под которой понимают «целенаправленное специализированное воздействие на лиц с неправомерным или аморальным поведением, а также на факторы, обусловливающие виктимность, связанную с подобным поведением. В равной мере ее объектом являются факторы и лица, положительное поведение которых, тем не менее, виктимоопасно для них»[8]. Основная задача виктимологической профилактики состоит в создании системы эффективной защиты человека от потенциальной виктимизации. Именно в этом заключена суть развивающей стратегии: создании системы эффективной защиты сотрудников организации от потенциальной виктимизации, которая может стать угрозой для защищаемой информации.
Объекты воздействий стратегий. Объектами воздействий в рамках защитной стратегии являются причины и условия совершения правонарушений, а также поведение лиц, потенциально способных совершить или уже совершивших правонарушение. Объекты воздействий в рамках развивающей стратегии - факторы, влияющие на формирование и развитие личности. Поэтому недостаток защитной стратегии заключается в том, что каждый сотрудник организации рассматривается потенциальным нарушителем безотносительно к его личностным качествам. Достоинство развивающей стратегии – в определении возможностей личностной самореализации каждого сотрудника с целью его защиты от попадания в число нарушителей.
Средства реализации стратегий. Разные цели стратегий и объекты воздействия определяют специфичность средств их реализации.
В ходе планирования в организации, выбравшей защитную стратегию, учитываются субъективные, внутриорганизационные факторы: внутреннее состояние, стадия жизненного цикла организации, уровень общей организационной культуры, наличие действующей системы защиты конфиденциальной информации в организации. От этого зависит стратегический план работы с персоналом, т.е. какие управленческие мероприятия будут проводиться: разработка и реализация политик управления рисками, инцидентами ИБ, изменениями, персоналом, осведомленностью, обучением и др.
Именно на защитную стратегию профилактики правонарушений нацелен Федеральный закон от 23 июня 2016 г. N 182-ФЗ «Об основах системы профилактики правонарушений в Российской Федерации». Согласно ст.6 закона, реализация профилактики правонарушений осуществляется посредством:
- выявления, оценки и прогнозирования криминогенных факторов социального характера;
- правового регулирования профилактики правонарушений;
- разработки специальных программ в сфере профилактики правонарушений;
- выявления и устранения причин и условий, способствующих антиобщественному поведению и совершению правонарушений;
- выявления лиц, склонных к совершению правонарушений;
- проведения мониторинга в сфере профилактики правонарушений и др.
Российские стандарты по управлению компьютерными инцидентами, принятые в 2022 году[9], содержат подобные рекомендации. Этап «Организация деятельности по управлению компьютерными инцидентами» ограничен такими мероприятиями, связанными с сотрудниками организации, как организация обучения и информирования в части управления компьютерными инцидентами и проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты. По сути, стандарты декларируют традиционное повышение ИБ-осведомленности, что, безусловно, является первоочередной и очень актуальной темой.
Между тем, огромное значение имеет степень взаимного доверия, лояльности (приверженности) сотрудников к организации, их вовлеченности в реализацию ИБ-стратегии предприятия, степень гармонизации потребностей работодателя (в обеспечении ИБ организации) и сотрудников (в самореализации и саморазвитии). Это существенно повышает шансы на успех обеспечения ИБ. Высокий уровень лояльности сотрудника к организации предполагает, что он идентифицирует себя с ней, представляет себя и организацию как единое целое, отождествляет себя с ее культурой и способен реализовать все свои личностные характеристики в информационном поведении в процессе профессиональной деятельности. В результате развивается и сотрудник, и организация, что является главным профилактическим средством обеспечения ИБ.
Зарубежные эксперты пришли к выводу о том, что погружение в общие цели организации значительно повышают стремление и готовность сотрудников участвовать в соблюдении требований информационной безопасности, приводит к повышению уровня производительности труда, а также повышает этическое и ответственное поведение[10]. Вовлеченность в работу организации позволяет человеку увидеть свое отражение в цели и почувствовать свои усилия в ее существовании. Согласно исследованиям, когда люди погружаются в определенную деятельность, они по своей природе мотивированы активно участвовать в этой деятельности и одновременно испытывают сильное чувство контроля над окружающей средой[11]. Поэтому сотрудники с сильной психологической причастностью к организации не склонны демонстрировать такое поведение, как кража, повреждение имущества организации, преднамеренные ошибки в работе или кибер-бездействие[12].
Использование внутренней мотивации, присущее развивающей стратегии, как правило, более эффективно, чем строгое принуждение сотрудников к обучению. Поэтому переход предприятия от защитной к развивающей стратегии обеспечения ИБ, связанной с сотрудниками, позволяющей активировать их мотивацию, запустить механизм их самореализации и развития в ходе участия в управлении ИБ, - это закономерность развития управления человеческими рисками ИБ предприятия. Поэтому столь важно дополнять повышение осведомленности об ИБ мероприятиями, связанные с развитием организации и ее сотрудников:
- изучение их личностных качеств и ценностей, потребностей и установок, эмоционального состояния;
- постоянное развитие их знаний о кибербезопасности;
- контроль за соблюдением правил кибербезопасного поведения.
Постепенный переход от традиционной стратегии работы с сотрудниками организации, основанной на повышении осведомленности об ИБ, к стратегии формирования и развития культуры их кибербезопасности - это неизбежная траектория деятельности организации в современных условиях.
Выводы:
- Как бы стремительно ни развивались технологии и средства защиты информации, защищаемая информационная система остается уязвимой, если остается без внимания ее внутренний пользователь – сотрудник организации. Это самое слабое звено в цепи кибербезопасности.
- В условиях современной социально-политической ситуации стремительно меняется ландшафт внутренних угроз ИБ, что требует регулярного обновления моделей угроз организации.
- Традиционная практика повышения ИБ-осведомленности сотрудников имеет ограниченный эффект, сама по себе не обеспечивает достаточной защиты от постоянно развивающихся кибератак, требуется искать новые пути.
- Обоснованы две стратегии управления человеческими рисками информационной безопасности организации: оборонительная (защитная) и наступательная (развивающая).
- Стратегии имеют специфические особенности целей, объектов и средств реализации.
- Повышение ИБ-осведомленности сотрудников (защитная стратегия) нацелена на минимизацию рисков ИБ, направлена на сотрудников как на потенциальных нарушителей и реализуется преимущественно посредством мер принудительного информирования об ИБ.
- Формирование и развитие культуры кибербезопасности (развивающая стратегия) затрагивает не только знания об ИБ, но и нормы и ценности кибербезопасного поведения сотрудника. Эта стратегия имеет целью создание системы снижения рисков потенциальной виктимизации сотрудников, направлена не только на повышение их осведомленности об ИБ, но и на развитие факторов их личностного развития. Она реализуется с помощью сотрудничества работодателя и сотрудников, усиления их вовлеченности в производственно-управленческие процессы.
- Современный императив – это постепенный переход к стратегии формирования и развития культуры кибербезопасности, несмотря на ресурсный дефицит в условиях использования киберпространства и человеческих уязвимостей в качестве важнейших средств военного противоборства. Состояние организации зависит от общих убеждений, ценностей и действий ее сотрудников, и это включает их отношение к кибербезопасности.
- В случае невозможности самостоятельной разработки и внедрения системы повышения осведомленности сотрудников организации и ее культуры кибербезопасности предлагаем обратиться в ООО «Институт МОИБ».
Астахова Л.В., д.п.н., профессор, заместитель директора по методической и научной работе ООО «Институт МОИБ»
[1] Утечки информации ограниченного доступа в России за 2022-2023 / InfoWatch. – URL: https://www.infowatch.ru/analytics/analitika/rossiya-utechki-informatsii...
[2] Там же
[3] Bulgurcu B. , Cavusoglu H. , Benbasat I . Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness // MIS Quarterly: Management Information Systems. – 2010 – № 34 (SPEC. ISSUE 3). – P. 523-548.
[4] Томпсон А .А . , Стрикленд А .Дж . Стратегический менеджмент. Искусство разработки и реализации стратегии. – М.: Банки и биржи, ЮНИТИ, 1998 – 576 с., с.44.
[5] Там же, с.249.
[6] Астахова, Л. В. Трансформация стратегических моделей управления человеческими угрозами информационной безопасности предприятия как императив цифровой индустрии / Л. В. Астахова // Научно-техническая информация. Серия 1: Организация и методика информационной работы. – 2021. – № 4. – С. 1-7. – DOI 10.36535/0548-0019-2021-04-1. – EDN OSEEQV.
[7] Лекарь А.Г. Профилактика преступлений. – М.: Юрид. лит., 1972 – 104 с., с.45.
[8] Ривман Д.В. Криминальная виктимология. – СПб: Питер, 2002 – 304 с., с.241.
[9] ГОСТ Р 59709 - 2022 Защита информации. Управление компьютерными инцидентами. Термины и определения
ГОСТ Р 59710 - 2022 Защита информации. Управление компьютерными инцидентами. Общие положения
ГОСТ Р 59711—2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами
ГОСТ Р 59712—2022 Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
[10] Ho L.-A., Kuo T.-H. How can one amplify the effect of e-learning? An examination of high-tech employees' computer attitude and flow experience // Computers in Human Behavior. – 2010 – № 26(1). – P. 23-31.
[11] Shantz A., Alfes K., Truss C., Soane E. The role of employee engagement in the relationship between job design and task performance, citizenship and deviant behaviours // International Journal of Human Resource Management. – 2013 – №24(13). – P. 2608-2627.
[12] Bulgurcu B., Cavusoglu H. , Benbasat I . Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness // MIS Quarterly: Management Information Systems. – 2010 – № 34 (SPEC. ISSUE 3). – P. 523-548.