Психология и информационная безопасность

АрхивБлог Алексея Лукацкого, Cisco Systems

Мы заставляем пользователей выбирать пароли длиной не менее 8 знаков, забывая, что человеческий мозг не в состоянии долго помнить бессмысленный набор символов. Пароль записывается на бумажку и приклеивается к монитору. Что делать?

Мы заставляем пользователей выбирать пароли длиной не менее 8 знаков, забывая, что человеческий мозг не в состоянии долго помнить бессмысленный набор символов, который и должен составлять надежный пароль. Поэтому мы и выбираем в качестве пароля то, что запоминается очень легко – день рождения, телефон, номер паспорта, кличку домашнего животного, имя героя любимого кино или книжки и т.п. Но и злоумышленникам подбирать такие пароли очень легко – ведь их число сильно ограничено – всего несколько тысяч текстовых фрагментов. Специалисты по информационной безопасности заставляют пользователей выбирать сложные пароли. Что в итоге? Пароль записывается на бумажку и приклеивается к монитору, дну клавиатуры или кладется в незапирающийся ящик стола. Положительно ли это влияет на безопасность? Конечно же, нет. Более того, ситуация совершенно обратная. Если на подбор пароля "со значением" уходит время (пусть и малое), то узнать пароль, записанный на бумажке, труда не составляет вовсе. Что делать?

Специалисты по ИБ начинают внедрять системы аппаратной аутентификации, где все пароли и другие элементы идентификации пользователя хранятся на USB-токенах или токенах одноразовых паролей. Удобно? Безусловно… С точки зрения безопасника-мужчины. А теперь посмотрите вокруг. Кто вас окружает? Женщины в массе своей (и даже если их 50% в организации – это уже немало). А где им носить эти токены? У них нет карманов, куда токен можно положить. И в руке его не понесешь как телефон – размер не тот – можно выронить и легко потерять. И на шею не повесишь – не бывает на них кристаллов Сваровски. И к чему мы приходим? Токен, призванный повысить уровень защищенности, снижает его, так как остается на столе и любой может воспользоваться им.

Другой пример. Внедряется персональный межсетевой экран, который блокирует подозрительную активность на компьютере. Только вот делает это он не самостоятельно, а запрашивая у пользователя "Процесс такой-то пытается совершить подозрительное действие. Разрешить его? Да или нет?" Когда такое сообщение появляется один раз, два, пять… это ничего. Но когда обычный пользователь их видит по несколько десятков на дню? Он тихо звереет и через пару дней такой назойливой безопасности нажимает "Да" и делает отметку против фразы "Запомнить ваше решение?". Что в итоге? Система защиты разрешает делать на компьютере пользователя почти всё, что угодно. О безопасности говорить уже не приходится (только ресурсы на работу системы защиты отъедаются).

Другая ситуация. Вы заходите на какой-то сайт в Интернете, и у вас появляется окошко с текстом следующего содержания "Вы хотите инсталлировать и запустить ПО такое-то, подписанное тогда и распространяемое производителем таким-то"? Если вы специалист, то поставьте себя на место рядового пользователя. Знает ли он, что такое "подписанное ПО"? Понимает ли он риски, которые влечет за собой установка этого ПО из Интернета? А чего стоит фраза "Всегда доверять содержимому из этого источника". А если я хочу всегда не доверять? Вы видите, что вопросов больше, чем ответов, и на безопасности это сказывается негативным образом.

Можно продолжить примеры. Вы внедряете межсетевой экран и реализуете на нём принцип "всё, что не разрешено – запрещено". Таким образом, все пользователи вынуждены обращаться в службу ИБ с заявкой на доступ к тому или иному сайту. Пользователей много, а сотрудников службы ИБ мало. Они перестают справляться с потоком запросов и те "подвисают" в очереди. Всех это нервирует и в какой-то момент особо обиженный, но ценный сотрудник звонит или пишет служебку руководству о том, что "безопасники мешают ему зарабатывать деньги для предприятия". Руководство не особо разбирается в проблеме и спускает сверху приказ "отключить эту чертову железку". К чему пришли? Явно не к росту уровня защищённости предприятия.

Посмотрим теперь на проблему с другой стороны. Ответьте себе на вопрос: чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию? Я более чем уверен, что вы выберете первый вариант (авиакатастрофа). А ведь вероятность этого очень мала. За весь 2008 году в России в крушениях самолетов погибло всего 139 человек, а число жертв в автоавариях – около сотни ежедневно! Иными словами, разница на 2 порядка, но боимся мы именно авиакатастроф, и деньги тратятся государством именно на авиабезопасность, а не наведение порядка на дороге. Почему так происходит? Почему мы противоречим здравому смыслу? Ответ прост. Такова психология нашего восприятия рисков. Не реальность, а ощущения. Нашему мозгу свойственно преувеличивать одни риски и преуменьшать другие.

Возьмем мобильные вирусы. Многие производители заявляют о грядущем или наступившем мобильном апокалипсисе. Но что в реальности? Кто-нибудь сталкивался с этой проблемой? У меня на смартфоне уже два года как установлен Kaspersky Mobile Security, но он ни разу не "закричал" о том, что меня атакуют злобные вирусы. Угроза преувеличена, но мы думаем, как с ней бороться, потому что информация о ней часто сопровождается красочными деталями, ссылками на закрытые хакерские сайты и т.п. А вот угроза, исходящая от человеческой ошибки в настройке системы защиты, никому не интересна – о ней никто не говорит, она понятна, знакома и обычна, она может контролироваться… Следовательно, наш мозг будет преуменьшать её опасность.

Психология восприятия риска подсказывает нам и ответ на вопрос: "Почему столь уважаемые ведомства, как ФСТЭК и ФСБ, разработали "такие" документы по безопасности персональных данных?" Только ленивый не прошелся по их качеству и принципам, положенным в их основу. Как можно было предложить информацию о цвете кожи, религиозных и политических убеждениях нашего Президента, как субъекта персональных данных, защищать на уровне государственной тайны? Ведь мы видим эти его биометрические и специальные персональные данные каждый день по телевизору. Защитные меры совершенно неадекватны ни природе защищаемых персональных данных, ни стоимости защищаемой информации. Но и тут ответ нам подсказывает психология. Сотрудники ФСТЭК и ФСБ всю свою сознательную жизнь боролись со шпионами и террористами; они занимались государственной тайной и противодействием иностранным техническим разведкам. И они свой богатый опыт транслировали на новую для них область – персональные данные. Такие завышенные требования описаны в документах ФСТЭК по защите коммерческой тайны. А всё потому, что эксперты двух наших регуляторов просто не сталкивались с менее серьёзными угрозами, которые в массе своей и применяются к персональным данным. А спросить у специалистов за пределами своих ведомств им не позволила уверенность в своих силах (или самоуверенность).

Что ещё нам подсказывает психология восприятия рисков? Она объясняет, почему, зная, что коллегу поразила эпидемия вируса или DDoS-атака, мы всё равно ничего не предпринимаем. Это пример "предубеждения оптимизма", когда мы думаем, что нас это не коснётся. Психология объясняет, почему мы не боремся с редкими или никогда ранее не происходившими с нами угрозами. И так далее.

Приведу последний пример, демонстрирующий важность применения психологии в информационной безопасности. В 2006 году профессор антропологии и эволюционной психологии из Гарварда, Марк Хаузер опубликовал результаты своих исследований о врожденности человеческой морали и разделении "белого" и "чёрного", хорошего и плохого. Один из сделанных выводов касается и безопасности. Оказывается, в ограниченных сообществах (до 150 человек) порицание окружающих может сдерживать плохие поступки людей. Их удерживает боязнь быть осмеянными и опозоренными. Именно поэтому в небольших компаниях, где все знают друг друга, нет нужды в написании каких-нибудь формализованных правил поведения, кодексов этического поведения или политики безопасности. Неправильные действия сотрудников сдерживаются сами по себе, т.к. почти любой боится попасть в корпоративную рассылку как "мальчиш-плохиш" или быть предметом обсуждения в курилке.

На крупных предприятиях, где как такового коллектива нет – он обезличен, общественного осуждения уже недостаточно – необходим Закон, который определяет вполне конкретные наказание за тот или иной проступок. Именно потенциальная кара может сдерживать сотрудников от совершения каких-либо неправильных действий, нарушающих, например, политику безопасности. Хаузер отмечает, что в обществе, в котором сильна законодательная или нормативная составляющая, человек перестает опираться на моральные принципы и нормы. Его останавливает только запрет, оформленный документально в правилах, политиках, кодексах и т.п.

Какой вывод можно сделать из данного исследования с точки зрения информационной безопасности? На малых предприятиях (до 150 сотрудников) формализация правил информационной безопасности и наказания за их невыполнение является зачастую излишней и даже неработающей практикой. Достаточно просто несколько раз сообщить всему коллективу о нарушителях ИБ-распорядка. А вот в крупных компаниях всё с точностью наоборот – необходимо формализовать политику безопасности и формы наказания за её несоблюдение и через HR довести до сведения каждого сотрудника. Дополнительной мерой, уберегающей компанию от нарушений правил ИБ, является искусственное сужение круга общения, т.е. общественное порицание в рамках отдела или департамента, где все знают друг друга. Правда, в этом случае без поддержки руководителя подразделения не обойтись. Именно он будет залогом того, что любое нарушение политики ИБ станет достоянием всех членов команды, что и должно останавливать потенциальных нарушителей. Дополнительную помощь в этом может оказать карьеризм, который для многих является самоцелью. Общественное порицание или наказание за нарушение формализованных правил может быть хорошим стопором для людей, боящихся, что это может негативно повлиять на их движение по карьерной лестнице. С другой стороны, карьеризм является препятствием и для формирования командного духа, так как карьеристы обычно действуют по принципу "каждый за себя", "пойду по головам ради цели" и т.п., а это явно не способствует созданию небольших групп, в которых общественное порицание может оказать влияние на действия сотрудников.

Мы рассмотрели ситуации, которые обычно остаются за пределами внимания служб информационной безопасности, а ведь есть и множество других направлений, в которых может помочь психология. Например:

• Понимание мотивации злоумышленников/нарушителей и поиск методов противодействия им.
• Прогнозирование действий внутренних нарушителей.
• Донесение до всех заинтересованных сторон (особенно руководства) важности ИБ.
• Повышение осведомлённости в вопросах информационной безопасности.
• Формирование эффективной команды ИБ.
• Эффективная работа с пользователями.
• Понимание действий пользователей.

Пора выходить за пределы технологий!