На всех конференциях по информационной безопасности (ИБ) обычно говорится о технологиях и продуктах для защиты корпоративных информационных систем и данных простых пользователей. Но на одиннадцатый год существования конференции Business Information Security Summit на смену технологическому уклону пришел общечеловеческий: одной из основных тем стала культура ИБ и влияние культуры на ИБ.
Ситуация с угрозами и средствами защиты от них за последние десятилетия не поменялась: хакеры ищут дыры и придумывают все новые способы взлома информационных систем, а специалисты по безопасности разрабатывают средства защиты. Но насколько эффективна эта защита — большой вопрос: сообщения об утечках данных и киберворовстве появляются чуть ли не ежедневно, а на подходе — интернет вещей с новыми угрозами и «дырами» в системах защиты. Как напомнил декан экономического факультета МГУ Александр Аузан, технологии — не главное, главное — культура: паровая турбина была изобретена еще в I веке н.э., но пока в обществе считалось, что свободный человек работать не должен, а рабу машину доверить нельзя, сила пара нигде не использовалась.
Аналогичная ситуация с культурой использования средств ИБ. Как отметил бизнес-консультант по ИБ Алексей Лукацкий, культура — это то, что человек делает не из-под палки, то, что ему нравится, а если технические решения для обеспечения ИБ вызывают у него дискомфорт своими ограничениями, то на этом культура использования ИБ заканчивается и начинаются попытки обхода запретов, которые довольно быстро оказываются успешными. Государственная политика запретов в интернете уже привела к тому, что о VPN, прокси-серверах и Tor не знают только совсем ленивые домашние пользователи.
То же и в корпоративных средах. По словам Алексея Белоглазова, руководителя группы инженеров ИБ компании Check Point, корпоративный пользователь согласен на «честный обмен» небольших ограничений свободы на защиту и доступность корпоративных сервисов. Но запрет на доступ к корпоративным данным с домашних устройств, на использование на рабочем месте флешек, сотовых модемов
И, конечно, в широкие массы домашних и корпоративных пользователей нужно нести культуру ИБ. Действовать следует не только кнутом, но и пряником (соблюдать правила ИБ должно быть приятно и выгодно). У государства с «пряниками» проблемы, поэтому более реалистичным кажется внедрение культуры ИБ в корпоративных системах. Тут, как справедливо указал А. Лукацкий, специалисты по ИБ должны прежде всего сами выполнять все правила и быть примером для всех. Для формирования культуры ИБ следует начинать с повышения осведомленности и вовлечения персонала в эту деятельность, причем учитывать при этом культурологические особенности сотрудников. Результат появится не сразу, но дорогу осилит идущий, иначе даже самые классные средства защиты окажутся неэффективными.
Евгения Волынкина