Культура ИБ и удобная безопасность

На всех конференциях по информационной безопасности (ИБ) обычно говорится о технологиях и продуктах для защиты корпоративных информационных систем и данных простых пользователей. Но на одиннадцатый год существования конференции Business Information Security Summit на смену технологическому уклону пришел общечеловеческий: одной из основных тем стала культура ИБ и влияние культуры на ИБ.

Ситуация с угрозами и средствами защиты от них за последние десятилетия не поменялась: хакеры ищут дыры и придумывают все новые способы взлома информационных систем, а специалисты по безопасности разрабатывают средства защиты. Но насколько эффективна эта защита — большой вопрос: сообщения об утечках данных и киберворовстве появляются чуть ли не ежедневно, а на подходе — интернет вещей с новыми угрозами и «дырами» в системах защиты. Как напомнил декан экономического факультета МГУ Александр Аузан, технологии — не главное, главное — культура: паровая турбина была изобретена еще в I веке н.э., но пока в обществе считалось, что свободный человек работать не должен, а рабу машину доверить нельзя, сила пара нигде не использовалась.

Аналогичная ситуация с культурой использования средств ИБ. Как отметил бизнес-консультант по ИБ Алексей Лукацкий, культура — это то, что человек делает не из-под палки, то, что ему нравится, а если технические решения для обеспечения ИБ вызывают у него дискомфорт своими ограничениями, то на этом культура использования ИБ заканчивается и начинаются попытки обхода запретов, которые довольно быстро оказываются успешными. Государственная политика запретов в интернете уже привела к тому, что о VPN, прокси-серверах и Tor не знают только совсем ленивые домашние пользователи.

То же и в корпоративных средах. По словам Алексея Белоглазова, руководителя группы инженеров ИБ компании Check Point, корпоративный пользователь согласен на «честный обмен» небольших ограничений свободы на защиту и доступность корпоративных сервисов. Но запрет на доступ к корпоративным данным с домашних устройств, на использование на рабочем месте флешек, сотовых модемов и т. п. пользователь обычно не считает «небольшим ограничением» и в ответ переносит свои бизнес-процессы в более удобную ему среду — на мобильные устройства и в облачные сервисы. Даже ИТ-администраторы, которые вроде бы должны обеспечивать ИБ в своей организации, делают удобные «дырки» для управления своим «хозяйством». Процесс создания теневых корпоративных ИТ-систем уже не остановить, поэтому, как считает А. Белоглазов, его нужно возглавить: продолжая блокировать внутренние и внешние угрозы, разработчики и безопасники должны предоставить пользователю действительно удобные средства коммуникации, но добавить к ним средства защиты. «Хорошим людям не должно быть плохо, и тогда они будут с нами сотрудничать и помогать нам и себе жить безопасно», — резюмировал он.

И, конечно, в широкие массы домашних и корпоративных пользователей нужно нести культуру ИБ. Действовать следует не только кнутом, но и пряником (соблюдать правила ИБ должно быть приятно и выгодно). У государства с «пряниками» проблемы, поэтому более реалистичным кажется внедрение культуры ИБ в корпоративных системах. Тут, как справедливо указал А. Лукацкий, специалисты по ИБ должны прежде всего сами выполнять все правила и быть примером для всех. Для формирования культуры ИБ следует начинать с повышения осведомленности и вовлечения персонала в эту деятельность, причем учитывать при этом культурологические особенности сотрудников. Результат появится не сразу, но дорогу осилит идущий, иначе даже самые классные средства защиты окажутся неэффективными.

Евгения Волынкина