Широко признано, что сотрудники организации часто являются слабым звеном в защите своих информационных активов. Информационная безопасность не получила достаточного внимания с точки зрения влияния человеческого фактора.
В этой статье мы фокусируемся на отношении человеческого фактора к информационной безопасности, представляющие человеческие уязвимости, которые могут привести к непреднамеренному вреду организации.
Человеческий фактор оказывает огромное влияние на успех и неудачу усилий по обеспечению и защите предприятий, услуг, систем и информации. Если безопасность системы упускается разработчиком, ИТ-система становится уязвимой, и может быть эксплуатируемой злоумышленником. Атакующие, используя социальную инженерию, пытаются получить конфиденциальную информацию, нацеливаясь на уязвимости людей — то есть, слабые стороны в организации благодаря особенностям и поведению людей.
Цель данной статьи – анализ человеческого фактора в области информационной безопасности, анализ того, как информация понимание безопасности может стать основным инструментом преодоления этих недостатков.
Некоторые факты
Повышенные угрозы информационной технологии привели к новым решениям, ориентированным на технологические средства, в то время как исследования, связанные с человеческим фактором, были ограничены. Организации зачастую игнорируют человеческий фактор. Исследование безопасности от Cisco Systems показало, что пользователи, которые работают дистанционно, все равно будут участвовать в действиях, которые угрожают системе безопасности. Изучение поведения сотрудников показало, что получив подозрительное электронное письмо, 37% не только откроют электронную почту, но и пройдут по ссылке, в то время как 13% откроют прикрепленный файл. Кроме того, после получения обычного письма, 42% переходили по ссылке и предоставляли конфиденциальную информацию, а 30% открывали файл, который предположительно улучшил бы производительность компьютера.
Был проведен опрос среди специалистов по безопасности и ИТ-отделов определить их главные приоритеты в течение следующих нескольких месяцев.
Около 44% респондентов заявили, что их ИТ-отделы и специалисты в области безопасности потратили менее 20% своего времени на ежедневную оперативную безопасность. Еще 32 процента сказали, что они посвятили от 20 до 40 процентов своего времени на безопасность. Только 20 процентов участников выделили значительную часть своей ежедневной и еженедельной административной деятельности для обеспечения безопасности своих систем и сетей.
Человеческие факторы
Человеческие и организационные факторы могут быть связаны с технической информационной безопасностью.
Факторов, влияющие на безопасность компьютера делятся на две категории, а именно человеческий фактор и организационный фактор. Человеческие факторы является важнее других факторов. Они делятся на следующие группы:
- факторы, которые относятся к управлению, а именно рабочая нагрузка и некачественная работа персонала;
- факторы, связанные с конечным пользователем.
Далее мы сосредоточимся на четырех человеческих факторах, которые имеют серьезные последствия для влияния на поведение пользователей.
1. Недостаток мотивации
Многие организации считают, что сотрудников необходимо мотивировать на безопасное поведение с информационными активами, и руководство должно быть в состоянии определить, что мотивирует их персонал.
2. Недостаток осведомленности
Недостаток осведомленности связан с отсутствием общих знаний об атаках. Общие примеры отсутствия осведомленности могут быть следующими: пользователи не знают, как определить шпионские программы и шпионское ПО и как важно указывать надежный пароль. Они не могут защитить себя от кражи личных данных, а также как контролировать доступ других пользователей к их компьютеру.
3. Убеждение
Общими примерами рискованного убеждения являются следующие: пользователи считают, что установка антивирусного программного обеспечения не имеет решающего значения для их информации, или они готовы нажмите на ссылку, пока они получают электронное письмо от неизвестных лиц.
4. Неграмотное пользование технологиями
Даже самая лучшая технология не может преуспеть в решении проблем информационной безопасности без непрерывного человеческого сотрудничества и эффективного использования этой технологии. Общие примеры ненадлежащего использования технология заключается в следующем: создание несанкционированной реконфигурации систем, доступ к паролям других, получение недопустимой информации. Риски в области компьютерной безопасности можно классифицировать несколькими способами: превышение привилегий, ошибки и упущения, отказ в обслуживании, социальная инженерия, несанкционированный доступ, хищение личных данных, фишинг, вредоносные программы и несанкционированные копии.
Пример значимости человеческого фактора в обеспечении безопасности на практике
Удачный пример
Результаты внедрения в компании «Почта Банк» системы распознавания лиц, построенной на платформе VisionLabs LUNA.
Биометрические технологии используются «Почта Банком» в процессах аутентификации при доступе персонала банка и партнеров к ресурсам (всего примерно 70 тыс. человек), а также при обслуживании клиентов (которых более 4,5 млн). Охват клиентов — физических лиц стопроцентный. Среди клиентов — юридических лиц использование распознавания лиц реализуется по желанию (примерно 20% из них сегодня отказываются от применения технологии).
В системе задействована база данных с результатами обработки более 10 млн изображений уникальных реальных лиц, которые одновременно используются для обучения самой системы. Один сервер системы в состоянии обрабатывать до 100 обращений в секунду, затрачивая не более 2 секунд на каждое обращение.
Статистика эксплуатации системы за 2016 год:
- предотвращено 4,5 тыс. нарушений с использованием одних и тех же фотографий клиентами с разными именами;
- остановлено 9,2 тыс. потенциально мошеннических действий — обращений по утерянным или украденным паспортам (в том числе с выявлением мошенников по базе данных системы), ошибок персонала при вводе клиентских данных;
- задержано четверо мошенников, пытавшихся использовать поддельные документы;
- предотвращено около 600 попыток использования чужих учетных записей.
Заменив в двухфакторной аутентификации подтверждение через передачу одноразовых паролей по SMS, система распознавания лиц позволила за год сэкономить около 3,5 млн рублей.
Внедренная система, по прогнозам, помогла предотвратить потерю от мошенничества примерно в сумме 1,5 млрд рублей.
За тот же период система позволила сэкономить более 15 тыс. часов рабочего времени сотрудников фронт-линии за счет автоматизации процесса аутентификации 46 тыс. клиентов, изменивших в 2016 году те или иные анкетные данные.
Неудачный пример
5 российских банков в 2016 году подверглись хакерской атаке. Под ударом оказались Сбербанк, Альфа-банк, «Открытие», «ВТБ Банк Москвы» и Росбанк.
По оценке специалистов мощность атак варьировалась от «слабой» до «мощной». Длительность атак составляла от 1 до 12 часов. Некоторые банки
подверглись серии от 2 до 4 атак. Хакеры, организовавшие атаку, использовали ботнет (сеть зараженных устройств), в которую входило 24 000 машин из «Интернета вещей».
Издание Vice сообщило, что за атакой могут стоять «люди, недовольные возможным вмешательством России в выборы президента США».
Избежать данные атаки можно было бы, имев в штате банков хорошо обученный отдел по защите информации а также соответствующие технические средства. Свою роль сыграла неосведомленность сотрудников, что является важным человеческим фактором в работе организации.
Также, руководство организации в свою очередь должно было придерживаться некоторых рекомендаций по средствам защиты:
- Антивирусы (Kaspersky, Symantec, G DATA и др.)
- Защитные сетевые экраны (Entensys, Kerio и др.)
- Специализированные средства защиты от DDoS (Attack Killer, Qrator и др.)
- Технологии защиты от уязвимостей (Appercut, Checkmarx, Fortify и др.)
- Специализированные средства по защите от целевых атак (Attack Killer, FireEye и др.)
Вывод
Существует постоянная битва между хакерами и специалистами по безопасности. К сожалению, непредсказуемость поведения человека может уничтожить самые безопасные информационные системы.
В этой статье была предпринята попытка собрать и четко определить человеческие факторы, вызывающие проблемы безопасности и представить предложения о способах их преодоления. Следствием этого является то, что информационная безопасность является ключом к смягчению угроз безопасности, вызванных человеческими уязвимостями. Организации должны развивать и поддерживать культуру, в которой ценят позитивное поведение в области безопасности. Им необходимо привить свою культуру, чтобы безопасность начиналась и заканчивалась каждым человеком, связанным с их инфраструктурой, их бизнесом и их услугами.
Автор: Lina