До сих пор рынок услуг по формированию сознательного отношения к вопросам безопасности представлял собой узкую нишу, в которой специализированные компании боролись преимущественно за проекты для предприятий крупного и среднего бизнеса. Кризис кризисом, но все эти поставщики услуг сообщают о стабильно высоком интересе к мероприятиям, учебным курсам и семинарам по информационной безопасности. «Общая тенденция заключается в целостном восприятии понятия информационная защита, охватывающего, помимо сугубо технических вопросов, деловые процессы и влияние человеческого фактора, — сообщает Михаэль Хелиш, владелец Hecom Security Awareness Consulting. — Проблема в том, что забота о безопасности все еще не укоренилась в корпоративной культуре».
«В каждый проект по управлению безопасностью сегодня включается подпроект, цель которого — повышение квалификации сотрудников в сфере безопасности», — сообщает Петер Маухер, ведущий консультант в HP. Доктор Вернер Дегенхардт из Мюнхенского университета Людвига-Максимилиана, занимающийся исследованиями в области психологии информационной безопасности, добавляет: «Важность этой темы признается повсюду, однако многие предприятия не способны воплотить ее в жизнь».
УГРОЗА ПРОМЫШЛЕННОГО ШПИОНАЖА
Прошли те времена, когда хакерам было интересно всего лишь выяснить, какой вред они способны нанести. Если раньше предприятиям противостояли «подростки со смешными стрижками», то сегодня речь идет об организованных преступниках, поскольку хищение данных превратилось в прибыльный бизнес. Промышленные шпионы пользуются вспомогательными техническими средствами для подрыва инфраструктуры безопасности заинтересовавшего их предприятия, однако часто им удается получить конфиденциальную информацию о серверах, приложениях, сотрудниках, а также выведать пароли и имена пользователей посредством так называемой социальной инженерии (Social Engineering). В Википедии «социальная инженерия» определяется как «воздействие межличностного характера, целью которого является неправомерный доступ к данным или предметам». Специалисты по социальной инженерии (Social Engineers) шпионят за личным окружением своей жертвы, инициируют ложную идентификацию или используют особые модели поведения, такие как подчинение авторитету, чтобы получить конфиденциальную информацию или неоплаченные услуги.
Информационная безопасность с ее аппаратными и программными средствами оказывается бессильна, если атакующие целенаправленно используют поведенческие стереотипы человека. В результате некоторые поставщики услуг пришли к выводу, что их задача заключается в трансформации этих стереотипов таким образом, чтобы они включали в себя необходимый уровень безопасности ИТ и в стрессовых ситуациях активировались, по возможности, автоматически.
Таким образом, этот совсем недавно сформировавшийся рыночный сегмент находится на стыке информационных технологий и психологии. «В этой нише появились новички, специализирующиеся как в области психологии, так и в сфере технологий безопасности. Кроме того, здесь присутствуют именитые специалисты по обеспечению безопасности, которые решили дополнить свой пакет предложений наработками в этом перспективном направлении», — объясняет доктор Йоханнес Виле, бывший редактор журнала LANline, а ныне старший консультант в Defense AG в г. Исманинг.
Йоханнес Виле, специалист в области безопасности, сейчас предпочитает вести речь о так называемом Empowerment (передача навыка), а не о Awareness (осведомленность, сенсибилизация), ведь суть заключается в необходимости «передать пользователям требуемые знания и способности, чтобы они могли уверено обращаться с угрозами для коммуникации на основе ИТ». В центре внимания — формирование стимулов для всестороннего изучения темы информационной безопасности, что реализуется, к примеру, в компании HP. «Главный фактор успеха – сначала обсудить все проблемы с руководством предприятия и заинтересовать его целями проекта», — считает Маухер, один из сотрудников HP.
«Предшествующие программы повышения знаний пользователей в области информационной безопасности зачастую не уделяли должного внимания тем сотрудникам компании, которые находятся на верхних ступенях корпоративной иерархии, а именно топ-менеджерам, — предупреждает Виле. – Эти лица занимают ключевые позиции, и именно на них, а не на специалистов ИТ, ориентируются рядовые сотрудники в вопросах безопасности, к тому же менеджеры и руководители отделений обычно наиболее заинтересованы в распознавании рисков и пробелов в системе безопасности своего сектора». По этому поводу Дитер Штайнер, руководитель SSP Europe, замечает: «Одна из проблем, в особенности в среде малых и средних предприятий, заключается в том, что руководство считает возможным полностью переложить всю ответственность за информационную безопасность на специалистов по ИТ».
ПЕРЕДАВАТЬ ЗНАНИЯ И ПОВЫШАТЬ МОТИВАЦИЮ
Помимо руководящего состава (Executive Empowerment), с чем согласны все специалисты, необходимо вооружить достаточными знаниями и навыками всех остальных сотрудников. «Трудности перевода» в общении между специалистами технического и нетехнического профиля, по мнению Виле, «легче всего преодолеть путем формирования соответствующих команд». Дитмар Покойски, руководитель Known Sense, критикует порой чересчур формальное понимание требований: «Слишком расплывчатое восприятие концепции повышения осведомленности сотрудников в области информационной безопасности особенно явно проявляется в мероприятиях старой школы, которые опираются исключительно на социальную теорию Лема». Программы и практические семинары по повышению осведомленности в области информационной безопасности преподносятся так, «будто необходимое отношение можно нацепить человеку на голову, как кепку или наушники», считает Покойски.
Для малых и средних предприятий эта тема представляется еще не исследованной «черной дырой». Поэтому Покойски делает ставку на психологическое воздействие: «Сотрудник предприятия должен воспринимать сообщение как прибавочную стоимость для себя. Для этого требуется отождествление с этим сообщением». Только так поставщик услуг по повышению квалификации в области безопасности сможет выступить в роли «ускорителя диалога» в переговорах с участием руководителей отделов информационной безопасности (Chief Information Security Officer, CISO). Последние порой слишком мало заботятся об имидже информационной безопасности, считает Маркус Бейер, специалист по повышению квалификации в сфере безопасности из швейцарской компании Ispin.
По словам Бейера, причина недостаточной информационной безопасности кроется в вопиющей неосведомленности: «Часто главное препятствие заключается в том, что сотрудники не знакомы с действующими директивами предприятия, к примеру, с правилами обращения с документами или мобильными конечными устройствами». Дегенхардт, исследователь из Мюнхенского университета им. Людвига-Максимилиана, добавляет: «Иногда пользователям не передаются знания прикладного характера. К примеру, сотрудники должны уметь говорить ‘‘Нет!’’, не опасаясь при этом, что они обидят своего собеседника».
На первый план Дегенхардт выдвигает необходимость передачи практических навыков и прикладных знаний, в то время как другие специалисты подчеркивают эмоциональные аспекты: «Передача знаний всегда связана с эмоциями, причем не только в рамках проектов по повышению квалификации в сфере безопасности. Поэтому высокая степень мотивации всегда эффективна», — уверен доктор Томас Шлингер, руководитель TreeSolution. Для достижения должного успеха следует сначала привлечь внимание к данной теме. Он предупреждает: «Руководителям отделов информационной безопасности ни в коем случае нельзя в качестве аргумента использовать ‘‘указующий перст’’».
«Важно, чтобы выбранный алгоритм действий соответствовал корпоративной культуре», — разъясняет Бейер, специалист компании Ispin. – Необходимо каким-то образом найти место в потоке информации, которую сотрудник пропускает через себя каждый день». Для того чтобы привлечь внимание, специалисты делают ставку на практические семинары и всевозможные наглядные, часто забавные, материалы: плакаты, видео, игры и другие нетрадиционные средства. Так, чемодан Security Awareness от Known Sense (см. Рисунок 1) содержит, среди прочего, тематический кроссворд и «держатель для паролей», демонстрирующий всю нелепость записи паролей на самоклеящихся листках для заметок. Такие материалы, как правило, подготавливаются для конкретных проектов. «Мне не встречались по-настоящему хорошие общие материалы для формирования осознанного отношения к вопросам безопасности, — сетует Бейер из Ispin. – Малым и средним предприятиям стоит уделить внимание развитию корпоративной культуры, а не развешивать по стенам плакаты общего характера». По его словам, при таком подходе иногда «полезнее пожертвовать 5 тыс. евро местному футбольному клубу».
Дегенхардт тоже заявляет о необходимости передачи знаний в развлекательной форме (Edutainment). Удачным примером может служить продукт Virtual Training Company, выпускаемый австрийской компанией Startup E-Sec (см. Рисунок 2): в этой виртуальной среде пользователь попадает на вымышленное предприятие, где ему встречаются различные источники угроз, с тем чтобы он в игровой форме научился реагировать на них. Виртуальное предприятие организовано по модульному принципу, поэтому, по словам Катрин Прантнер, руководителя компании, программу можно настраивать в соответствии с индивидуальными потребностями. При нажатии на кнопку, указывающую на источник опасности, пользователь знакомится с правилами безопасности в интерактивном режиме. Так, в одном из заданий ему необходимо рассортировать документы методом перетаскивания в соответствии со степенями секретности, принятыми на предприятии.
Подход Communitainment аналогичен концепции Edutainment, но более обширен по своим задачам. Здесь также ставка делается на развлекательную форму преподнесения технических ситуаций, порой довольно сложных. Однако главная идея заключается в том, что сотрудники предприятия рассматриваются как единое сообщество (Community). Адресная мотивация позволяет развить готовность к кооперации, знакомую по сообществам Web 2.0, и учит воспринимать собственное предприятие как важную часть одного из сообществ. Данный подход переносит механизмы социального маркетинга (Social Marketing) на другие сферы, такие как коммуникативное сопровождение проектов ИТ или корпоративная культура информационной безопасности. «Communitainment может стать тем ключевым словом, на которое следует обратить особое внимание», — считает Виле из Defense.
СМЕНА ЦЕННОСТЕЙ ВМЕСТО МАРКЕТИНГА
В конечном итоге такие подходы нацелены на смену ценностей: «Ведь повышение осведомленности в вопросах безопасности – это не только внутрикорпоративная маркетинговая задача, — подчеркивает Хелиш, глава компании Hecom. – Безопасность – корпоративное достояние. Как предприятие обращается с собственными ценностями? Что оно предпринимает для их реализации?». Дегенхардт, ведущий исследования в университете им. Людвига-Максимилиана, соглашается с данным утверждением и продолжает: «Вопрос сознательного отношения к информационной безопасности необходимо вынести за пределы корпоративных отделов маркетинга. Ведь речь идет о передаче знаний и повышении квалификации сотрудников, а это задача отдела кадров (Human Resources, HR)».
Такая смена установок нуждается в интенсивной практике, когда сотрудникам предприятия приходится самим прилагать некоторые усилия. По мнению Дегенхардта, пользователи ИТ станут сознательно выполнять все требования, только если обучение будет продолжаться не менее года. HP планирует расширить временные рамки: «Для достижения длительного эффекта мы разрабатываем перспективные планы мероприятий по передаче знаний в сфере безопасности сроком на три года, — рассказывает Маухер, специалист из HP. – Программа обучения будет включать разнообразные акции. Одиночные мероприятия – это выбрасывание денег на ветер». А вот успешно внедренная культура информационной безопасности может, по мнению специалиста компании Ispin Бейера, «послужить и в качестве проводника корпоративной культуры».
ИЗМЕРЕНИЕ УСПЕХА
«Исследователи бурно спорят о возможности измерения уровня квалификации в сфере безопасности», — говорит Шлингер, руководитель TreeSolution. Однако определить измеряемые характеристики вполне возможно: уровень знаний об информационной безопасности, настрой и мотивация, восприятие, удовлетворенность имеющимися инструментами и т. п. «Мы разработали алгоритм, позволяющий с помощью определения количественных и качественных показателей производить сопоставительный анализ на протяжении заданного промежутка времени или сравнивать предприятия друг с другом», — подчеркивает Шлингер.
«Еще ни в одном проекте от нас не требовалось подтверждать успех конкретными числами», — сомневается Бейер. Однако он замечает, что существуют определенные «индикаторы успеха уже завершенной кампании, к примеру количество заказов диска безопасности и т. д.». Кроме того, как это принято в данной отрасли, для анализа эффективности Ispin практикует проведение интервью. А при успешном выполнении игровых задач виртуального офиса E-Sec пользователь получает специальный сертификат, который вкладывается в его личное дело.
Вильгельм Грайнер — редактор LANline.