Сьогодні використання людських слабкостей залишається основним методом первинного доступу для зловмисників. Ця реальність призвела до розвитку концепції управління людськими ризиками (HRM), яка фокусується на цільових, інтелектуально керованих втручаннях для покращення поведінки у сфері безпеки.
Масштаб факторів людського ризику було підкреслено у звіті Verizon Data Breach Investigations Report (DBIR) за 2024 рік, де виявлено, що 68% всіх порушень безпеки у 2023 році включали ненавмисний людський фактор.
Тренінги з підвищення обізнаності у сфері кібербезпеки вже багато років є звичними в організаціях. Незважаючи на це, проблеми, пов’язані з людськими помилками, продовжують існувати. Однією з найбільш поширених є натискання на шкідливі посилання у фішингових електронних листах.
Однієї лише підготовки недостатньо для розв’язання цього питання, особливо тому, що людина, яка бере участь у цьому, часто не винна.
Джон Скотт з CultureAI, зазначив: «Люди завжди будуть робити помилки. Це не моральний провал, іноді це через такі фактори, як система, або через те, що ваш начальник кричить на вас, щоб ви щось швидко зробили».
Це визнання породило концепцію управління людськими ризиками (HRM), яка визнає, що людські помилки будуть відбуватися, але проактивно ідентифікує ризики для окремих співробітників. Це дозволяє здійснювати цільові втручання.
Як працює управління людськими ризиками у сфері кібербезпеки
Традиційне навчання з підвищення обізнаності про безпеку надає працівникам знання про кібербезпекові ризики, але не тренує реакції та звички, зазначає Джон Скотт. Наприклад, працівник може розуміти, що не слід ділитися особистою інформацією з колегою через публічний канал Slack, але робить це через тиск часу.
Скотт сказав: «Наш мозок це знає, але наше нутро ні».
HRM Стратегія
Першим компонентом розробки стратегії HRM є отримання даних по всій організації для розуміння, де саме існують кіберризики в окремих працівників – контролювання їхніх фактичних дій.
Це дозволяє здійснювати «коучинг в режимі реального часу» – підштовхувати до корекції поведінки. Такий цільовий підхід також запобігає втомі від навчання, коли працівники можуть ігнорувати постійні нагадування, які для них не є актуальними, і навіть обходити контроль.
«Ми не будемо казати вам припинити щось робити, якщо ви це не робите – це набагато більше поважає ваш час», пояснив Скотт.
Впровадження рекомендацій
Рекомендації не є вказівками – вони створені аби попередити працівника про потенційно небезпечну поведінку. Наприклад, «Чи ви хотіли поділитися цією інформацією на Slack?». Працівник потім може вирішити, чи продовжувати цю дію.
Рекомендації можна комбінувати з процесами безпеки, які спрощують працівникам вибір на користь безпечного варіанту. Наприклад, таким є надсилання повідомлення, що певні дані будуть видалені через 30 секунд, якщо не буде іншої вказівки.
Скотт зазначив: «Використання правильної архітектури вибору та створення найбезпечніших варіантів за замовчуванням є ключовим для підштовхування».
Він також наголосив, що рекомендації не слід використовувати надмірно, оскільки кожне таке сповіщення є відволіканням. Наприклад, їх варто використовувати, якщо лише певний працівник може зробити щось щодо проблеми та може зробити це швидко.
«Ми дізнались те, що працівники так само піддаються втомі від рекомендацій, як і все інше. Якщо вам дають рекомендації з будь-якого приводу, зрештою ви почнете це ігнорувати», пояснив Скотт.
Ефективне впровадження управління людськими ризиками
Автоматизовані технології можуть значно допомогти у здобутті необхідної видимості активності робочої сили. Скотт описав це як «єдине вікно» (single pane of glass), яке показує, де саме існують ризики. Далі, організаціям необхідно поєднати процеси з автоматизацією для впровадження відповідних втручань.
Програми управління людськими ризиками (HRM) також потребують постійних оновлень, оскільки співробітники змінюються, і нові технологічні можливості впроваджуються у всій організації. Скотт зазначив, що HRM платформа має бути інтегрована з усіма новими джерелами даних.
Яскравим прикладом є дедалі більше використання великих мовних моделей (LLM), таких як ChatGPT, у різних організаціях. Це призвело до того, що конфіденційна інформація компаній може бути опублікована на цих публічних платформах.
«Ваша платформа має збільшувати кількість інтеграцій, щоб вона могла моніторити всі місця, де існує людський ризик», зазначив Скотт. Він додав, що інсайти, отримані з програм HRM, можуть використовуватися для постійного підвищення ефективності тренінгів з обізнаності, роблячи їх більш цільовими – як за темами, так і за працівниками, яких вони стосуються.
Допомогти із зменшенням людської помилки можуть не тільки тренінги – з цим прекрасно справляються і програмне забезпечення. Прикладом такого забезпечення може бути Endpoint Protector.
Джерело: Infosecurity Magazine
