21.2.13

Поведение молодежи в Интернет как угроза безопасности

Выражение "поколение Next" или "поколение Пепси" стало известным в 90-х - начале 2000-х годов и оно отражало совершенное новое поколение молодых людей, выросших в условиях полного отсутствия советской идеологии, в условиях перестройки, рыночных отношений и т.д. Сегодня появляется новый термин, отражающий очередную смену поколений. Это термин "поколение Y" или "millennial". Надо заметить, что в отличие от многих читателей этого блога, поколение Y выросло в то время, когда Интернет уже был распространен (многие даже не знают что такое ходить в FIDO на скорости в 14400 бод), когда компьютер перестал был предметом роскоши, когда у каждого появился мобильный телефон или смартфон. Поменялось у этого поколения и поведение в Интернет и поведение, связанное с применением информационных технологий. Частично, такие изменения описаны в отчете Cisco по глобальным сетевым технологиям, но мне бы поговорить хотелось не о нем.

В конце сентября был выпущен еще один интересный американский отчет, подготовленный по заказу Министерства национальной безопасности США (Department of Homeland Security). Отчет не очень большой - всего 60 страниц, но выводы в нем сделаны очень интересные. В нем говорится, что поколение "тысячных" (millennial) является первым, кто "всегда на связи", "всегда подключен" к средствам коммуникаций. Они не видят своей жизни без iPhone и iPad, без своего MacBook или другого лептопа. Они приносят их на работу и на учебу, создавая новые каналы реализации угроз, расширяя спектр возможных уязвимостей. Это новое поколение не понимает тех проблем и задач ИБ, которые стоят перед более старшими товарищами. Я уже как-то писал, что для современной молодежи нормальным является открыть о себе как можно больше данных в социальных сетях. Иначе они будут считаться "белыми воронами". И про исследование Евросоюза о парадоксах в словах и действиях субъектов персональных данных тоже писал.

И вот американское исследование, задачей которого было изучить поведение поколения Y в киберпространстве и сформировать идеи по повышению осведомленности Интернет-молодежи в вопросах обеспечения информационной безопасности. Было проведено несколько экспериментов, которые и позволили сделать выводы о том, что современная молодежь гораздо хуже соблюдает многие классические требования по безопасности - по правильному выбору паролей, по работы с электронной почте, по борьбе с фишингом и т.д. Вот облегченная сводная статистика.


Дальше исследователи стали пытаться найти ту форму донесения информации дл поколения Y, которая бы смогла помощь поднять уровень осведомленности в вопросах безопасности. Были опробованы разные варианты. Например, такой


Но в процессе экспериментов оказалось (что неудивительно, конечно), что девушки и юноши по-разному реагируют на те или иные формы и форматы донесения информации. Поэтому были разработаны отдельные "женские" и отдельно "мужские" способы коммуникаций.


Они варьировались от обычных "ну, чувак, ты лоханулся и нажал на сообщение, которое увело тебя на вредоносный сайт" до достаточно информативных и содержащих конкретные рекомендации по повышению уровня защищенности. Например, вот так выглядела коммуникация с молодой девушкой, которая неумело выбирала пароли доступа к различным социальным сетям и иным посещаемым Интернет-проектам.


Никаких текстовых памяток или парольных политик на 10-20 страниц. Все лаконично и предельно понятно. "Длиннее, сложнее, разнообразнее" так звучит девиз при выборе пароля.


И это дало свой эффект - поведение испытуемых поменялось в лучшую сторону. Выбираемые ими пароли стали сложнее и длиннее. Они стали реже заходить на фишинговые сайты и кликать по ссылкам в приходящих сообщениях e-mail. А значит выбранная форма повышения осведомленности была правильной и сыграла свою позитивную роль.




Вывод из этого исследования напрашивается простой - нельзя почивать на лаврах и жить с политиками, разработанными 5-10 лет назад или даже год назад. Нельзя иметь один комплект политик и требований. Надо учитывать целевую аудиторию! Этот классический маркетинговый принцип может быть и должен быть транслирован в т.ч. и в информационную безопасность. Без этого все попытки повысить уровень защищенности своей организации (даже с отличными средствами защиты, кипой правильных документов и аттестатом соответствия) будут обречены. Ведь безопасность системы равна безопасности самого слабого звена, а им всегда был и остается человек. Исключая его из процесса обеспечения ИБ на предприятии мы делаем ситуацию только хуже.

23 коммент.:

ZZubra комментирует...

Ой как много выводов из этого можно сделать! Например:
1. Защитник информации должен иметь образование по IT, ЗИ, психологии, социологии, эргономике, экономике, управлению и т.п. (т.е такой человек должен жить 100-120 лет, из них посвятив учебе 30 лет и НИЧЕГО не забыть из того чему научился!).
2. Баланса между политикой на десятки страниц и комикс-инструкцией быть не может в принципе.
3. ИБшник должен делать двойную и более работу: для проверяющих, для хозяина организации, для различных поколений работников, для реально нападающих. И все что им делается должно коррелировать между собой и иметь примерно одинаковый результат. Положительный с точки зрения "неутечки".
4. СЗИ даже близко не соответствуют современным реалиям (конечно ошибусь, но ДАЖЕ Cisco и DHS только сейчас начали исследовать этот вопрос, а поколение Y УЖЕ во всю открывает о себе максимум информации).
5. Вообще-то налицо отсутствие передачи новому поколению жизненного опыта старшего поколения - недавно акселератором такой передачи служила война или лишения (может не непосредственное участие - достаточно живого деда), сейчас в "благополучных" странах такого акселератора нет, старшее поколение привыкло, что такой опыт передавать не надо, сами научатся, но условия то уже не те. Опыт сам у молодежи не появляется - идет "расслабон". Вывод - ОБРАЗОВАНИЕ сейчас не то и не так. Вообще ПРИНЦИПИАЛЬНО не то образование, какое нужно в современных условиях среды существования. Я уже молчу про то, что "звонок на урок в школе"="звонок к началу работы в цеху на заводе" АБСОЛЮТНО не соответствует современным производственным и экономическим реалиям.
6. Поколение Next - как люди "без принципов", присущим предыдущим поколениям, пойдя по пути наименьшего сопротивления могут стать основным нарушителем прав поколения Y и далее.
7. Объем работы ЗИшника на предприятии не сопоставим с моральной и физической нагрузкой продавца телефонов при равной зарплате.
8. Система написания нормативных документов устарела и не соответствует современным реалиям: ни в семантике, ни в грамматике, ни в объеме, ни в форме представления.
9. Надо бы уже открыто признать, что технологии психологического воздействия (НЛП и т.п.) - основа ЗИ/ИБ. И учить этому и специалистов и производителей СЗИ. В мединститутах? Может быть ))))

ZZubra комментирует...

Ну вот, написал и получил письмо со ссылкой на интеллект карту http://mindmapbook.ru/raznoe/70-dog по книге "Не рычите на собаку!" - таки прям по написанному ))))

Вот так и происходит - рядом уже есть решения проблем ЗИ из других областей знания, но мы упорно пытаемся пробить стены "старым, проверенным" способом - лбом.

Artem Ageev комментирует...

С поколением Y есть и свои особенности при формировании сетевой политики безопасности: им нельзя запрещать соц.сети... они без них в депрессию впадают.

http://twitblog.ru/2010/03/02/amerikanskie-soldaty-poluchili-dostup-k-facebook-i-twitter/

Владимир Рындин комментирует...

Защитник информации должен иметь образование по IT, ЗИ, психологии, социологии, эргономике, экономике, управлению и т.п. (т.е такой человек должен жить 100-120 лет, из них посвятив учебе 30 лет и НИЧЕГО не забыть из того чему научился!)
ZZubra, это не сюда, мне кажется. Пусть те, кто должен заниматься повышением осведомленности масс в вопросах ИБ этим и занимаются, консультируясь с экспертами.
Сам живу в С-Пб и люди, жувущие здесь меня поймут. Везде по городу, в метро висят плакаты "Давайте говорить правильно", на которых доходчиво показана правильность употребления и написания употребительных слов великого и могучего языка. Но! Там нет ни правил, ни законов пунктуации. Просто факты: говорить правильно так. Что мешает позаботиться таким же образом и о ИБ? Просто: Такой пароль надежный, а такой нет. В таком письме может быть вирус, а в таком нет.
В общем мысль Алексея...

ZZubra комментирует...

Из двух людей с разным образованием, допустим IT и психолог в 99,99% случаев не получится единого решения. Особенно, если они оба уже "настоящие специалисты".
А плакаты - это способ старого поколения, который воздействует на старое поколение и немного на поколение NEXT, но никак не цепляет поколение Y. Вы таким примером УЖЕ совершаете ошибку, о которой я и написал.
И еще особенность поколения Y (собственно всех молодых людей от ~13 до ~25) - неприятие догм, без объяснения ПОЧЕМУ, желательно примером и конкретно касающегося такого молодого человека.
Возвращаясь к плакату (как средству обучения) - очень напоминает конкретное требование по выточке детали на заводе, но не прививает культуру выточки деталей вообще. А деткам, которым сейчас до ~8, вообще плакаты из области неба - обыденная вещь, которая ВООБЩЕ не заставляет думать.
Ну и еще )))) не люблю эти штампы, но проще выразить свою точку зрения именно ими: дебилизация (суть правильное слово, без обобщающего правила, т.е. тупое зазубривание) населения в дальней перспективе приводит экономику государства к развалу и захвату такого государства более динамично развивающимися соседями.

ZZubra комментирует...

Эх! Понесло меня))))
Энтропия.
Она действует всегда и везде, даже на "нефизические" объекты. Называют ее тогда другими словами, например, деградация, но суть не меняется. Есть психологические предохранители которые придуманы природой, для недопущения психологической деградации людей, ими можно/нужно пользоваться, учитывать их в работе. Но те кто о них знает и те кто их должен применять - не знают друг о друге.
Так вот, образование деградировало, потому, что не предпринимались меры по снижению энтропии в этой области (замедлению скорости энтропии). Способы обучения - деградируют относительно людей и среды их обитания. Мер по снижению энтропии в этой области не принимается по предыдущей причине (я сейчас не говорю о конкретных учителях, а о системе вообще). Это надо понять и начать исправлять ситуацию.

Владимир Рындин комментирует...

Согласен с последним комментарием. По поводу предпоследнего от 10:21

Думаю, многие люди, живущие в наши дни, хоть что-то слушали об НЛП, о скрытой рекламе. Сознательно человек может и не принять тех правил, которые ему "навязывает" общество. Но подсознательно они отложатся. То же и со скрытой рекламой. Если сложить во всех фильмах картину, что человек, который ставит на почту пароль "qwerty" - глуп и из-за этого все его беды по фильму (ушла жена, украли машину, взломали счет), то этот шаблон с легкостью за пару-тройку лет перенесется на реальную жизнь. Но здесь нужно работать на уровне государственных программ и политик. Иначе то, о чем мы с Вами говорим, так и останется просто комментариями....
ЗЫ. И что мешает сделать не "дебилизированный" плакат "Правильный пароль: **********", а например "Подумай, а твой пароль надежен?" и заставить общество думать!

ZZubra комментирует...

Политики-инструкции.
Как не крути у людей есть свой уровень образования и жизненного опыта. Эти уровни НЕ СООТВЕТСТВУЮТ уровням образования, принятым у нас. Даже не соответствуют уровням новых профстандартов/европейским уровням:
-Постановление Правительства РФ от 22 января 2013 г. N 23 "О Правилах разработки, утверждения и применения профессиональных стандартов" http://www.fgosvpo.ru/uploadfiles/npo/20130128203854.pdf
-Проект приказа Минтруда России "Об утверждении уровней квалификации в целях подготовки профессиональных стандартов" http://static.consultant.ru/obj/file/doc/pr_p150213_2.rtf
Так вот, упрощение классификации уровня образования и жизненного опыта МНОЖЕСТВА людей до, пусть 9 уровней, приводит к тому, что Политика, написанная человеком на 7-8 уровне даже близко не понимаема человеком на уровне 2. Даже политика написанная выпускником специальности КЗИС (6 уровень) ни капли не понимаема бухгалтером с 5 летним стажем (6 уровень), или даже только что выпустившимся из ВУЗа бухгалтером (тоже 6 уровень), хотя все находятся на ОДНОМ и ТОМ ЖЕ УРОВНЕ.
Надо дифференцировать гораздо подробнее, если нужен результат. Слишком сложно получается? Тут надо выбирать, простота для себя или результат. Людей высоких уровней надо УЧИТЬ общаться на низких уровнях. Иначе идет расслоение общества и ... революция и гражданская война (ни дай боже ни того, ни другого ни мне, ни детям, ни внукам!). Еще фигня с образованием - по статусу 6 уровень, а реально в лучшем случае 4. И тогда вообще швах, ну как сейчас в России.
Кстати, ЕГЭ - это как раз попытка навести в образовании порядок - зафиксировать МИНИМУМ=БАЗУ знаний и умений одного из уровней. Но попытка, сделанная однобоко, без учета психологии людей.

Как вывод: если надо написать инструкцию, которая должна исполняться, то писать ее надо на том "языке" и в той форме, на котором и которая понимаемы исполнителями этой инструкции, и плевать, что проверяющий будет с пеной у рта кричать, что это бред и так никто не делает.

ZZubra комментирует...

Вот Вы перешли от плаката к фильму. Поколение Y смотрит фильмы? От того и надо отталкиваться.
Государственные политики и программы - это ни о чем, ведь их придумывают даже не люди поколения NEXT.
НЛП - вы предлагаете зомбировать, вместо учить. Это конечно путь, но куда?

ZZubra комментирует...

Как пример. Соцсети. Зафигачить ГОСУДАРСТВЕННЫЙ супер-вирус в СВОЙ СЕГМЕНТ СОЦСЕТИ, который френдам будет отсылать типовые пароли, выдавая их за реальные пароли человека. Что-то совпадет, но задумаются очень многие, а если туда же выложить контекстную рекламку сложных паролей, то вообще хорошо бу.Главное использование механизмов распространения, которые используются в общении. Или не вирус, а программку - типа узнай пароль френда. И Расползется она очень быстро. И не будет она являться вирусом, чистая социнжененрия.

Владимир Рындин комментирует...

Эх, какая интересная дискуссия. понесло нас с Вами =)
Где-то в комментариях уже писал: в 2008 году закончил колледж, стал программистом.И реально мог писать (http://ryndinvs.blogspot.ru/2013/01/blog-post_22.html). Правда сейчас забросил это дело и больше интересуюсь ЗИ.
Но таких, как я из 30-ти человек было дай Бог 5-7. И у всех у нас один уровень? Нельзя судить об уровне образования по возрасту, ВУЗу. Нужно выводить нечто вроде "показателя эрудированности"(назовем это так). Это что-то из серии "по интересам".
Но этим никто заниматься не будет. И все будет решаться по пути наименьшего сопротивления, имхо.
К слову о фильмах: они тоже бывают разные. Кто-то смотрит "Мастера и Маргариту", а кто-то "Американский пирог". Но ведь "парольную параллель" можно и там, и там провести. И сразу "воздействовать" на разные слои одной политикой.
Здесь появляется еще одно важное слово: адаптация. Для кого-то "Доменные логин и пароль", а для кого-то "Тот логин и пароль, с которыми в рабочий ПК входить можно". Так вот разработка политики - дело ИБ. А адаптация под слои - дело психологов.
В общем, к тому и пришли...

Если брать ЕГЭ, то есть какой-то общий знаменатель. Но подготовка к экзамену сводится к "натаскиванию" на определенные типы задач, но речевые обороты. Если ты решил, но не по тому алгоритму, по которому надо - минус. И какая может быть эрудированность? Это "клонирование" однотипного мышления.

Владимир Рындин комментирует...

Я не предлагаю "зомбировать, вместо учить". Можно же "нацелить на тягу к знаниям" =)

ZZubra комментирует...

>>Но подготовка к экзамену сводится к "натаскиванию" на определенные типы задач, но речевые обороты.

Да. Если ребенка не научили решать примеры определенного типа (суть натаскали пока учился, а не перед ЕГЭ), то его натаскивают на эти типы задач перед ЕГЭ. Знание решения определенных типов задач - это минимум для населения, чтобы оно совсем не скатилось в тартарары (все должны уметь читать законы, платить налоги, расплачиваться в магазинах). Это как если бы Вы разговаривали с первоклашкой про дифуры - он просто бы не понимал слов. Так вот задача школы ВСЕХ вывести МИНИМУМ на один уровень, а если кто-то будет лучше - тому и путь в ВУЗы и СУЗы.
Натаскивание перед ЕГЭ с одной стороны - это показатель безобразного обучения детей. Учить в школе должны так, чтобы абсолютно все (процент двоечников - неизбежен) выходили минимум на 3 без натаскивания, кто на 4 - это СУЗ, кто на 5 - это ВУЗ (ну или не в оценках, а в балах за ЕГЭ).
Натаскивание перед ЕГЭ с другой стороны - это желание РОДИТЕЛЕЙ искусственно (временно!) натаскивать троечника на 5 для поступления в ВУЗ. Т.е. попытка родителей заменить несколько лет своего "невоспиатния" ребенка, разовой помощью поступления в ВУЗ (самооправдание такое своеобразное - я же тебе в ВУЗ помог поступить, вон сколько денег потратил). А потом такой "отличник" не может поставить диагноз больному - дальше-то его не натаскивают, его уровень как был 3, так и остался.

>>Если ты решил, но не по тому алгоритму, по которому надо - минус.

Это Вы с чего такой вывод сделали? Я очень хорошо знаю как работает система проверки ЕГЭ - то что вы говорите клише незнающих людей или от первых версий ЕГЭ. Сейчас в ЕГЭ есть задания по уровням мышления, есть задания на решение, на логику. Все есть и реально работает. И показывает реальные результаты. Проверяют учителя, которые учили, без каких либо инструкций. Есть апелляция. Если хотите со всем этим познакомиться - идите контролером и поднимите нормативку по ЕГЭ. Не пользуйтесь мнением журналистов и тех кто что-то от них слышал ("Абрам напел")

ZZubra комментирует...

По поводу фильмов:
- плакаты, реклама - для поколения ДО NEXT;
- фильмы - поколение NEXT;
- соцсети - поколение Y.
Это если строго "рубить", чего не бывает в жизни. Поколения на границах сильно перемешаны, от того куча исключений. Суть в использовании канала донесения информации до целевой группы, которым она пользуется для основного общения.

Владимир Рындин комментирует...

>> Это Вы с чего такой вывод сделали?
Сам русский язык сдавал. Так вод, есть там часть С, где нужно писать сочинение. И преподаватель, у которого я готовился, приводил определенные примеры, когда правильнее и логичнее написать двумя предложениями, но проверяющие скажут: тут должен быть причастный/деепричастный оборот и уже будет не 30 баллов, а 25 (с баллами привожу грубо)

По поводу каналов донесения - в точку. Обучать парольной (хотя бы) грамотности нужно "массу" и каналы разные. Их просто надо проработать грамотнее и все...

ZZubra комментирует...

Кстати тема "поколений" и их особенностей, мне в структурированном виде ни разу не попадалась, хотя интересовался. Но ведь точно же это где-то есть! В какой то другой специальности это уже кто-то сделал! Надо искать. А так тема на кандидатскую тянет, например, "методы индоктринации политик безопасности для различных поколений жителей РФ"))))) Какое исследование по фактическому материалу можно провести, пальчики оближешь )))
PS Скорее всего "поколения" надо рыть в направлении выборных технологий.

ZZubra комментирует...

>>Сам русский язык сдавал. Так вод, есть там часть С, где нужно писать сочинение. И преподаватель, у которого я готовился, приводил определенные примеры, когда правильнее и логичнее написать двумя предложениями, но проверяющие скажут: тут должен быть причастный/деепричастный оборот и уже будет не 30 баллов, а 25 (с баллами привожу грубо)

Ха-ха-ха )))) Ваш учитель выбрал правильные мотивы, заставить Вас думать )))) Но не более того! Часть С проверяется двумя НЕЗАВИСИМЫМИ преподавателями (реально, они даже не знают кто проверяет, если им наблюдатели будут мешать разговаривать) и оценка выставляется по 5-ти бальной системе! Если оценка у двух преподавателей расходится более чем на 1 бал включительно, то проверяет третий и выставляется итоговая оценка, та которая была поставлена двумя преподавателями и откидывается та, которая от них отличается. Если же оценка не отличается у первых двух, то она и ставится. Сравнение оценок и направление третьему преподавателю работы делает ПО, которое проконтролировать силами РЦОИ невозможно. А уже потом присваивается оценке какое-то количество балов в зависимости от веса задания. Причем это правило верно для частей С любых предметов.
Теперь по поводу проверяющих - это ОБЫЧНЫЕ учителя, никто их для ЕГЭ не учит и не внедряет им инструкции по проверке (Если инструктажи и проводятся пред ЕГЭ - это чаще всего формальность)! НИКТО из проверяющих учителей НЕ считает количество причастных и деепричастных оборотов. Нет никаких нормативов на их количество. Это ФАНТАСТИКА!!!

ZZubra комментирует...

Забыл сказать. Выбор первых двух преподавателей делается из всех проверяющих (их много) тем же ПО и проверить, кому-что не возможно (если только не сравнивать самим проверяющим текст, но на то есть другие меры).

ZZubra комментирует...

Из учебников и словарей:
Поколение — продолжительность деятельности поколения равна примерно 30 годам. Поколения передают по традиции культурные достижения. По подсчетам А. Тоффлера от возникновения Homo sapiens до середины 20 века прошло 800 поколений, из них 750 жило в пещерах или вело бродячую жизнь, 70 знало письменность, 6 — книгопечатание, 4 — точный счет времени и только 2 — электромотор.

Поколение - (generation) - 1. Совокупность людей, родившихся в один и тот же период, определенный по-разному. 2. Период между рождением такой группы и рождением их детей, который в демографических целях обычно принимается за 30 лет. Маннгейм проводил различие между поколением по расположению (когортой рождения) и поколением по действительности,»то есть принадлежности к группе благодаря общему опыту или чувству, например, поколение шестидесятых, вьетнамское поколение. См. также Возрастные объединения ; Возрастная группа ; Старение ; Течение жизни .

Поколение - поколение группа людей, близких по возрасту, объединенных общей деятельностью

Поколение - в демографии - совокупность людей, родившихся в одном и том же календарном году.

В демографии под Поколением понимают совокупность людей, родившихся в одно и то же время. Это год или несколько больший промежуток времени (напр., пятилетие).

От меня:
Поколение NEXT, поколение Y, военное поколение, послевоенное поколение, поколение перестойки и т.д.- перемешка поколений по разным критериям (событийным, политическим, технологическим и т.п.), отсюда и каша.

Владимир Рындин комментирует...

Ну с ЕГЭ картина проясняется, спасибо. Хотя факт "натаскивания" остается. К чему только не приспособится человек. Но поскольку вижу, что в вопросе проверки Вы осведомлены больше, спорить не решусь =) Кстати, русский я в свое время уверенно сдал на 4 (по баллам уже не вспомню)

А вот с кандидатской и методикой пока не возьмусь. Сейчас над другой работаю, комплексная методика оценки защищенности ИСПДн в частности. ЬТак что за донесение грамотности в массы не возьмусь. Хотя тема действительно интересная...

ZZubra комментирует...

Какую-то Вы, по моему мнению, не проходную тему взяли. Видел парочку с похожим названием или сутью - это не уровень кандидатской, это то, что на рабочем месте делает выпускник среднего специального учебного заведения по защите информации. В свете наведения порядка в ученых советах защититься с такой темой может стать невозможным.
Вообще, как сделают все кандидатские открытыми - очень многие лишатся своих корочек, особенно по защите информации и персданных.

Владимир Рындин комментирует...

На кандидатскую не тянет, согласен. А вот на дипломную - вполне =) Вот здесь мы немного эту тему пообсуждали =)
http://80na20.blogspot.ru/2013/02/soa_13.html
Ничего подобного я пока не нашел

doom комментирует...

Самый первый вариант наглядной агитации неудачный - придется Marvell лицензионные отчисления делать, а то уж больно герой на Iron Man'а похож :)