26.6.19

Почему не срабатывают страшилки про киберугрозы и хакеров?

В рамках улучшения своего английского я регулярно слушаю TED Talks на Youtube, посвященные совершенно различным, неИБшным темам. И вот сегодня я слушал лекцию известного нейробиолога Тали Шарот, которая рассказывала о том, как мотивировать себя на изменение поведения. Среди прочего она рассказала, что согласно большинству исследований различные предупреждения о страхах и угрозах не работают, имея очень ограниченное влияние. Будучи пусть и высшим приматом, но все-таки приматом, человек под воздействием угрозы действует также как и многие животные - убегает или закукливается (сворачивает в клубок, залезает в нору и т.п.). Мало кто из животных начинает бороться с угрозой. И человек делает также - ему проще закрыться или попробовать поменять негативные чувства.


Тали в своем выступлении приводит интересный пример. Когда рынок на подъеме многие клиенты финансовых организаций чаще заходят в свои аккаунты, чтобы видеть позитивную динамику рынка. Когда же он на спаде, число входов сокращается, так как человек не хочет портить себе настроение. Интересно было бы посмотреть на статистику, насколько часто безопасники игнорируют (или снижают число просмотров) бюллетению по ИБ от того же ФинЦЕРТ или ГосСОПКИ?

Если спроецировать это выступление на ИБ, то можно понять, почему все страшилки про угрозы, атаки, хакеров и иже с ними почти не работают или имеют очень ограниченное воздействие. Человеку присуще предубеждение оптимизма - он считает, что с ним такое не произойдет и поэтому не предпринимает никаких действий по предотвращению какой-либо угрозы. Люди гораздо лучше воспринимают положительные истории, чем отрицательные. И рассказ о том, как та или иная организация справилась с угрозой гораздо лучше заходит (с большим практическим эффектом), чем рассказ о какой-либо атаке или уязвимости.

По словам Тали Шарот восприимчивость к негативной информации меняется с течением времени.  Дети и люди после сорока (многие руководители) воспринимают ее плохо. Поэтому убедить их в том, что надо заниматься ИБ, потому что вокруг хакеры, достаточно сложно. Хотя по словам Тали любого человека сложно в чем-то убедить, если он не хочет слышать эту информацию (а негатив люди слышать не хотят).

Что же делать, чтобы изменить поведение людей? Нужны положительные примеры. Например, британское правительство раньше рассылало письма с требованием оплатить налоги, чтобы "жить спокойно" (знакомо, да). Это не работало. Потом они поменяли текст и стали писать о том, насколько важно платить налоги. Тоже не сработало. А потом они добавили всего лишь одну фразу "9 из 10 жителей Британии платят налоги вовремя". Это привело к 15% улучшению показателя собираемости налогов. Люди видят/слышат, что делают другие и это является мощным стимулом делать также. Не надо рассказывать, что пароли меньше 8 символов - это плохо. Расскажите, что многие люди выбирают пароли длиной 10 символов. Суть та же, а окраска совершенно иная - и эффект иной.

Есть еще две рекомендации, которая дает Тали Шарот для изменения поведения человека, которые могут быть применены и в области ИБ. Но я думаю, вы их можете сами узнать, просмотрев это небольшое видео. 16 минут не так много для того, чтобы попробовать изменить состояние ИБ в ваших организациях к лучшему.

5 коммент.:

biakus комментирует...

1. Социальные стимулы (так называемое социальное доказательство).
2. Немедленное вознаграждение (оно же мгновенное удовлетворение).
3. Мониторинг прогресса (он же показывает им преимущества).

Продолжая в контексте паролей по остальным рекомендациям.
2. Немедленное вознаграждение: чем более сложный пароль задал, тем более раздетую женщину(мужчину) показывать (денег то нет на вознаграждение :)
3. Мониторинг прогресса: выводить перед заданием пароля график истории сложности заданных паролей.

Алексей Лукацкий комментирует...

Хорошие советы. Добавлю свои 5 копеек (или 2 цента, кому как удобнее).
1. Есть библиотеки, которые при задании пароля, сразу оценивают его сложность и действительно "раздевают" женщину или мужчину. Я в блоге про это писал уже.
2. Вознаграждение необязательно денежное. В примере с мытьем рук как раз не было денег.
3. Можно еще показывать статистику распределения длин паролей среди коллег.

Tazmania комментирует...

Ну и получится, ка в той шутке: когда безопасники собираются вместе, они начинают меряться длинной своего пароля

Сергей комментирует...

Я помню картинку, вроде от Прозорова, "Сиськи повышают осведомленность в ИБ".

На картинке были изображены женские груди а по верху были даны рекомендации по ИБ ))))

Алексей Лукацкий комментирует...

Андрей молодой, у него свое видение того, что повышает осведомленность