Втома від безпеки реальна: ось як її подолати

ІТ-безпеку часто вважають «департаментом ні», і іноді легко зрозуміти чому. У світі ескалації кіберризику, розширення поверхні атаки і економіки кіберзлочинності, що швидко розвивається, служби безпеки, зрозуміло, прагнуть обмежити шкоду, яку можуть завдати їхні співробітники. Зрештою, щоб розкрити потенціал, потрібен лише один невдалий клацання руйнівний компромет програм-вимагачів. Але коли навантаження на співробітників стає занадто високим, вони можуть відреагувати несподіваним чином, що фактично збільшує кіберризик в організації.

Це відомо як «втома від безпеки» і в найгіршому випадку це може призвести до необачної та імпульсивної поведінки – зовсім протилежного тому, чого хочуть ІТ-команди. Щоб впоратися з нею, безпека має працювати більш злагоджено, обмежуючи кількість рішень, які користувачі повинні приймати, і перебалансовуючи захист і продуктивність для світ гібридної роботи.

Що таке втома від безпеки і наскільки це погано?

Людей часто вважають найслабшою ланкою в ланцюжку корпоративної безпеки. Ось чому відділи ІТ-безпеки так прагнуть пом’якшити ризик від (не лише) недбалих інсайдерів. З одного боку, вони мають рацію. За оцінками, 67% компаній зазнали від 21 до понад 40 інсайдерських інцидентів у 2021 році, порівняно з 60% у 2020 році, усунення яких коштувало їм у середньому понад 15 мільйонів доларів США.

Однак, коли персонал відчуває бомбардування попередженнями безпеки, правилами політики та процедурами на роботі, а також історіями ЗМІ про порушення та погрози у свій вільний час, може настати стан виснаження. Ця втома безпеки характеризується відчуттям безпорадності та втратою КОНТРОЛЬ. Окремі особи можуть вважати все це настільки приголомшливим, що вони відступають від корпоративної політики та йдуть власним шляхом. Також може виникнути відчуття смирення: що б вони не робили, злам станеться, тож вони з таким же успіхом можуть ігнорувати всі ці стресові сповіщення безпеки.

Це частіше, ніж ви думаєте. Дослідження 2018 виявили, що більше половини (55%) працівників у регіоні EMEA не думають регулярно про кібербезпеку, а майже п’ята частина (17%) не турбується про це взагалі. Докази свідчать про те, що молодший персонал навіть більше схильний до втоми через надмірні вимоги безпеки.

Які головні симптоми втоми від безпеки?

На жаль, це може мати серйозний дестабілізуючий вплив на корпоративну безпеку. Серед явних ознак втоми служби безпеки є співробітники, які:

• Візьміть більше ризики з фішинговими листами, можливо, вирішивши перейти за посиланнями або відкрити вкладення з інтересу.
• Практикуйте погане керування паролями, наприклад повторне використання слабких облікових даних для кількох облікових записів. Згідно з одне з останніх досліджень43% співробітників визнають, що ділилися логіном і навіть взагалі уникали своєї роботи, щоб зменшити стрес від входу в систему.
• Вхід у корпоративні мережі без VPN, хоча це може бути обмежено в деяких організаціях.
• Використовуйте незахищені загальнодоступні точки доступу Wi-Fi під час входу в конфіденційні корпоративні облікові записи.
• Не вдається регулярно оновлювати свої пристрої та машини. А нове дослідження EY стверджує, що співробітники покоління Z і покоління Y набагато частіше, ніж старші колеги, нехтують обов’язковими виправленнями якомога довше.
• Не повідомляйте про інциденти негайно начальству або ІТ-відділу. Те ж саме дослідження EY показує, що майже п’ята частина (16%) співробітників спробувала б усунути ймовірне порушення самостійно, а не повідомляти когось іншого.
• Використовуйте робочі пристрої для особистого користування, включаючи ризиковані дії, такі як завантаження з Інтернету, ігри та покупки в Інтернеті. Одне дослідження стверджує що половина працівників зараз розглядають свій робочий пристрій як особисту власність.
• Обійти захист іншими способами: Ще один звіт показує, що 31% офісних працівників у віці 18-24 років намагалися обійти політику.

Як подолати втому безпеки

Швидкий перехід до масової надомної роботи у 2020 році викликав різку реакцію багатьох організацій, оскільки ІТ-команди намагалися обмежити свій ризик, встановивши нові обтяжливі правила для своїх працівників. Тепер гібридне робоче місце починає виникати з попелу пандемії, і є можливість переглянути ці обмеження, приділяючи увагу зниженню ризику втоми безпеки.

Розглянемо наступний приклад:

• Прислухайтеся до своїх кінцевих користувачів, щоб краще зрозуміти, як безпека впливає на робочі процеси та підриває продуктивність. Спробуйте розробити політику, яка б краще врівноважувала потреби працівників із потребою мінімізувати кіберризик.
• Обмежте кількість рішень безпеки, які мають прийняти користувачі. Це може означати автоматичне встановлення виправлень програмного забезпечення, віддалене встановлення програмного забезпечення безпеки та керування ноутбуками та пристроями. А також запуск служб виявлення та реагування у фоновому режимі для виявлення та стримування загроз, коли вони порушують захист мережі.
• Підтримуйте підвищену безпеку входу, мінімізуючи зусилля, з менеджери паролів, на основі біометрії двухфакторная аутентифікація і єдиний вхід (SSO).
• Обмежте кількість повідомлень, пов’язаних із безпекою, якими ви бомбардуєте користувачів. Менше значить більше.
• зробити навчання обізнаності щодо безпеки веселіше через коротші сеанси (10-15 хвилин), які використовують реальний світ моделювання та гейміфікація, змінити поведінку.

Щоб безпека працювала ефективно, вам потрібно створити культуру, у якій кожен працівник розуміє вирішальну роль, яку вони відіграють у підтримці безпеки організації, і активно бажає відігравати свою роль. На формування такої культури може знадобитися час. Але все починається з розуміння та усунення причин втоми від безпеки.