Как в компании создавать культуру безопасности, если сотрудники боятся обсуждать инциденты и предлагать улучшения
Даже компании со зрелой ИБ и достаточными инвестициями в это направление не застрахованы от киберинцидентов. Атакующие могут использовать уязвимости нулевого дня или скомпрометировать цепочку поставок, сотрудники могут стать жертвой сложной мошеннической схемы по проникновению в компанию, сама команда ИБ может допустить ошибку в настройках защитных инструментов или процедуре реагирования. Но каждый такой случай — повод улучшать процессы и системы, делать защиту еще эффективнее. И это не просто мотивационный афоризм, а практический подход, который вполне успешно работает в других сферах, например в авиационной безопасности. В авиации требования по обмену информацией для предотвращения инцидентов предъявляются ко всем участникам — от производителей самолетов до стюардесс. И речь идет не обязательно об авариях или сбоях, в этой отрасли принято сообщать и о потенциальных проблемах. Сообщения постоянно анализируются и на их основе корректируются меры безопасности. Постоянное внедрение новых мер и технологий привело к снижению числа фатальных инцидентов с 40 на миллион вылетов в 1959 году до 0,1 — в 2015-м. Но главное — в авиации давно поняли, что такая схема не будет работать, если ее участники боятся сообщать о нарушениях процедур, проблемах качества и других причинах инцидентов. Поэтому авиационные стандарты включают требования non-punitive reporting и just culture — то есть сообщения о проблемах и нарушениях не должны приводить к наказанию. Есть подобный принцип и у инженеров DevOps, они обычно называют это blameless culture и используют при разборе масштабных сбоев. Незаменим такой подход и в кибербезопасности.
Противоположностью blameless culture является принцип «у каждой ошибки есть фамилия», то есть конкретный виновник, который ее совершил. В рамках этой концепции за каждую ошибку применяют дисциплинарные взыскания вплоть до увольнения. Однако в реальности использование этого принципа вредно и не ведет к повышению защищенности. Сотрудники боятся ответственности и искажают факты при расследовании случившихся инцидентов, а то и уничтожают информацию, пытаясь скрыть улики. Искаженная или частично уничтоженная информация об инциденте усложняет реагирование и ухудшает общий исход, потому что ИБ не может правильно и быстро оценить масштаб инцидента. При разборе инцидентов фокус на конкретном виновнике не позволяет сосредоточиться на том, как надо изменить систему, чтобы подобные инциденты не повторялись впредь.
Как ни называй эту концепцию, non-punitive reporting или blameless culture, общие принципы едины. Ошибки допускают все. На ошибках учатся, а не выдумывают за них наказания. При этом надо различать ошибку и нарушение со злым умыслом. При анализе ошибок и нарушений в инцидентах обязательно учитывать контекст, намерения сотрудника и системные причины, которые могли повлиять на ситуацию. Например, из-за большой текучки сезонных сотрудников в магазинах они не успевают получить учетную запись и используют одну и ту же учетную запись при входе в кассовый терминал. Виноват ли в этом администратор магазина? Вряд ли. При разборе инцидентов обязательно анализировать не только технические данные и журналы, но и подробно общаться со всеми участниками, создавая продуктивную и безопасную обстановку в обсуждении. Главное — открытость и прозрачность. Сотрудники должны знать, как рассматриваются сообщения о нарушениях и инцидентах и как по ним принимаются решения. Сотрудникам должно быть понятно, к кому обратиться, если они видят или даже подозревают проблему ИБ. Они должны знать, что их поддержат и прямое руководство, и профильные специалисты. Конфиденциальность и защита. Сообщения о проблемах не должны создавать трудности ни для того, кто сообщил о проблеме, ни для того, кто, возможно, был ее причиной, если они оба добросовестные сотрудники.
Получите поддержку руководства. Культура безопасности не требует значительных прямых инвестиций, но нужна систематическая поддержка по линиям HR, ИБ, внутренних коммуникаций, а также видимое сотрудникам благословение со стороны топ-менеджмента. Зафиксируйте подход в документах компании. Это должно быть описано как в подробных регламентах ИБ, так и в простом коротком документе, который дочитает и поймет каждый сотрудник. В нем нужно четко описать позицию компании о различии между ошибкой и нарушением, зафиксировать формально, что ответственность за «честные ошибки» — не персональная и общим приоритетом является повышение защищенности компании и избежание повторов ошибок в будущем. Создайте каналы для сообщения о проблемах. Их должно быть несколько: специальный подраздел внутреннего сайта для сотрудников или специальный адрес e-mail, возможность прямо сообщить руководству, а в идеале также нужен условный «телефон доверия» — канал для анонимных сообщений. Обучайте сотрудников. Это поможет им распознавать небезопасные, с точки зрения ИБ, процессы или поведение. В тренингах нужны примеры конкретных проблем, о которых нужно сообщать, и разбор разных сценариев, по которым может разворачиваться инцидент. Организовать тренинги по повышению осведомленности о современных киберугрозах можно, например, при помощи нашей онлайн-платформы. Мотивируйте сотрудников не только сообщать об инцидентах, но и предлагать улучшения, думать о предотвращении проблем ИБ в своей повседневной работе.
«Культура безопасности» и «культура без обвинений» не означают, что никто и никогда не несет ответственности за проблемы. В тех же авиационных документах про non-punitive reporting есть важные исключения: защита не распространяется на те случаи, когда нарушитель осознанно и злонамеренно отступил от регламентов. Это исключение не позволит инсайдеру, сливающему данные конкурентам, пойти и повиниться, наслаждаясь полной безнаказанностью. Бывает, что регуляторные требования страны или индустрии требуют персональной ответственности сотрудников за инциденты и нарушения. Даже в условиях такого регулирования важно сохранять баланс: фокус должен оставаться на улучшении процессов и предотвращении повторений инцидента, а не на поиске виновных. Формирование культуры доверия возможно, если расследование проводится объективно, а меры применяются только там, где это действительно необходимо и обосновано.
По материалам Касперский