Uprkos velikim napretcima u sajber bezbednosti, jedna slabost i dalje nadmašuje sve ostale: ljudska greška.
Istraživanja dosledno pokazuju da je ljudska greška odgovorna za prevelik broj uspešnih sajber napada. Nedavna izveštaj navodi da je taj procenat 68%.
Bez obzira na to koliko napredne naše tehnološke odbrane postaju, ljudski element će verovatno ostati najslabija karika u lancu sajber bezbednosti.
Ova slabost utiče na sve koji koriste digitalne uređaje, ali tradicionalni programi obrazovanja i svesti o sajber bezbednosti – pa čak i novi, napredni zakoni – ne uspevaju da je adekvatno adresiraju.
Kako se možemo suočiti s izazovima koji se odnose na ljudsku komponentu sajber bezbednosti?
Razumevanje ljudske greške
Postoje dva tipa ljudske greške u kontekstu sajber bezbednosti.
Prvo su greške zasnovane na veštinama. One se javljaju kada ljudi rade rutinske stvari – posebno kada im je pažnja skrenuta.
Na primer, možete zaboraviti da napravite rezervnu kopiju podataka na radnoj površini svog računara. Znate da to treba da uradite i znate kako to da uradite (jer ste to radili pre).
Ali, zbog toga što želite da idete kući ranije, zaboravili ste kada ste to poslednji put uradili ili imate puno e-mailova na koje treba da odgovorite, ne uradite to. To vas može učiniti podložnijim zahtevima hakera u slučaju sajber napada, jer ne postoje alternativni načini da povratite originalne podatke.
Drugi tip su greške zasnovane na znanju. One se javljaju kada neko sa manje iskustva pravi greške u sajber bezbednosti zbog nedostatka važnog znanja ili nepoštovanja specifičnih pravila.
Na primer, možete kliknuti na link u e-mailu od nepoznatog kontakt osobe, čak i ako ne znate šta će se desiti. To bi moglo dovesti do toga da budete hakovani i izgubite novac i podatke, jer link može sadržati opasan malware.
Tradicionalni pristupi ne uspevaju
Organizacije i vlade su značajno investirale u programe obrazovanja o sajber bezbednosti kako bi se bavile ljudskom greškom. Međutim, ovi programi su imali mešovite rezultate, u najboljem slučaju.
To je delimično zato što mnogi programi imaju tehnološki orijentisan pristup i koriste jedinstveni model za sve. Često se fokusiraju na specifične tehničke aspekte, kao što su poboljšanje higijene lozinki ili implementacija višefaktorske autentifikacije.
Ipak, ne bave se osnovnim psihološkim i ponašajnim pitanjima koja utiču na akcije ljudi.
Stvarnost je da je menjanje ljudskog ponašanja mnogo složenije od jednostavnog pružanja informacija ili propisivanja određenih praksi. To je posebno tačno u kontekstu sajber bezbednosti.
Kampanje javnog zdravlja, kao što je inicijativa „Slip, Slop, Slap“ za bezbednost na suncu u Australiji i Novom Zelandu, ilustruju šta funkcioniše.
Otkako je ova kampanja započeta pre četiri decenije, slučajevi melanoma u obe zemlje su značajno opali. Promena ponašanja zahteva stalna ulaganja u promovisanje svesti.
Isti princip se primenjuje na obrazovanje o sajber bezbednosti. Samo zato što ljudi znaju najbolje prakse, ne znači da će ih dosledno primenjivati – posebno kada se suočavaju sa konkurentnim prioritetima ili vremenskim pritiscima.
Novi zakoni ne uspevaju
Predloženi zakon o sajber bezbednosti australijske vlade fokusira se na nekoliko ključnih oblasti, uključujući:
- borbu protiv napada ransomware-a
- poboljšanje razmene informacija između preduzeća i vladinih agencija
- jačanje zaštite podataka u kritičnim sektorima infrastrukture, kao što su energija, transport i komunikacije
- proširenje istražnih ovlašćenja za sajber incidente
- uvođenje minimalnih bezbednosnih standarda za pametne uređaje.
Ove mere su ključne. Međutim, kao i tradicionalni programi obrazovanja o sajber bezbednosti, one se prvenstveno bave tehničkim i proceduralnim aspektima sajber bezbednosti.
Sjedinjene Američke Države preuzimaju drugačiji pristup. Njihov Savezni strateški plan za istraživanje i razvoj sajber bezbednosti uključuje „ljudski orijentisanu sajber bezbednost“ kao svoj prvi i najvažniji prioritet.
Plan kaže:
„Potrebno je veće naglašavanje pristupa sajber bezbednosti usredsređenih na ljude, gde su potrebe, motivacije, ponašanja i sposobnosti ljudi u prvom planu u određivanju dizajna, operacija i bezbednosti informacionih tehnoloških sistema.“
3 pravila za ljudski orijentisanu sajber bezbednost
Kako možemo adekvatno rešiti problem ljudske greške u sajber bezbednosti? Evo tri ključne strategije zasnovane na najnovijim istraživanjima.
- Minimizirati kognitivno opterećenje: Prakse sajber bezbednosti treba da budu dizajnirane da budu što intuitivnije i manje naporne. Programi obuke treba da se fokusiraju na pojednostavljenje složenih koncepata i integraciju bezbednosnih praksi u svakodnevne tokove rada.
- Podsticati pozitivan stav prema sajber bezbednosti: Umesto da se oslanjaju na taktike zastrašivanja, obrazovanje bi trebalo da naglašava pozitivne ishode dobrih praksi sajber bezbednosti. Ovaj pristup može pomoći u motivisanju ljudi da poboljšaju svoje ponašanje u oblasti sajber bezbednosti.
- Usvojiti dugoročnu perspektivu: Promena stavova i ponašanja nije jedinstveni događaj, već kontinuirani proces. Obrazovanje o sajber bezbednosti treba da bude stalno, sa redovnim ažuriranjima kako bi se odgovorilo na evoluciju pretnji.
Na kraju, stvaranje zaista sigurnog digitalnog okruženja zahteva holistički pristup. To podrazumeva kombinovanje robusne tehnologije, dobrih politika i, što je najvažnije, osiguranje da su ljudi dobro obrazovani i svesni bezbednosti.
Ako bolje razumemo uzroke ljudske greške, možemo dizajnirati efikasnije programe obuke i bezbednosne prakse koje rade sa, a ne protiv, ljudske prirode.