Стресс и токсичная корпоративная культура могут стать причиной внутренних угроз кибербезопасности

В то время как большинство организаций решают проблемы кибербезопасности с помощью технологий и наблюдения, исследование Эммануэля Анти утверждает, что эмпатия может быть более эффективной защитой. Его докторская диссертация в Университете Ваасы посвящена изучению девиантности среди инсайдеров и тому, как понимание связанных с ней человеческих факторов может привести к созданию более эффективных и устойчивых методов кибербезопасности.

Инсайдерские угрозы и девиантное поведение возникают, когда сотрудники, подрядчики или бывшие сотрудники злоупотребляют своим доступом к системам организации — как намеренно, так и случайно. Исследования Анти в области информационных систем проливают свет на человеческий фактор в этих инцидентах, показывая, что страх, стресс, культурные особенности, мораль и этика, а также эмоциональное напряжение могут способствовать девиантному цифровому поведению.

«Люди не всегда планируют нарушать правила. Непреднамеренные действия, такие как отправка конфиденциальных электронных писем не тому человеку или фишинговая атака, могут быть вызваны теми же причинами: стрессом, давлением и неблагоприятной рабочей атмосферой», — объясняет Анти.

Некоторые сотрудники также проявляют так называемую «девиантную креативность» — находят хитроумные и оригинальные способы обхода ограничений безопасности. Использование инсайдерской информации хитрыми, но рискованными способами может подвергнуть организацию киберугрозам. Например, сотрудник может отправить конфиденциальные файлы по электронной почте в свой личный кабинет, чтобы сэкономить время и закончить работу вне офиса, зная, что система не пометит несекретные данные или не заблокирует личные адреса.

«Когда системы и политики безопасности слишком жёсткие, сотрудники ищут обходные пути. Чтобы повысить уровень соответствия требованиям и культуры безопасности, организациям необходимо сначала понять, что побуждает людей обходить правила», — говорит Анти.

Технологии сами по себе не могут решить проблему внутренних рисков

Традиционно организации полагались на технологические инструменты для управления внутренними угрозами, но Анти утверждает, что этот подход неэффективен, поскольку игнорирует человеческий фактор. Современные инструменты, включая системы искусственного интеллекта, используемые для мониторинга сотрудников, могут неверно оценивать качество работы, отдавая предпочтение скорости вместо усердия и клеймя вдумчивых и аккуратных сотрудников как неэффективных. Со временем это может привести к разочарованию, напряжению и недоверию.

«Вместо того чтобы предотвращать внутренние угрозы, эти инструменты могут способствовать их возникновению. Отклонение от норм поведения становится реакцией на эмоциональное, контекстное и экологическое давление», — предупреждает Анти.

В своей диссертации он предлагает альтернативу: эмпатическую модель безопасности, основанную на дизайн-мышлении. Этот подход побуждает организации совместно с сотрудниками разрабатывать политики кибербезопасности, уделяя особое внимание пониманию их потребностей, мотивации и эмоционального благополучия.

«Эмпатия укрепляет доверие. Когда сотрудники чувствуют, что их понимают, они более склонны сообщать об ошибках, а не скрывать их, и соблюдать правила безопасности, поскольку сами участвовали в их создании», — заключает Анти.