Если вас когда-либо смущали инструкции по компьютерной безопасности на вашем рабочем месте, вы не одиноки. Недавнее исследование подчеркивает фундаментальную проблему при разработке этих рекомендаций и предлагает немедленные шаги по их совершенствованию — потенциальное улучшение компьютерной безопасности.
Вызывают обеспокоенность протоколы компьютерной безопасности, которые предприятия и государственные учреждения предоставляют своим сотрудникам и которые призваны помочь сотрудникам защитить личные и организационные данные от таких опасностей, как вредоносное ПО и фишинговые атаки.
«Как исследователь компьютерной безопасности, я заметил, что некоторые советы по компьютерной безопасности, которые я читаю в Интернете, сбивают с толку, вводят в заблуждение или просто ошибочны», — сказал Брэд Ривз, автор нового исследования и доцент кафедры компьютерных наук в Гарвардском университете. «В некоторых случаях я не знаю, откуда берутся рекомендации или на чем они основаны. Это послужило толчком для этого исследования. Кто пишет эти рекомендации? На чем основаны их рекомендации? Каков их процесс? Есть ли что-нибудь, что мы можем сделать лучше?»
В рамках исследования исследователи провели 21 углубленное интервью со специалистами, ответственными за написание руководств по компьютерной безопасности для таких организаций, как крупные компании, университеты и правительственные учреждения.
«Основной вывод здесь заключается в том, что люди, которые пишут эти рекомендации, стараются предоставить как можно больше информации», — сказал Ривз. «Теоретически это здорово. Но авторы не отдают приоритет наиболее важным рекомендациям. Или, точнее, они не отдают приоритет менее важным моментам. При таком большом количестве рекомендаций по безопасности рекомендации могут стать непосильными, и наиболее важные моменты затеряются в беспорядке».
Исследователи обнаружили, что одна из причин, по которой рекомендации по безопасности настолько ошеломляют, заключается в том, что их составители склонны включать в себя все возможные элементы из множества авторитетных источников.
«Другими словами, авторы руководств собирают информацию о безопасности, а не готовят информацию о безопасности для читателей», — сказал Ривз.
Основываясь на том, что они узнали из интервью, исследователи дали две рекомендации по улучшению будущих рекомендаций по безопасности.
Во-первых, авторам руководств нужен четкий набор лучших практик по управлению информацией, чтобы руководства по безопасности сообщали пользователям, что им нужно знать и как расставлять приоритеты в этой информации. Во-вторых, писателям и всему сообществу компьютерной безопасности нужна важная информация, которая будет полезна аудитории с различным уровнем технических возможностей.
«Послушайте, компьютерная безопасность — это сложно», — сказал Ривз. «Но медицина сложнее. Тем не менее, во время пандемии эксперты общественного здравоохранения смогли предоставить населению довольно простые и краткие рекомендации о том, как снизить риск заражения COVID-19. Мы должны быть в состоянии сделать то же самое в отношении компьютерной безопасности».
В конечном итоге исследователи обнаружили, что авторам советов по безопасности нужна помощь.
«Нам нужны исследования, рекомендации и сообщество практиков, которые смогут поддержать этих авторов, поскольку они играют решающую роль в преобразовании результатов компьютерной безопасности в практические рекомендации для реальных приложений», — сказал Ривз. «Я также хочу подчеркнуть, что когда происходит инцидент с компьютерной безопасностью, мы не должны обвинять сотрудников в том, что они не соблюдают ни одного из тысячи правил безопасности, которых мы ожидаем от них. Нам нужно лучше работать над разработкой руководств, которые легко понять и реализовать».