Вот что никто не признает: ваша межсетевая защита (фаервол) — не проблема. Ваш SIEM — не проблема. И тот сверкающий новый инструмент EDR, который вы только что купили? Тоже не проблема.
Проблема — это Стив из бухгалтерии, который использует «Password123», потому что ему лень запоминать что-то сложнее. Проблема — это ваш CISO (директор по информационной безопасности), который говорит о нулевом доверии (zero trust), но по-прежнему одобряет исключения для личных устройств генерального директора. Проблема — это негласное правило, что безопасность замедляет работу, поэтому все в итоге находят обходные пути.
Как гласит известная цитата, приписываемая Питеру Друкеру: «Культура съедает стратегию на завтрак». В сфере киберопераций она съедает вашу позицию в области безопасности на обед. Мы горько осознали это три года назад, когда фирма среднего размера в финансовом секторе наняла нашего коллегу, чтобы выяснить, почему их постоянно подвергают фишинговым атакам, несмотря на миллионные траты на обучение осведомленности. Их политики были безупречны. Их технологический стек впечатлял. Их план реагирования на инциденты мог бы получить награды.
Но их культура? Гнилая до основания.
Суть культуры в том, что она существует слоями. То, что вы видите на поверхности, почти ничего не говорит о том, что происходит на самом деле. Вам необходимо понять три отдельных измерения: наблюдаемое, ненаблюдаемое и имплицитное (скрытое). Упустите хоть одно из них, и вы строите свою программу безопасности на зыбучем песке.
Наблюдаемая культура: то, что вы действительно можете увидеть
Наблюдаемая культура — это всё материальное. Ваши политики. Ваши процедуры. Плакаты по безопасности в комнате отдыха. Обязательные учебные модули, которые все прокликивают, листая ленту в телефоне.
Именно на этом месте останавливается большинство организаций. Они пишут 47-страничный документ по политике безопасности, предписывают ежегодное обучение, развертывают какие-то инструменты мониторинга и считают дело сделанным. Галочка поставлена. Соответствие достигнуто. Все расходятся по домам, чувствуя себя превосходно.
Вот только всё это не имеет значения, если люди на самом деле не следуют этим правилам.
К наблюдаемым элементам относятся ваши формальные протоколы безопасности, планы реагирования на инциденты и средства контроля доступа. Сюда же относятся видимые действия, такие как гигиена паролей, управление устройствами и то, сообщают ли люди о подозрительных письмах. Они включают технологии, которые вы развертываете, и то, как вы информируете об угрозах.
Вы можете измерить эти вещи. Можете провести аудит. Можете внести их в электронную таблицу и показать совету директоров.
Но наблюдаемую культуру легче всего симулировать. Люди учатся разыгрывать «театр безопасности». Они знают, что должны делать. Они знают, что измеряется. Поэтому они делают ровно столько, чтобы избежать замечаний, продолжая при этом свои рискованные действия в тени.
Возьмем взлом Target в 2013 году. У них была система обнаружения вредоносного ПО FireEye стоимостью 1,6 миллиона долларов. Система делала именно то, для чего предназначалась. Она обнаружила вредоносное ПО. Она отправляла оповещения. Многократно.
Но команда безопасности проигнорировала эти оповещения. У них были политики и процедуры. У них были технологии. Но наблюдаемый слой был оторван от реальной практики. Инструменты были на месте, но последующих действий не было. Взлом привел к утечке 40 миллионов номеров кредитных карт и обошелся Target более чем в 200 миллионов долларов в виде выплат по искам.
Воздействие на кибероперации было катастрофическим. Инструменты не подвели. Наблюдаемая культура, видимый аппарат безопасности, существовали в вакууме. Наличие мер безопасности бессмысленно, если ваша операционная культура рассматривает оповещения как шум. План реагирования на инциденты Target выглядел великолепно на бумаге. Но когда срабатывали тревоги, никто не действовал. Разрыв между задокументированной процедурой и фактическим поведением создал слепое пятно, достаточно большое, чтобы сквозь него проехал грузовик.
У той финансовой фирмы, которую мы упомянули? Их наблюдаемая культура выглядела идеально. Все прошли обучение. Политики были задокументированы и подписаны. Инструменты безопасности были развернуты и настроены.
Но когда мы копнули глубже, мы обнаружили, что разработчики регулярно отключали средства контроля безопасности, потому что они «замедляют развертывание». Мы обнаружили, что руководители обменивались учетными данными, потому что «это быстрее, чем ждать запросов на доступ». Мы даже обнаружили целую экосистему теневых ИТ, которую никто не хотел признавать.
Наблюдаемый слой дает вам структуру. Структура без содержания — это просто театр.
Ненаблюдаемая культура: скрытые движущие силы
А теперь становится интересно.
Ненаблюдаемая культура — это всё, что происходит в головах людей. Их убеждения относительно киберрисков. Их отношение к безопасности. Их ценности и приоритеты, когда безопасность вступает в конфликт с удобством или скоростью.
Именно здесь принимаются настоящие решения.
Вы не можете увидеть убеждение человека в том, что «мы слишком малы, чтобы стать мишенью» или «безопасность — это работа ИТ, а не моя». Вы не можете измерить его предположение, что соответствие нормам равносильно безопасности. Вы не можете провести аудит его внутреннего ощущения, что сообщение об ошибке повредит его карьере.
Но эти невидимые силы формируют каждое решение о безопасности, которое принимают ваши сотрудники.
Ненаблюдаемая культура включает убеждения о вероятности и серьезности угроз. Она включает то, как люди сопоставляют безопасность и производительность. Она включает их доверие к руководству и готовность признавать ошибки. Она включает все когнитивные искажения, которые искажают восприятие риска.
Предвзятость оптимизма заставляет людей думать, что взломы случаются с другими компаниями. Предвзятость доступности заставляет недавние инциденты казаться более значимыми, чем системные уязвимости. Предвзятость подтверждения заставляет людей видеть то, что они ожидают увидеть, и игнорировать противоречивые доказательства.
Взлом Sony в 2014 году был не техническим провалом. Это был провал убеждений. Люди считали безопасность работой ИТ, а не своей собственной. Поэтому они переходили по фишинговым ссылкам, делились учетными данными и относились к угрозам как к маловероятным, потому что «мы делаем фильмы». Северокорейским хакерам не понадобились изощренные эксплойты. Они использовали эту ненаблюдаемую культуру. Результат: утечка 100 ТБ данных. Невыпущенные фильмы, личные данные, электронные письма руководителей. Сети оставались отключенными неделями, производство останавливалось, а доверие было подорвано. Никакой фаервол не исправит культуру, которая считает, что ее не будут атаковать.
В той финансовой фирме ненаблюдаемая культура была токсичной. Разработчики считали безопасность препятствием для инноваций. Руководители полагали, что киберриск является чисто техническим и может быть решен покупкой большего количества инструментов. Сотрудники чувствовали, что сообщение о проблемах безопасности выставит их некомпетентными.
Никто не говорил этих вещей вслух. Но все действовали в соответствии с ними.
Разрыв между тем, во что люди говорят, что верят, и тем, что они думают на самом деле, — это место, где программы безопасности умирают. Вы можете предписать любое обучение. Если люди по сути считают, что безопасность к ним не относится, они найдут способ обойти каждый внедренный вами контроль.
Имплицитная (скрытая) культура: самый глубокий слой
Вот где становится по-настоящему некомфортно.
Имплицитная культура — это то, о чем никто не говорит, потому что никто даже не осознает, что это существует. Невысказанные допущения. Невидимые нормы. «То, как здесь всё делается», что все знают, но никто не оспаривает.
Это самый мощный слой, потому что он действует ниже порога сознательного восприятия. Люди не выбирают следовать имплицитным нормам. Они это делают. Автоматически. Не задумываясь.
Имплицитная культура включает невысказанные убеждения, такие как «безопасность нас замедляет» или «руководству это на самом деле неважно». Она содержит скрытые властные отношения, которые определяют, кто может оспаривать решения по безопасности, а кто нет. Она включает организационную идентичность, которая формирует то, как люди видят себя и свою работу.
Она включает психологическую безопасность, или ее отсутствие. Могут ли люди высказывать опасения без страха? Могут ли они признавать ошибки без наказания? Могут ли они оспаривать предположения, не будучи названными «трудными»?
Взлом Equifax в 2017 году был не просто пропущенным обновлением. Это был культурный провал. Была обнаружена критическая уязвимость в Apache Struts, и команды безопасности получили предупреждение о необходимости установки патча. Однако негласное правило заключалось в том, что электронные письма по безопасности — это шум, а бесперебойная работа важнее исправлений. У безопасности не было абсолютных полномочий остановить работу до установки патча. В результате уязвимость оставалась без внимания месяцами, будучи видимой. Злоумышленники воспользовались ею, раскрыв данные 147 миллионов человек, включая номера социального страхования. Доверие рухнуло. Сменилось руководство. Позже Equifax согласилась на урегулирование на общую сумму более 700 миллионов долларов. И никто не принял на себя ответственность за решение о риске!
В той финансовой фирме имплицитная культура была жестокой. Существовало негласное допущение, что бизнес-подразделения важнее, чем команды безопасности. Существовала невидимая иерархия, в которой любой, обладающий достаточным старшинством, мог отменить рекомендации по безопасности. Существовало скрытое убеждение, что признание уязвимости — признак слабости.
Никто не записывал эти правила. Никто не преподавал их новым сотрудникам явно. Но все усваивали их в течение нескольких недель после начала работы.
Имплицитная культура — вот почему изменения так сложны. Вы можете переписать политики за одну ночь. Вы можете развернуть новые инструменты за несколько недель. Но смена глубоко укоренившихся допущений? Это занимает годы.
И если вы не займетесь этим слоем, ничего другое не приживется.
Сдвиг всех трех измерений
Как на самом деле изменить культуру?
Вы не можете просто выбрать одно измерение и надеяться, что остальные последуют. Они взаимосвязаны. Изменение в одном аспекте без других приводит к несоответствию и путанице.
Начните с того, чтобы сделать невидимое видимым. Вы не можете исправить то, чего не видите. Проводите аудиты культуры. Запускайте анонимные опросы. Привлекайте внешних модераторов, которые могут заметить слепые зоны, которые вы нормализовали. Задавайте неудобные вопросы и действительно слушайте ответы.
Руководство должно демонстрировать то поведение, которое вы хотите видеть. Не просто говорить об этом. Делайте это на самом деле. Видимо. Последовательно. Когда лидеры признают ошибки, это дает разрешение всем остальным поступать так же. Когда лидеры ставят безопасность выше удобства, это сигнализирует о том, что действительно важно.
Встраивайте безопасность в повседневные операции. Не как отдельную функцию, о которой люди должны помнить. А как часть того, как выполняется работа. DevSecOps — это не просто модное словечко. Это значит сделать безопасность путем по умолчанию, а не исключением.
Встройте непрерывное обучение в свою культуру. Угрозы развиваются. Ваше понимание тоже должно развиваться. Разборы инцидентов не должны быть направлены на поиск виноватых. Они должны быть направлены на формирование организационной памяти и повышение квалификации.
Настройте свои стимулы. Если вы вознаграждаете скорость больше, чем безопасность, люди выберут скорость. Если вы наказываете людей за сообщение о проблемах, они перестанут сообщать. Обеспечьте, чтобы последствия небрежности были прозрачными и справедливыми, но при этом люди чувствовали себя в безопасности, высказывая опасения.
В той финансовой фирме мы потратили шесть месяцев, работая над всеми тремя слоями. Мы не просто обновили политики. Мы выявили скрытые убеждения посредством модерируемых дискуссий. Мы открыто выявили и оспорили имплицитные допущения. Мы изменили то, как руководство говорило о безопасности и действовало в отношении нее.
Это было грязно. Это было некомфортно. Но это сработало.
Реальность
На практике технические средства контроля — это легко. Культура — это сложно.
Вы можете покупать инструменты. Вы можете писать политики. Вы можете предписывать обучение. Но вы не можете предписать убеждения. Вы не можете купить доверие. Вы не можете развернуть психологическую безопасность.
У Target были инструменты, но не было операционной дисциплины. У Sony были политики, но не было общего убеждения в том, что безопасность имеет значение. Equifax знала, но не имела культурного разрешения действовать в соответствии с этим знанием. Каждый взлом произошел на разном культурном слое. Каждый стоил сотни миллионов. Каждый можно было предотвратить не лучшими технологиями, а лучшей культурой.
Изменение культуры требует терпения, последовательности и готовности столкнуться с неудобными истинами. Оно требует лидеров, готовых изучить собственные допущения и поведение. Оно требует организаций, которые ценят честность выше видимости.
Наблюдаемая культура обеспечивает структуру. Ненаблюдаемая культура дает мотивацию. Имплицитная культура составляет фундамент. Вам нужны все три.
Организации, которые выживают, — это те, где безопасность вплетена в их культурную ДНК, где разведывательные данные о рисках инстинктивны, а не навязаны, где люди принимают правильные решения по безопасности, потому что это просто так принято.
Вот в чем настоящая работа. Не в покупке еще одного инструмента. Не в написании еще одной политики, а в построении культуры, где безопасность — это не то, что люди делают. Это то, чем они являются.
Эта статья опубликована в рамках Сети экспертов-авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maman Ibrahim
