Беспокойство вызывают протоколы компьютерной безопасности, которые создаются различными учреждениями, включая предприятия и государственные органы, для своих сотрудников. Эти правила призваны помочь сотрудникам защитить как личные, так и корпоративные данные от таких опасностей, как вредоносное ПО и фишинговые атаки.
Как исследователь в данной области я заметил, что некоторые советы по компьютерной безопасности, которые я читаю в Интернете, сбивают с толку, вводят в заблуждение или просто ошибочны. Иногда я не понимаю, откуда могут взяться подобные советы и на чем они основаны. Это и послужило толчком к данному исследованию. Кто пишет эти рекомендации?
— Брэд Ривз, автор нового исследования и доцент кафедры информатики в Государственном университете Северной Каролины.
Для исследования ученые провели 21 углубленное интервью со специалистами, которые отвечают за написание руководств по компьютерной безопасности для организаций, включая крупные корпорации, университеты и правительственные учреждения.
Основной вывод заключается в том, что люди, пишущие эти рекомендации, стараются предоставить как можно больше информации. Теоретически это хорошая идея. Но авторы не отдают приоритет советам, которые являются наиболее важными. Или, точнее, они не отбрасывают те моменты, которые значительно менее важны. А поскольку советов по безопасности много, рекомендации становятся неусваиваемыми, и самая ключевая информация теряется в беспорядке.
— Брэд Ривз.
Исследователи обнаружили, что одна из причин, по которой рекомендации по безопасности могут быть настолько сложными, заключается в том, что их авторы склонны включать в них все возможные элементы из самых разных авторитетных источников.
Другими словами, авторы руководств собирают информацию о безопасности, а не готовят информацию о ней для своих читателей
— Брэд Ривз.
Руководства могут быть не такими сложными
Опираясь на то, что исследователи узнали из интервью, они разработали две рекомендации по улучшению будущих руководств по безопасности.
Во-первых, при создании руководств нужен четкий набор лучших практик по усвоению информации, чтобы пользователям сообщалось не только о том, что им нужно знать, но и о том, как расставить приоритеты при изучении протоколов.
Во-вторых, составителям рекомендаций (и сообществу компьютерной безопасности в целом) нужны ключевые правила, которые будут иметь смысл для аудитории с различным уровнем технической компетентности.
Компьютерная безопасность — это действительно сложно. Но медицина еще сложнее. Тем не менее во время пандемии эксперты общественного здравоохранения смогли дать населению довольно простые и краткие рекомендации о том, как снизить риск заражения коронавирусной инфекцией. Мы должны сделать то же самое для компьютерной безопасности.
— Брэд Ривз.
В ходе исследования авторы пришли к выводу, что для создания полезных протоколов требуется провести ряд работ по увеличению доступности рекомендаций.
Нам нужны исследования, рекомендации и сообщества специалистов, которые смогут поддержать этих авторов, поскольку они играют ключевую роль том, чтобы вместо открытий в области компьютерной безопасности сотрудникам предоставлялись практические советы для реального применения. Я также хочу подчеркнуть, что в случае нарушения протокола мы не должны винить сотрудника за то, что он не соблюдает одно из тысяч правил. Нам нужно лучше работать над созданием принципов, которые легко понять и реализовать.
— Брэд Ривз.
