http://www.risc.today/

1. Психология в деятельности CISO
Лукацкий Алексей, консультант по безопасности
security-request@cisco.com

2. Мы много делаем для безопасности

3. Но приносит ли это эффект?!

4. Вопросы, которые техника решить не поможет
• Почему нарушитель атакует эту компанию/систему, а не другую?
• Почему пользователи не соблюдают правила ИБ?
• Почему с регуляторами сложно найти общий язык?
• Почему пользователи выбирают нестойкие пароли?
• Почему мы недооцениваем одни риски и превозносим другие?
• Почему системы защиты не срабатывают?
• Почему руководство не дает денег на новый проект по ИБ?
• От чего надо защищаться в первую очередь?
• Сколько паролей может запомнить пользователь?
• Что сдерживает пользователей от того, чтобы не перейти в
разряд нарушителей?
• Почему киберпреступники не считают свою деятельность
плохой?

5. ВВЕДЕНИЕ В ПСИХОЛОГИЮ

6. Психология
• Психология – наука о поведении и психических процессах или
• Психология – это область научного знания, исследующая
особенности и закономерности возникновения, формирования и
развития (изменения) психических процессов (ощущение,
восприятие, память, мышление, воображение), психических
состояний (напряжённость, мотивация, фрустрация, эмоции,
чувства) и психических свойств (направленность, способности,
задатки, характер, темперамент) человека
• Психология должна отвечать на вопрос о том, почему человек
ведет себя так или иначе

7. Что может подсказать психология?
• Общая психология
– Какие мотивы определяют поведение людей?
– Почему мы замечаем одни вещи и не видим другие?
• Психология развития (возрастная психология)
– Как меняется поведение человека в зависимости от возраста?
– Чего ожидать от молодежи, а чего от «стариков»?
• Дифференциальная психология
– Чем отличается поведение различных социальных, классовых,
этнических, возрастных и иных групп?
• Клиническая психология
– Как ведет себя человек во время острого психического
расстройства, дискомфорта или тяжелого известия?

8. Что может подсказать психология?
• Педагогическая психология
– Как донести до пользователей нужную мысль?
– Как повысить эффективность обучения и повышения
осведомленности пользователей?
• Психология труда
– Как повысить производительность сотрудников службы ИБ?
– Как мотивировать сотрудников?
– Как преодолеть кризис профессионального развития?
– Стресс- и конфликт-менеджмент
• Социальная психология
– Как человек ведет себя обществе или социальной группе?
• Юридическая психология
– Формирование модели нарушителя

9. Что может подсказать психология?
• Когнитивная психология
– Как принимаются решения?
– Как работает память?

10. Причины разрыва между ожидаемым и реальным по
версии Norwegian National Security Authority
• Юзабилити (удобство/неудобство) безопасности
– Как систем, так и процедур и процессов
• Отсутствие у сотрудников необходимых знаний в области ИБ
• Отношение к безопасности
– Например, «старые» сотрудники не запускали утвержденный
процесс реагирования на инцидент, произошедший по вине
новичков, предпочитая поговорить с ними «по душам» и дать им
еще один шанс в ущерб установленным правилам)
• Отсутствие культуры безопасности
– Например, сотрудники часто думают или говорят «почему я
должен это делать, если мой коллега этого не делает?»
• Конфликт целей
– Классическая дилемма: что важнее - запустить продукт к сроку, но
без серьезных проверок на безопасность, или досконально
проверить защищенность, но сорвать сроки запуска проекта?

11. НЕМНОГО ПРИМЕРОВ ИЛИ
КАК ПСИХОЛОГИЯ ОТВЕЧАЕТ
НА НАШИ ВОПРОСЫ?

12. Как аутентифицировать сотрудников азиатского офиса?

13. Куда девать токен или смарткарту?

14. Где проще внедрять политики ИБ? В большом или малом
бизнесе?
• В ограниченных сообществах (до 150
человек) порицание окружающих
может сдерживать плохие поступки
людей
– Их удерживает боязнь быть
осмеянными и опозоренными
– Неправильные действия сотрудников
сдерживаются сами по себе, т.к.
почти любой боится попасть в
корпоративную рассылку как
«мальчиш-плохиш» или быть
предметом обсуждения в курилке
– В небольших компаниях, где все
знают друг друга, нет нужды в
написании каких-нибудь
формализованных правил поведения

15. Где проще внедрять политики ИБ? В большом или малом
бизнесе?
• На крупном предприятии как
такового коллектива нет – он
обезличен
– Общественного осуждения уже
недостаточно – необходим
Закон, который определяет
вполне конкретные наказание
за тот или иной проступок
– Потенциальная кара может
сдерживать сотрудников от
совершения каких-либо
неправильных действий,
нарушающих, например,
политику безопасности

16. Где проще внедрять политики ИБ? В большом или малом
бизнесе?
• В обществе, в котором сильна законодательная или
нормативная составляющая, человек перестает опираться на
моральные принципы и нормы
– Его останавливает только запрет, оформленный документально
в правилах, политиках, кодексах и т.п.

17. Почему политики вообще не работают?
• У нас исчезла традиция законопослушания
– Свобода, как вседозволенность, преподносимая СМИ последние
пару десятилетий, негативно сказалась на молодежи и среднем
поколении
– Они становятся все более непослушными и дерзкими; запреты их
раззадоривают (чем моложе, тем сильнее), а не пугают или
загоняют в рамки
– Тоже происходит и с более старшим поколением, в которое
вбивались в советское время нормы законопослушания, но
последние годы и они выветриваются
• Что в итоге? Нежелание соблюдать любые нормы - в жизни, в
работе
– Это и является причиной роста киберпреступности - нет боязни,
нет разделения на черное и белое и есть задор
Лидия Матвеева,
«Праздник непослушания»

18. Сколько гениев работает в вашей компании?
• Специалисты по когнитивной
психологии утверждают, что
среднестатистический человек
может одновременной
удерживать в памяти 5 вещей,
гений - 7, а человек с
посредственными умственными
возможностями - не более трех
• Следовательно, число паролей у
пользователя ко всем системам
должно не быть не более трех
– В противном случае, он их
перестанет запоминать и будет
записывать на бумажке или в
телефоне

19. Как улучшить пароли с точки зрения психологии?
• Ассоциативные пароли
• Графические пароли
• Музыкальные пароли

20. Ассоциативные (когнитивные) пароли
• Ассоциативный пароль создается на
основе различных фраз и
предложений
– Из фразы «Мой дядя самых
честных правил» можно составить
пароль – «мдсчп» или
«модясачепр»
– Из фразы "Four score and seven
years ago, our Fathers" появился
пароль "4s&7ya,oF«
• Но… люди будут выбирать публично
известные фразы для создания
мнемонических (ассоциативных)
паролей - из фильмов, музыки,
рекламы и т.п.

21. Проблема выбора
• Сама проблема выбора зависит от
того, как это понятие определяется
культурой
• Существуют два противоположных
взгляда на то, что такое выбор,—
американский и восточный
– Для американцев выбор есть
привилегия личности. Осуществляет
выбор и несет за него
ответственность сам человек
– Для китайцев и японцев выбор — это
коллективный акт. Они считают, что
отдельный человек слишком слаб,
чтобы принять оптимальное
решение.
Шина Айенгар,
Columbia Business School

22. Проблема выбора
• Россия и Восточная Европа отходят от коллективистской
советской концепции в сторону индивидуалистической, но у них
необходимость делать выбор вызывает страх
• Американцы чересчур поверили в свои силы и напрочь забыли о
рисках
Шина Айенгар,
Columbia Business School

23. Страна влияет на уровень терпимости к риску
• Уровень терпимости к риску достаточно
высок в странах с низким уровнем
доходов (т.е. и в России тоже)
– Высокий уровень означает
нетерпимость и желание снизить
риски или переложить их на кого-то
• В странах с высоким уровнем доходов,
в странах с преимущественно
индивидуалистичным стилем жизни, в
странах, в которых граждане живут в
определенной гармонии с собой и
окружающим миром уровень
терпимости низкий
– Граждане более доверчивы, чем,
собственно, и пользуются многие
мошенники
The Cultures of Risk Tolerance

24. Терпимость к риску на практике
Источники
фишинговых атак
Цели фишинговых
атак

25. Молодежь и персональные данные
• Современная молодежь не видит ничего зазорного в
предоставлении своих персональных данных на всеобщее
обозрение в социальных сетях, на собственных сайтах, блогах, в
виртуальных мирах и т.д.
– Закрытие такой информации делает молодежь изгоями в своей
среде
– Предоставление такой информации о себе формирует цифровую
идентичность подростка или юноши/девушки
– Раскрытие своих персональных данных обеспечивает членство в
группе ровесников
• Для людей поколения 80-90-х раскрытие своей своих ПДн - это
скорее неизбежное зло для онлайн-общения, а для поколения
2000-х-2010-х -это в порядке вещей и не вызывает никаких
сомнений
«Дети цифровой эры»

26. Евросоюз и персональные данные
• Люди готовы торговать конфиденциальностью своих данных в
обмен на удобство (например, при доступе к каким-то сайтам или
ресурсам) или какие-то незначительные награды (например, в
системах повышения лояльности, в картах накопительных скидок
и т.д.)
– Причем выгоды субъект хочет получить сейчас и сразу, а о
будущих последствиях думать он будет потом (если вообще
будет)
• Люди, не имея полной информации для принятия решения
относительно своих ПДн, могут принять решение неверное,
последствия которого сложно устранить
– И даже имея всю необходимую информацию, рациональное
поведение субъектов ПДн - скорее из области фантастики

27. Евросоюз и персональные данные
• Люди руководствуются социальными нормами поведения
– Например, будучи честным альтруистом, человек может считать
остальных таковыми же и предоставлять свои ПДн всем, кто их у
него запрашивает
• Людям с небольшими доходами (менее 450000 рублей в год) на
защиту своих персональных данных практически наплевать, в
отличие от более обеспеченных граждан
• Субъекты ПДн, которых беспокоит неприкосновенность частной
жизни, не сильно заботятся о том, чтобы что-то предпринять для
ее защиты
– Мало кто (чуть больше 37%) использует шифрование
электронной почты
– Не все (56%) используют средства контентной фильтрации
– 50% людей не используют шредеры

28. Почему так сложно идут изменения в области ИБ?
• Все жаждут прогресса, но никто не хочет изменений
• Люди инертны
– Склонны верить тому, что узнали в самом начале (ВУЗе, первой
работе и т.д.)
– Ленивы и не будут упорно трудиться ради изменений
– Людей устраивает средний результат. Это зона комфорта. Best
Practices никому не нужны (как и мировые рекорды)
– Люди считают свои решения лучшими
• Чтобы пересмотреть точку зрения, человека надо долго
переубеждать или показать воочию
• Изменения происходят не вдруг – имейте терпение

29. А вы учитываете «центры Силы» в компании?
• Центр восприятия информация
– Те, кто воспринимают информацию благосклонно
• Центр неудовлетворенности
– Те, кто недовольны текущим положением дел
• Центр власти
– Те, кто принимают решения
• Центр противодействия
– Те, кто не хотят изменений

30. А свойства иерархий учитываете?
• Дуализм
– Элемент системы обладает как индивидуальными, так и
системными свойствами
• Они могут противоречить друг другу и тогда возникает конфликт
– Чем сложнее иерархия, тем меньше индивидуальных качеств
остается на нижних уровнях – остаются «винтики»,
легкозаменяемые элементы четко прописанного процесса
• Именно поэтому крупные организации так привержены
процессному подходу
• Именно поэтому ISO 27001 – это стандарт, ориентированный, в
первую очередь, на крупные предприятия

31. О свойствах иерархий
• Диктатура верхних уровней над нижними
• Нечувствительность верхних уровней к изменениям на нижних
– Главное для верхнего уровня, чтобы нижний уровень выполнял
свои функции
– Именно поэтому важно попасть CISO на верхний уровень
иерархии
• Высокая чувствительность нижних уровней к изменениям на
верхних
– «Верхи не могут, а низы не хотят…»
• Чем выше уровень, тем гибче структура
– Нижние уровни – жесткая иерархия и связи (субординация)

32. ЧЕЛОВЕЧЕСКИЙ ФАКТОР

33. Можно ли обойтись без человека?
• Многие защищенные и безопасные системы опираются на
действия людей для выполнения критически важных функций.
Однако, люди часто не справляются со своими ролями. Когда это
возможно, дизайнеры и архитекторы систем безопасности
должны находить способы исключения человеческого фактора
при проектировании систем. Однако, есть ряд задач, для которых
альтернатив человеку нет или они экономически
нецелесообразны. В этих случаях архитекторы безопасности
должны максимизировать свои шансы на выполнении всех
критичных для безопасности функций даже при наличии
человеческого фактора
– CMU-CyLab-08-001 "A Framework for Reasoning About the Human
in the Loop"

34. Можно ли обойтись без человека?
• Мы предлагаем основу для рассуждений о человеческом
поведении, что обеспечивает систематический подход к
выявлению возможных причин для "отказа человека", т.е.
действий человека, направленных на умышленный или
случайный обход системы защиты. Эта структура (framework)
может быть использована дизайнерами и архитекторами для
выявления проблемных областей до внедрения систем и для
своевременного обнаружения и устранения недостатков,
связанных с человеческим фактором. Эксперты безопасности
могут также использовать этот подход для анализа причины
неудач и сбоев в системе безопасности, которые относятся к
разряду человеческих ошибок. Приведены примеры,
иллюстрирующие применение этого подхода к различным
проблемам проектирования защищенных систем, включая
системы антифишинга и управления паролями

35. ГОСТ Р 51344-99
• ГОСТ Р 51344-99 «Безопасность машин. Принципы оценки и
распределения риска»
• Является руководством для принятия решений при
конструировании машин
– Но изложенные в нем подходы могут быть использованы и в
других областях безопасности, например, в ИБ
• Один из немногих стандартов, говорящих о человеческом
факторе, как серьезной проблеме в области безопасности

36. Человеческий фактор и ГОСТ Р 51344-99
• При оценке риска необходимо принимать во внимание
человеческий фактор
– Взаимодействие человек – техническое средство
– Взаимодействие между людьми
– Психологические аспекты
– Эргономические факторы
– Способность осознавать риск в данной ситуации (зависит от
обучения, опыта или способностей)

37. ЭРГОНОМИКА СРЕДСТВ
ЗАЩИТЫ

38. Психологическая приемлемость
• Очень важно, чтобы интерфейс
взаимодействия с пользователем был
удобным в использовании; чтобы
пользователи запросто и «на автомате»
использовали механизмы защиты
правильным образом. Если образ защиты в
уме пользователя будут соответствовать
тем механизмам, которые он использует на
практике, то ошибки будут
минимизированы. Если же пользователь
должен переводить представляемый им
образ на совершенно иной «язык», он
обязательно будет делать ошибки
– Джером Зальтцер и Майкл Шредер, 1975
год

39. Пароли: что плохого?
• Выбирайте пароли длиной свыше 8 символов
– А как их запомнить?
• Используйте системы автоматической генерации паролей
(8HguJ7hY)
– А как их запомнить?
• Пусть пароль выбирает пользователь
– Тривиальные и легко угадываемые пароли
• Используйте когнитивные (мнемонические, ассоциативные)
пароли
– Эффективность их подбора 4% против 11% для обычных
паролей

40. Почему это происходит?
• Продукт разрабатывается с точки зрения разработчика, а не
потребителя
• Если потребители и опрашиваются, то только с точки зрения
функций защиты
• Тестирование проводится на предмет ошибок и дыр, но не
юзабилити
• Продукт выпускается в условиях жесткой конкуренции со стороны
других разработчиков
• В России практически никто не обращается к услугам
специалистов по эргономике

41. Отключение средств защиты
• При оценке риска необходимо принимать во внимание
возможность отключения или расстройства защитных средств
– Из ГОСТ Р 51344-99 «Безопасность машин. Принципы оценки и
распределения риска»
• Побуждение сделать это возникает когда
– Средства защиты снижают выпуск продукции или мешают другим
действиям и намерениям потребителя
– Средства защиты трудно применить
– Должны быть привлечены не операторы, а другой персонал
– Средства защиты не признаются или неприемлемы для их
назначения
• Возможность отключения зависит как от их типа, так и от
конструктивных особенностей

42. Пример с ОС Windows
• Что такое «signed»?
• Что такое «Microsoft Code
Signing PCA»?
• Всегда доверять этому
источнику?
– А если я хочу всегда
недоверять этому
источнику?
• Что «да» и что «нет»?
• Чем это опасно?

43. Пример с ОС Windows
• Как можно открыть exe-
файл?
• Чем это опасно?
• Какие действия
осуществляются по
умолчанию?

44. Как сделать предупреждения в области ИБ,
появляющиеся на экране пользователя, эффективными?
• NEAT означает:
– Neccessary? - Необходимо? Это сообщение действительно
необходимо или без него можно обойтись? Существует некий
порог сообщений (у каждого он, наверное, свой) по достижению
которого, пользователь начинает кликать «Да» или нажимать
Enter не глядя на сообщение и не вникая в его суть.
– Explained? - Разъяснено? Причина показа сообщения разъяснена
на языке, понятном пользователю? А ожидаемая от пользователя
реакция ему понятна?
– Actionable? - Выполнимо? Пользователь в состоянии выполнить
то, что вы от него хотите?
– Tested? - Проверено? А вы сами проверили, как работает это
сообщение?
Usable Security of Microsoft’s Trustworthy Computing

45. Старый добрый ZoneAlarm
• 1 миллион загрузок с сайта за
первые 10 недель
• В свое время один из самых
популярных продуктов для
персональной Интернет-
безопасности
– Пока его не купила
компания Check Point,
ориентированная на
корпоративного
пользователя
• «…чтобы даже мама могла
использовать»

46. Принципы дизайна ZoneAlarm
• Знайте вашу аудиторию
• Думайте как ваша аудитория
• Избегайте беспорядка
• Избегайте сложности
• Встаньте на сторону пользователя даже если конкуренты «давят»
на вас со сроками
• Обеспечьте обратную связь с пользователем!!!

47. МОТИВАЦИЯ
ПОЛЬЗОВАТЕЛЕЙ

48. Пользователи доверчивы

49. Фальшивые дефрагментатор и система защиты

50. «Давить на жалость»

51. «Давить на жалость»

52. Категории опасностей и ГОСТ Р 51901.1-2002
• Природные опасности
– Наводнения, землетрясения, ураганы, молнии и т.п.
• Технические опасности
• Социальные опасности
– Войны, вооруженные нападения, диверсии, эпидемии и т.п.
• Опасности, связанные с укладом жизни
– Злоупотребление наркотиками, алкоголь, сектантство и т.п.
• ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска
технологических систем»

53. Примеры из жизни
• Национальности руководителей отдела ИБ и службы внутреннего
контроля банка – осетин и ингуш
– Конфликт
• Клиент банка (на Кавказе) – давний друг семьи, к которой
принадлежит руководитель отдела банка
– Потенциальная проблема
• Руководитель и подчиненный организации (в Казахстане) из
разных кланов (тейпов)
– Конфликт (один подставляет другого)

54. Как систематизировать?
• По статистике от 70 до 80% всех авиационных инцидентов в
гражданской и военной авиации происходит по вине человека
– Причины этих инцидентов никак не классифицированы
– При возникновении инцидента сложно идентифицировать
проблему, понять ее причины и предотвратить повтор
неприятных событий
• «Система классификации и анализа человеческого
фактора» (The Human Factors Analysis and Classification System -
HFACS)
• 4 уровня отказов/сбоев/ошибок/проблем, приводящих к
инцидентам
– Небезопасное действие, предпосылки к небезопасным
действиям, плохой надзор и влияние организации

55. Как систематизировать?

56. Как систематизировать?
• Влияние организации
– Алкоголь
– Наркотики
– Плохой рекрутинг
персонала
– Давление времени
– Урезание расходов
– И т.д.

57. И вновь про персданные – 4 парадокса
• Парадокс приватности
– Несмотря на высокие риски нарушения конфиденциальности
пользователи все равно готовы раскрывать свои персональные
данные
• Парадокс контроля
– Субъекты ПДн хотят полного контроля над своими ПДн, но
стараются избегать хлопот, связанных с актуализацией и
регулярной оценкой уровня контроля ПДн. Субъекты знают о
средствах защиты, но не используют их

58. И вновь про персданные – 4 парадокса
• Парадокс ответственности
– Субъекты ПДн не возлагают ответственность за защиту их прав и
их ПДн только на государство, суды или полицию. Они считают,
что за защиту также должны отвечать они сами и операторы ПДн,
которым эти данные доверены. Субъекты требуют инструментов
для более глубокого и всестороннего контроля своих ПДн. Но при
этом, субъекты не уверены в своей способности защищить свои
же ПДн
• Парадокс осведомленности
– Законодательство о ПДн европейцам малоизвестно и нелюбимо
ими. Но при этом никакой разницы в поведении между теми, кто
знаком с темой ПДн (включая законодательство), и теми, кто не
знаком, практически не наблюдается. Иными словами,
осведомленность никак не влияет на поведение субъектов ПДн.
Гораздо больше субъекты доверяют своему личному опыту, а не
законодательству и иным нормам

59. И вновь про персданные – 3 дилеммы
• Дилемма разницы культур
– Разные страны Евросюза обладают разным уровнем цифровой
культуры. Разные уровни проникновения Интернет, разница в
способах и местах подключениях к Интернет, разница в
предпочитаемых инструментах Интернет (где-то превалируют
блоги, где-то социальные сети, где-то IM)
• Дилемма фрагментации рынка
– Разные поколения также по разному используют Интернет.
Новички - в-основном для чтения почты и поиска в Интернет.
«Старички» активно используют социальные сети. И небольшая
часть пользователей использует все возможности Интернет,
включая чаты, форумы, ведение блогов и т.п. При этом активные
пользователи Интернет меньше воспринимают риски и готовы
совершать необдуманные поступки; в отличие от новичков,
которые боятся сделать «что-то не так» и, как следствие, больше
сохраняют свои ПДн в тайне

60. И вновь про персданные – 3 дилеммы
• Дилемма открытости/закрытости
– Государство активно пытается регулировать тему ПДн, но
сталкивается с тройной дилеммой. Во-первых, Интернет-
пользователи (преимущественно молодежь) не доверяют
государству, но ждут от него каких-то действий по защите частной
жизни в Интернет. Во-вторых, государство остается основным
инвестором и заказчиком ИКТ и активно внедряет различные
госуслуги, базирующиеся на раскрытии ПДн. Но все эти услуги
непривлекательны для молодежи, которая гораздо более
продвинута, чем государство, заказывающее те или иные
платформы, порталы и т.п. для госуслуг. В-третьих, в отличие от
бизнеса государство сковано в маневрах и возможностях
взаимодействия. Оно либо отторгает от себя субъектов ПДн,
навязывая им свои услуги, либо не может ничем привлечь
пользователей, опять приводя к отказу от пользования
госуслугами на базе ПДн

61. Как понять мотивацию пользователя?!
Что он видит?
• На что похожа его среда?
• Кто его окружает?
• С кем он дружит?
• С чем он сталкивается ежедневно?
• С какими проблемами встречается?
Что он слышит?
• Что говорят его друзья?
• Кто и как реально воздействует на него?
• Какие медиаканалы на него влияют?
Что он чувствует/
думает?
• Что для него реально важно?
• Что его трогает?
• Его мечты и стремления?
Что он говорит/делает?
• Как он себя держит?
• О чем он может рассказать окружающим?
Что его тревожит
• Каковы его разочарования?
• Какие препятствия между ним и его мечтами?
• Чего он боится?
К чему он стремится
• Чего он действительно хочет достичь?
• Что для него мерило успеха?
• Какие стратегии он мог бы использовать для достижения успеха?

62. Как заставить пользователя следовать вашей стратегии?
• Человек больше доверяет своим выводам, чем чужим
• Человек больше ценит то, что попросил сам, а не то, что ему
предложили
• Человеку не нужен учитель, он хочет сам дойти до всего!
– Но ему нужен толчок
• «Надо создать среду, в которой наиболее желательный
результат оказывается наиболее вероятным»
– Ральф Эблон, президент Ogden

63. КАК ОБЩАТЬСЯ С
РУКОВОДСТВОМ?

64. Типы руководителей
• Существуют различные типы руководителей
– Каждый имеет свои сильные и слабые стороны
• Идеальных руководителей не существует
– Только в учебниках
• Учебники и школы менеджмента говорят «должен»
– На практике идеального руководителя не бывает
• Необходимо учитывать «психологический портрет» руководителя

65. Типы руководителей
• «Бог»
– Ходит на работу и принимает все бизнес-решения
самостоятельно
– Общается с персоналом через приближенных «жрецов», которые
сами решений не принимают, а выполняют только функции
посредников (но и к «Богу» не пускают)
– Прямое общение с «Богом» невозможно
– Изменение решений «Бога» нереально, т.к. «жрецы» отвечают,
что ничего нельзя сделать, т.к. «Бог» стоит на своем
– «Жрецы» не заинтересованы в изменении текущей ситуации

66. Типы руководителей
• «Гений»
– Считает себя умнее всех
– Пытается контролировать всё и вся
– Не выносит подчиненных умнее себя
– В итоге работа «стоит» или выполняется неэффективно
• «Игрок-затейник»
– Рутина бизнеса быстро приедается, что приводит к играм и
развлечениям в бизнесе
– Правила игры меняются быстро и без логики
– Аргументация опирается на чувства, а не на логику
– Абсолютная уверенность в своих идеях

67. Типы руководителей
• «Родственник», «кум»
– Обычно чей-то родственник
– В бизнесе обычно ничего не смыслит
– Высокое самомнение
– В формировании подчиненных похож на «гения»
• «Браток»
– Через слово проявляется Великий и Могучий
– Безобиден, но бизнес-логики в действиях не наблюдается
– Житейской мудрости хоть отбавляй
– Все подчиняется желаниям, часто сиюминутным

68. Типы руководителей
• «Администратор»
– Формализует все, что можно и нельзя
– Много отчетности, регламентов и писанины, которые отнимают
все время
– Много бюрократии, в которой погрязают все, даже правильные
решения
• «Военный», «силовик»
– Инициатива не приветствуется
– Все четко регламентируется
– Правила игры не меняются годами – «бизнес подчиняется
правилам, а не наоборот»
– Субординация превыше всего

69. МОТИВАЦИЯ НАРУШИТЕЛЕЙ

70. Мотивация нарушителей
• ГОСТ Р 52448-2005 «Обеспечение безопасности сетей
электросвязи. Общие положения»
– Месть
– Достижение денежной выгоды
– Хулиганство и любопытство
– Профессиональное самоутверждение

71. Деньги играют важную роль, но есть и другие мотивы
• Отсутствие желания заработать не означает отсутствие бизнес-
модели
– Anonymous, Lulzsec демонстрируют это в полной мере
Кибер-
террористы
Кибер-
воины
Хактивисты Писатели
malware
Старая
школа
Фрикеры Самураи Script
kiddies
Warez
D00dz
Сложность
+ + + + +
Эго
+ + + +
Шпионаж
+ +
Идеология
+ + + + +
Шалость
+ + +
Деньги
+ + + + +
Месть
+ + + +
Источник: Furnell, S. M

72. Деньги играют важную роль, но есть и другие мотивы

73. А оцениваем ли мы риски нарушителя?
• Профиль (модель) нарушителя
– Мотив (причина)
– Цель
– «Спонсор» (кто помогает ресурсами?)
– Потенциальные возможности
– Озабоченность косвенным ущербом
– Приемлемый уровень риска

74. Потенциал нападения
• ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения
безопасности. Методология оценки безопасности
информационных технологий» определяет в Приложении А (А.
8.1) потенциал нападения, зависящий от
– Мотивации нарушителя
– Компетентности нарушителя
– Ресурсов нарушителя

75. Мотивация нападения
• Высокая мотивация à нападение неизбежно
– Низкая мотивация à нападение маловероятно
– Но исключая крайние ситуации, прямой связи между
вероятностью и мотивацией не прослеживается
• Более ценный актив à более высокая мотивация
– Но ценность актива субъективна и прямая связь ценности и
мотивация не всегда связана
• Высокая мотивация à приобретение достаточной
компетентности

76. Cisco 2011 Cybercrime ROI Matrix

77. В разных странах своя мотивация у преступников

78. GIB 2011 Matrix

79. МОТИВАЦИЯ РЕГУЛЯТОРОВ
ТОЖЕ ВАЖНА

80. Регуляторы пока об этом не думают ;-(

81. А если думают, то у них иные задачи

82. ПСИХОЛОГИЯ ВОСПРИЯТИЯ
РИСКА

83. Психология восприятия риска
• Даже при наличии фактов и достаточного объема информации об
анализируемой системе у экспертов существует сложность с
восприятием риска
• Безопасность основана не только на вероятности различных
рисков и эффективности различных контрмер (реальность), но и
на ощущениях
• Ощущения зависят от психологических реакций на риски и
контрмеры
– Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
– Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?

84. Реальность и ощущения
• Реальность безопасности ≠ ощущения безопасности
• Система может быть безопасной, даже если мы не чувствуем и
не понимаем этого
– Мы можем думать, что система в безопасности, когда это не так
• Психология восприятия риска безопасности
– Поведенческая экономика
– Психология принятия решений
– Психология риска
– Неврология

85. Реальность и ощущение безопасности
• Число погибших в
авиакатастрофах в России в
2008 году – 139 человек
– 1980 – 1989 гг. – в СССР
2624 жертвы авиакатастроф
• Трагедия 11 сентября в США
унесла жизни 2973 человек
• Число жертв автоаварий в
России – около 100 человек
ежедневно (!)
– 1,2 млн. жертв в год, 20-50
млн. получают травмы
• От отравления пищей в США
ежегодно умирают 5000
человек
Ощущение
Реальность

86. Наше отношение к рискам и угрозам
• Мы преувеличиваем одни риски и преуменьшаем другие
• Наше восприятие риска чаще всего «хромает» в пяти
направлениях
– Степень серьезности риска
– Вероятность риска
– Объем затрат
– Эффективность контрмер
– Возможность адекватного сопоставления рисков и затрат

87. Основные ошибки восприятия
Люди преувеличивают риски,
которые
Люди преуменьшают риски,
которые
Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны
извне
Контролируются в большей
степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или
спровоцированные человеком
Естественные
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем

88. Основные ошибки восприятия (окончание)
Люди преувеличивают риски,
которые
Люди преуменьшают риски,
которые
Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной
точки зрения
Желательные с моральной точки
зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной
ситуации
Характерны для обычной ситуации
Недоверенные источники Доверенные источники

89. Ошибки восприятия безопасности
• Мобильные вирусы
– «Операторы сотовой связи
готовятся к эпидемиями
вирусов для мобильных
телефонов»
– «Мобильный апокалипсис
лишь вопрос времени»
• Западные производители ПО
специально вставляют
закладки, чтобы украсть вашу
информацию
• В моем антивирусе для
смартфона всего 1000 записей
и ни одного предупреждения за
2 (!) года
• Отечественный разработчик
несет большую угрозу
– он пока не дорожит
репутацией
Более опасный
риски Реальность

90. Как мозг анализирует риски
• В человеческом мозгу 2 системы
отвечают за анализ рисков
– Примитивная интуитивная –
работает быстро
– Продвинутая аналитическая –
принимает решения медленно
– Продвинутая система
появилась только у высших
приматов – еще не
отшлифована
– Обе системы работают
одновременно и конфликтуют
между собой

91. Как мозг анализирует риски
• Человек не анализирует риски
безопасности с точки зрения
математики
– Мы не анализируем
вероятности событий
• Люди не могут анализировать
каждое свое решение
– Это попросту невозможно
• Человек использует готовые
рецепты, общие установки,
стереотипы, предпочтения и
привычки

92. Интересные следствия
• «Предубеждение оптимизма» - мы
считаем, что «с нами это не случится»,
даже если это случилось с другими
– Несмотря на эпидемии и атаки других
компаний, сами мы считаем, что нас
это никак не коснется – мы
игнорируем или преуменьшаем риски
сетевой безопасности
• Человеческий мозг не умеет работать с
большими числами
– 1 шанс из 2-х против 1 шанса из 8-ми
гораздо понятнее, чем 1 шанс из
10000 против 1 шанса из 100000
– 1 шанс из 10000 = «почти никогда»

93. Могли ли мы представить, что нас будет атаковать РЖД?
• Заражаются посещаемые
и популярные сайты
• По данным Лаборатории
Касперского осенью 2011-
го года оказались
зараженными сайты
– ОАО «РЖД» (180000
посетителей в день)
– ИД «Комсомольская
правда» (587000)
– ИД «Свободная
пресса» (276000)
– Экспресс газета
(263000)
– Интерфакс

94. Интересные следствия (продолжение)
• «Эвристика доступности» –
события, которые легче
вспоминаются, имеют больший
риск
– Или произошли недавно
– Или имели более серьезные
последствия (для эксперта)
– Или преподносятся ярко
• Люди склонны игнорировать
действительные вероятности в
случаях, когда ситуация
эмоционально окрашена
– Терроризм, авиакатастрофы

95. Интересные следствия (продолжение)
• Риски, имевшие место когда-либо в
жизни эксперта, имеют больший вес,
чем те, с которыми он никогда не
встречался
– Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы
• Чем более выдающимся кажется
событие, тем выше вероятность, что
оно покажется случайным
– СМИ и вендоры часто вредят
адекватности восприятия эксперта

96. Интересные следствия (окончание)
• Очень важна последовательность, в
которой представлены те или иные
альтернативы
• «Предубеждение подтверждения» -
люди склонны больше учитывать
данные, которые подтверждают
предварительно занимаемую ими
позицию, чем те, которые ее
опровергают
– Ситуация еще хуже - люди, которые
занимают позицию A, иногда считают,
что свидетельство анти-A тоже
поддерживает их позицию

97. В КАЧЕСТВЕ РЕЗЮМЕ

98. Есть ли универсальный рецепт?
• Замечали ли вы, что рецепты успешного внедрения ИБ в одной
компании, не всегда срабатывают на других предприятиях?
• Даже лучшие практики не всегда приживаются в той или иной
организации
– Но если они лучшие, то почему не приживаются?
• Все компании разные!!!
– Разный уровень зрелости, разные руководители, разная
структура компании и разные этапы жизненного цикла
организации, разные люди с разным поведением
• Изучение психологии позволяет учитывать многие из
существующих проблем при выстраивании системы ИБ на
предприятии

99. CISO и психология!
• CISO должен иметь власть и влияние в компании, чтобы
внедрить программу ИБ
• Власть и влияние – это комбинация
– Знаний
– Привилегий
– Доступных ресурсов
– Позиции
– Информации
– Харизмы
– Эмоций
– Психологии

100. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 100
Благодарю вас
за внимание
security-request@cisco.com