Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
27.07.2023

Много правил — мало безопасности: специалисты выясняют, почему руководства не работают

Эксперты обнаружили ряд недочетов в руководствах по кибербезопасности, которые предоставляются сотрудникам разных организаций. В недавнем исследовании предложены способы усовершенствования этих материалов. Они предназначены для защиты личных и корпоративных данных от таких угроз, как вредоносные программы и фишинг . Однако эффективность инструкций вызывает вопросы.

«Занимаясь исследованиями в области безопасности, я замечаю, что некоторые советы, которые можно найти в гайдах, вводят в заблуждение или вовсе неверны», — говорит Брэд Ривз, автор статьи и ассистент профессора информатики в Университете Северной Каролины. «В некоторых случаях я даже не знаю, откуда пришла информация и на чём она основана. Это стало толчком для нашего исследования. Кто создаёт эти инструкции? На чём они базируют свои рекомендации? Как выглядит процесс? Есть ли возможность его улучшить?»

Учёные опросили 21 специалиста, которые отвечают за создание руководств в крупных корпорациях, университетах и государственных учреждениях. В результате выяснилось, что в первую очередь авторы стараются предоставить максимум информации, упуская детали.

«Основной момент здесь в том, что люди, пишущие эти мануалы, пытаются дать как можно больше вводных. В теории это замечательно. Но они не приоритизируют самые полезные рекомендации. Или, точнее, не отдают должное внимание менее важным пунктам. Из-за большого объёма советов по безопасности инструкции оказываются слишком перегруженными, а важные моменты теряются в информационном шуме», — отметил Ривз.

На основании полученной информации специалисты предложили два пути для улучшения будущих руководств. Первое — авторам необходимо внимательнее относиться к отбору информации. Второе — нужны ключевые сообщения, понятные аудитории с разным уровнем технической подготовки.

«Я также хочу подчеркнуть, что при инциденте, связанном с кибербезопасностью, не следует обвинять сотрудника в том, что он не соблюдал одно из тысячи правил, исполнения которых мы от него потребовали. Нам нужно создавать мануалы, которые будут понятны и просты для реализации», — подчеркнул Ривз.