КОГНИТИВНАЯ БЕЗОПАСНОСТЬ В КИБЕРБЕЗОПАСНОСТИ

Аннотация: В статье рассматривается междисциплинарный подход по эффективному решению вопросов кибербезопасности. Изощренные атаки хакеров приводят к усложнению систем защиты, противоречивости политик, ошибкам в управлении при принятии решений. Парадокс безопасности состоит в том, что по мере усложнения системы, увеличивается ее стоимость и содержание, а эффективность и надежность падают. Изменился характер атак в сторону увеличения социоинженерных моделей с использованием аккаунтов социальных сетей, фэйковых новостей. В статье проанализированы и представлены причины, приводящие к кибервиктимизации, опыт зарубежных коллег по выявлению группы риска стать жертвой злоумышленников. Психологические уязвимости, недостаток цифровых компетенций преодолеваются через повышение мотивации к безопасности, изменение восприятия киберугроз от как чего-то внешнего, не касающегося человека до понимания и личной заинтересованности защиты себя от угроз. Семинары и тренинги должны содержать не только модули по наращиванию цифровых компетенций, но и блоки по выявлению и осознанию собственных психологических уязвимостей и проработке их с помощью специалистов. В рамках IT мероприятий предлагается проводить специальные конференции по изучению человеческого фактора в кибербезопасности, продолжить изучение зарубежного опыта. Ключевые слова: кибербезопасность, киберпсихология, когнитивная безопасность, информационная безопасность, человеческий фактор, психологические уязвимости, кибератаки, кибервиктимизация, киберграмотность, социальная инженерия.

 

COGNITIVE SECURITY IN CYBERSECURITY

 

Abstract: This article covers an interdisciplinary approach for an effective solution of cybersecurity problems. Sophisticated attacks by hackers lead to complication of security systems, inconsistency of policies, errors in management when making decisions. The paradox of security is that as the system becomes more complex, its cost and maintenance increase, and its efficiency and reliability fall. The nature of attacks was changed towards to direction of increasing socio-engineering models using social media accounts, fake news. The article analyzes and presents the reasons which lead to cyber-victimization, the experience of foreign colleagues in identifying of a risk group to become a victim of attackers. Psychological vulnerabilities, lack of digital competencies are overcome through increased motivation for security, changing the perception of cyber threats from as something external, not concerning the person to understanding and personal interest in protecting themselves  from threats. Seminars and trainings should contain not only modules for building digital competencies, but also unitsfor identifying and understanding their own psychological vulnerabilities and developing it with help of specialists. Within the framework of IT events, it is proposed to have special conferences for the study of the human factor in cybersecurity, to continue the study of foreign experience. Keywords: cybersecurity, cyberpsychology, cognitive security, information security, human factor, psychological vulnerabilities, cyberattacks, cyber-victimization, cyber literacy, social engineering.

 

Введение

Мы живем в эпоху разгара цифровизации, в которой каждый из нас по определению новичок, независимо от возраста и опыта, новичок по умолчанию, изо всех сил стремящийся угнаться за прогрессом и понять его суть [1,с. 21]. Результаты Всероссийской акции по определению уровня цифровой грамотности «Digital Диктант» показали, что наибольшую сложность у участников вызвали вопросы по кибербезопасности (среднее значение 6,7 из 10). Только 37% продемонстрировали высокий уровень знаний. У аудитории 18+ проседают навыки размещения цифрового контента с соблюдением этических норм. Для пользователей 14-17 лет наибольший риск представляют вопросы защиты персональных данных и культуры взаимодействия в социальных сетях [2]. Парадокс безопасности В тоже время на рынок скорополительно выходят новые часто недоработанные, без учета безопасности продукты с программными ошибками и новыми уязвимостями. Проблемы выясняются постфактум, после инциндентов. Специалисты в сфере информационной безопасности пытаются ликвидировать уязвимости, разрабатывают новые меры, «привязывают» их к существующим протоколам, что приводит к человеческим ошибкам и непоследовательности в исполнении из-за большого количества политик. В связи с популярностью концепции BYOD (Bring Your Own Device) сотрудники предприятий все чаще используют в своей работе личные ноутбуки, смартфоны, планшеты, что еще больше усложняет работу отделов по информационной безопасности. Пожалуй, любую информационную систему надо рассматривать как открытую и применять к ней соответствующие методы мониторинга, например концепцию Zero Trust, главный принцип которой отустствие доверия к кому-либо, в том числе пользователям внутри периметра и их устройствам, которые проходят специальный карантин на проверку наличия соотвествующих программ и обновлений. 

 

Опрос, проведенный среди специалистов в области кибербезопасности, показал, что половина киберинциндентов происходит из-за сложности системы. Безопасность становится очень дорогой и трудноуправляемой. Doyle называет такую закономерность «Парадокс безопасности» и предлагают концепцию, построенную на компромиссе между сложностью и безопасностью, учитывающую человеческое поведение, во главе которой устанавливается фактор надежности. Cybenko определил хакерство как атаку на компьютерную систему, направленную на сознание пользователя системы, которая должна повлиять на восприятие и поведение пользователя [3, с. 10-17].

 

По данным исследований самое уязвимое место в кибербезопасности – человек. На графиках 1 и 2 представлена динамика изменения характера кибератак. Применение эксплоитов за 2015-2018 г.г. сократилось в 55 раз, а использование методов социальной инженерии за тот же период увеличилось более чем в 25 раз [4]. График 1 (испльзование эксплоитов) График 2 (рост фишинговых атак)

 

 

 

 

 

 

 

 

 

 

 

График 1                                                                                                                  График 2

Аналитики отмечают, что для киберпреступлений будут использоваться аккаунты знаменитостей, реальные события в мире (чемпионаты, концерты, выборы), фейковые новости. А поскольку страны будут продолжать наращивать свое присутствие в киберпространстве, количество киберугроз возрастет [5]. В последнее время интерес со стороны специалистов в области кибербезопасности помимо технических аспектов по сохранению киберфизических систем сосредоточен на человеческом факторе, на изучении поведения человека. За рубежом проводятся специальные конференции, посвященные этому вопросу, обсуждающиеся в междисциплинарной плоскости на стыке наук о человеке и техники. Подобный опыт был реализован на Саммите «Большие вызовы для общества, государства и науки», прошедшем в НТУ «Сириус» в октябре-ноябре 2019 г.

 

Формируется новая область науки «Когнитивная безопасность» на стыке когнитивной психологии, киберпсихологии и информационной безопасности. Она изучает способы мышления человека в условиях неопределенности, его когнитивные ошибки, которые могут привести к недооценке серьезности риска, низкой самоэффективности и повышают вероятность стать жертвой кибератаки.

 

Предпосылки для кибервиктимизации

 

Кибервиктимизация – это процесс превращения лица (пользователя) или группы лиц (пользователей) в жертву преступного посягательства, совершаемого с использованием цифровых технологий и онлайн коммуникации, с целью кражи денег, информации, шантажа, запугивания, унижения. Анализ судебной практики показывает, что люди (как преступники, так и жертвы) до конца не понимают всю меру ответственности, хотя и проходят соответствующее обучение - знакомятся с инструкциями предприятия о неразглашении коммерческой тайны, персональных данных клиентов.

Так, например, сотрудники оператора сотовой связи, вступив в преступный сговор, имея доступ к SBMS, создавали своим клиентам дополнительные симкарты, выводили на них деньги, затем через Киви кошелек и яндекс-деньги выводили денежные средства на подставные банковские карты и обналичивали их в банкоматах [6].

Продавец сотовых телефонов из Саратовской области скопировал сертификат доступа и осуществил несанкционированную активизацию ПО SBMS [7].

Житель Ижевска, войдя в сговор с неустановленным лицом из Интернета, пытался украсть деньги из банкомата. Осужден на 4 года условно [8].

Сотрудник из Астрахани, воспользовавшись служебным положением, из “добрых” побуждений передал третьим лицам детализацию телефонных разговоров абонента [9].

Житель Саратовской области через интернет приобрел образ фишингового сайта Сбербанка, разместил в социальной сети Одноклассники информацию о несуществующей акции Сбербанка, по которой человек получит вознаграждение, если зарегистрируется на этом сайте [10].

Жители Брянска в желании “помочь” за символическую плату модифицировали смарт-карту “Триколор” для подключения без абонентской платы [11].

В Казани неоформленные трудовые отношения, свободный доступ к компьютеру и возникшая личная неприязнь, обернулись местью в виде уничтожения базы данных клиентов, научных наработок по диссертации [12].

В Саранске бывшая сотрудница обратилась к ныне работающему менеджеру с просьбой за вознаграждение передавать ей учетные карточки некоторых абонентов [13].

Гражданин Югры для просмотра большего количества телеканалов без абонентской платы модифицировал пакет Ростелекома, разместил на интернет сайтах “Авито”, “Юла”, а так же в социальной сети “В Контакте” объявление об этом [14].

В одной компании персональные данные клиентов использовали под черновики [15], другой житель Алтайской области взломал сайт местного министерства здравоохранения [16], а еще один получил доступ к персональным данным клиентов eBay [17].

Изучение глубинных мотивов данных преступлений поможет точнее описать портрет преступника и жертвы.

 

Исследования этой сферы поведения человека выделяют следующие факторы, способствующие кибервиктимизации:

- Слабая цифровая грамотность приводит к безответственному поведению при скачивании подозрительного программного обеспечения, перехода по ссылкам, оставлению своих учетных данных на непонятных сервисах, пересылке фэйковых сообщений, пренебрежению к настройкам конфиденциальности в социальных сетях и бездумному, тотальному постингу своих фотографий, мыслей и чувств.

- Импульсивность, низкий эмоциональный контроль снижает критичность мышления. Человек принимает решения в режиме быстромышления, на эмоциях [18], вызванных когнитивными искажениями или, как их называют в когнитивной психологии, ловушками мышления – склонность к произвольным умозаключениям, катастрофизации, сверхобобщениям, к чтению мыслей (додумыванию за других людей), магическое, черно-белое (ригидное) мышление. Источником когнитивных ошибок и степенью их выраженности являются глубинные убеждения человека о самом себе, окружающем мире и своем месте в этом мире, в частности негативное отношение к себе [19, с. 14-119].

- Низкая самооценка человека в состоянии неопределенности, перед фактом угрозы, приводит к модели реагирования со стрессом, в состоянии тревоги, в котором опять же отключается рациональное мышление, что приводит к ошибочным решениям, недооценке серьезности риска, либо избегающему поведению, когда человек устраняется от решения проблемы, считая, что он не справится. Такой человек склонен сознательно или несознательно отрицать угрозу или выступать против предложенных профилактических мер, например, по повышению самооценки, изменению восприятия своей самоэффективности, киберграмотности в целом. Идеальный вариант, к которому надо стремиться при проведении обучающих мероприятий по информационной безопасности – это когда человек осознает степень серьезности риска и способен действовать и предпринимать меры, чтобы контролировать опасность [20, с. 73-92] .

- Низкий уровень удовлетворенностью жизнью (отсутстствие дружеских отношений, трудности в общении, завязывании новых контактов, одиночество), сопровождающийся негативными эмоциями, приводит к повышению уровня тревоги и депрессии. Исследования показывают, что такие люди больше времени проводят в онлайне из-за страха пропустить что-то интересное и важное - синдром упущенной выгоды Fear of Missing Out (FOMO). Они делают ежеминутные посты в социальных сетях, беспрерывно проверяют свои аккаунты, стараются жить в режиме онлайн.

- Чрезмерное пребывание в интернете повышает риск кибервиктимизации. Исследователи установили, что, чем больше человек проводит времени в онлайне, тем больше подвергается уловкам злоумышленников [21, с.87], которые для своей преступной деятельности используют ботов, которые рассылают письма, всплывающие окна, ложную информацию. Бот – это некоторый аккаунт, который постоянно включает автоматическое наблюдение, выполняет такие действия как автоматические лайки, посты. Выявлено, что боты следят и отправляют фишинговые письма, ссылки на поддельные сайты пользователям случайным образом, происходит простое зондирование, что и объясняет факт того, что чем больше человек пребывает в сети, тем больше вероятность натолкнуться на такой зонд [22, с.1-25].

- Высокий уровень доверия, чрезмерная открытость, склонность верить фэйковым новостям. По некоторым оценкам 51,8% всего веб трафика генерируется ботами, среди которых есть, конечно, и «добрые» боты, принадлежащие серьезным компаниям, знаменитостям для управления своими базами, коммуникации с клиентами и подписчиками. Проведенные эксперименты показывают, что люди воспринимают ботов, как надежный источник информации, боты близки людям по компетенции. Установлено, что пользователи, использующие больше слов отрицания, имеют более высокий уровень восприимчивости к получаемым сообщениям [23]. Исследователи из Италии предложили модель обнаружения доверчивых пользователей с точностью 93,27% по числу их “друзей» - ботов в социальных сетях. Такие пользователи становятся распространителями фэйковых новостей в своих реальных средах [24], что является серьезной угрозой для стабильности общества и искусственно повышает уровень неопределенности.

 

Мотивация к применению механизмов защиты

 

Кибератаки определяются как события, которые направлены на нарушение целостности, конфиденциальности системы, варьируются от отказа в обслуживании (DDoS атака), до вымогателей и программ шпионов. Они могут затронуть каждого, как уже это было на примере WannaCry в 2017 г., когда врачи вынуждены были отменять операции, а больные, нуждающиеся в срочной помощи, не могли ее получить.

Эффективность идей кибербезопасности в обществе, на конкретном предприятии, в частной жизни зависит от личной осознанности каждого человека, реальности угрозы лично для себя и своих близких, способности оценивать серьезность угроз и их последствия, как для себя, так и в масштабах предприятия, от стоимости и эффективности профилактических и защитных мер.

Новый международный стандарт в сфере управления информационной безопасностью ISO 27001 вобрал в себя лучшие мировые практики по управлению и работе с людьми. Стандарт рекомендует организовывать регулярные семинары и тренинги по повышению уровня киберграмотности среди всех сотрудников предприятия [25].

Подобные сервисы представлены в США, Китае; в России тоже существуют обучающие платформы у Лаборатории Касперского, Ростелекома, но они в основном предлагают обучение антифишингу. А этого уже недостаточно. Хакерские группировки берут на вооружение новейшие исследования в сфере психологии и используют новые медиа. Отчет Symantec показал, что более четверти людей ожидают мошенничества в интернете. И только половина утверждает, что они изменили бы поведение, если бы стали жертвой. В тоже время, когда люди понимают, что и как с ними происходит, они учатся контролировать себя. Заключение Исследователи отмечают, что на проблемы кибербезопасности надо смотреть глубже и рассматривать киберугрозы с точки зрения киберпсихологии.

В конце июля 2019 г. в Орландо (штат Флорида США) прошла Первая международная конференция HCI for Cybersecurity, Privacy and Trust по вопросам человеко-компьютерного взаимодействия в целях кибербезопасности [26]. Примерно в тоже время в Вашингтоне (США) прошла ежегодная Международная конференция AHFE по человеческому фактору в кибербезопасности [27]. К сожалению, все материалы конференций доступны только в платном режиме, а в русскоязычном интернете информации об этих событиях я не обнаружила. В России также проводятся конференции, саммиты, форумы по внедрению нового технологического уклада в обществе, но мало уделяется внимания междисциплинарным подходам в кибербезопасности.

Считаю, что необходимо проводить специализированные конференции именно по изучению человеческого фактора в кибербезопасности с привлечением специалистов и исследователей как из традиционной сферы IT, информационной безопасности, кибербезопасности, так и специалистов из сферы когнитивных исследований, нейронаук, психологов; участвовать в международных конференциях исследованиях.

При Министерстве цифрового развития и массовых коммуникаций хорошо иметь учебный центр, который наряду с цифровизацией будет содействовать просвещению граждан. Вектор на Интернет изолированность и на использование отечественного программного обеспечения до конца не решит проблему, потому что самым уязвимым звеном, по-любому, остается человек со своими мыслями, убеждениями, чувствами, потребностями и мотивами.

Анализ российского и зарубежного опыта показывает, что нужно отходить от оборонительной тактики в кибербезопасности, а переходить к наступательной, опережающей модели, обучая сотрудников не только цифровой грамотности, но и учитывать их психологические особенности и уязвимости, разрабатывая и предлагая им специальные тренинги и семинары, способствующие гармонизации психического состояния. Комплексный подход с учетом вектора когнитивной безопасности сократит риски человеческого фактора в кибербезопасности. Конечно, может возникнуть этический вопрос насколько компании, организации, общество, государство могут вторгаться в вопросы личной саморегуляции человека, но это уже вопросы дальнейшей дискуссии и осмысления происходящего.

 

Список использованных источников

 

1. Кевин К. Неизбежно. 12 технологических трендов, которые определяют наше будущее, пер. с англ. Ю. Константиновой и Т. Мамедовой. – М.: Манн, Иванов и Фербер, 2017. – с.21

2. Отчет Всероссийской образовательной акции по определению уровня цифровой грамотности Digital Диктант, 2019 [Электронный ресурс] Режим доступа: URL:цифровойдиктант.рф (дата обращения: 04.12.2019)

3. Bone J. Cognitive Hack. The New Battleground in Cybersecurity… the Human Mind/ J. Bone// Taylor & Francis Group, LLC/ p. 10-17.

4. Отчет компании Trend Micro за 2018 г. [Электронный ресурс] Режим доступа: URL:https://www.trendmicro.com/vinfo/ru/security/research-andanalysis/predictions/2019 (дата обращения: 04.02.2019)

5. Прогноз кибербезопасности на 2019 год: будет только хуже [Электронный ресурс] Режим доступа: URL: http://www.iksmedia.ru/news/5552782-Prognoz-kiberbezopasnosti-na-2019.html (дата обращения: 04.02.2019)

6. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/QAIMYjDeGhVQ/ (дата обращения: 04.12.2019) 

7. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/BMIxiOAh1RUO/ (дата обращения: 04.12.2019)

8. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/JHkh07fp26LQ/(дата обращения: 04.12.2019)

9. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/1hvQtG3bkTJp/ (дата обращения: 04.12.2019)

10. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/9exBIa5BZaln/ (дата обращения: 04.12.2019)

11. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/YBc1qQ58FI18/ (дата обращения: 04.12.2019)

12. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/KtI2H7sYmerO/ (дата обращения: 04.12.2019)

13. Судебные и нормативные акты РФ, 2018 2019 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/1rMRLV1XcP1/ (дата обращения: 04.12.2019)

14. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/O6E7QEtHJomW/ (дата обращения: 04.12.2019)

15. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/W6kmWSrWMLJ/ (дата обращения: 04.12.2019)

16. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/Au63M2LpNLmd/ (дата обращения: 04.12.2019)

17. Судебные и нормативные акты РФ, 2018 [Электронный ресурс] Режим доступа: URL: http://sudact.ru/regular/doc/FAkPg4JRxGYP/ (дата обращения: 04.12.2019)

18. Канеман Д. Думай медленно… Решай быстро, пер.с англ. – М.: АСТ, 2013 [Электронный ресурс] Режим доступа: URL: https://mybook.ru/author/danielkaneman/dumaj-medlenno-reshaj-bystro/read/?page=4 (дата обращения: 04.12.2019) 

19. Бек А. Когнитивная терапия депрессии. – Питер, 2003. С. 14-119.

20. Benson V. McAlaney J. Emerging Cyber Threats and Cognitive Vulnerabilities. Elsevier Inc. 2020. Chapter 4- The social and psychological impact of cyberattacks, Bada M. Jason R.C.Nurse, Academic Press, 2020 p. 73-92 Режим доступа: URL: https://doi.org/10.1016/C2017-0-04243-X (дата обращения: 04.12.2019)

21. Брижак С.Н. Информационная культура и личностное становление молодежи. Молодёжь Востока России: история и современность: материалы VI Всероссийской научно-практической конференции 1 ноября 2019 г. – Хабаровск: Дальневосточный институт управления – филиал РАНХиГС, 2019 Режим доступа: URL: http://www.dviu.ranepa.ru (дата обращения: 04.12.2019) с.87.

22. Benson V. McAlaney J. Emerging Cyber Threats and Cognitive Vulnerabilities. Elsevier Inc. 2020. Chapter 1 - Factors leading to cyber victimization, Peter J.R. Macaulay, Oonagh L.S., Lucy R.B. p. 1-25. Режим доступа: URL: https://doi.org/10.1016/C2017-0-04243-X (дата обращения: 04.12.2019)

23. Gilani Z. A Large-scale Behavioural Analysis of Bots and Humans on Twitter/ Z. Gilani// [Электронный ресурс] Режим доступа: URL: https://dl.acm.org/citation.cfm?doid=3297729.3298789 (дата обращения: 04.12.2019)

24. Balestrucci A, Rocco N., Petrocchi M., Trubiani C. Do you really follow them? Automatic detection of credulous Twitter users/ 2019, [Электронный ресурс] Режим доступа: URL: https://arxiv.org/pdf/1909.03851.pdf (дата обращения: 04.12.2019)

25. Международный стандарт ISO 27001 Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности – Требования [Электронный ресурс] Режим доступа: URL: ISO/IEC 27001:2013 (E) (дата обращения: 04.12.2019)

26. HCI for Cybersecurity, Privacy and Trust Режим доступа: URL: https://www.springer.com/gp/book/9783030223502 (дата обращения: 04.12.2019)

27. Advances in Human Factors in Cybersecurity. Proceedings of the AHFE 2019 International Conference on Human Factors in Cybersecurity, July 24-28, 2019, Washington D.C., USA. Режим доступа: URL:https://www.springer.com/gp/book/9783030204877 (дата обращения: 04.12.2019)

© С.Н. Брижак, 2019

Статья опубликована: Передовые научные исследования: опыт и актуальные вопросы: сборник докладов Международной научно-практической конференции. / под ред. Р.Д. Иванова. – СПб.: ЕНМЦ «Мультидисциплинарные исследования», 2019. – 192 с. ISBN 978-5-6043501-2-6

 

Благодарю за прочтение

НАПИШИТЕ МНЕ

©2018 Светлана Брижак. Сайт создан на Wix.com