Также следует остерегаться любой информации, публикуемой в пропагандистском ключе, она может быть откровенно деструктивной как для одного человека или его окружения, так и в целом для государства. Достаточно вспомнить события начала ХХ века и к чему они привели в дальнейшем – именно такого контента следует избегать в первую очередь. Конечно же, следует избегать предложений о «работе без вкладов» и прочих, в порядке убывания. Все это принесет вам лишь проблемы – не только с законом, но и с финансами и нервной системой.
3. Психологию поведения в Сети разумно выстраивать исходя из негативного ключа. Назовите это паранойей, но восприятие любой входящей информации как правдивой или даже в нейтральном ключе и есть расчет злоумышленников. Составить привлекательный текст, снабдить красивой и завлекающей картинкой, а следом обставить все так, что ваши действия будут выполнены только в интересах авторов текста.
Таким образом, увидеть связь всех трех дисциплин можно невооруженным взглядом – на психологии в Сети завязано все, что касается обсуждаемой тематики. Например, в августе 2023 года в Сети появилась новость о том, что у топ-менеджера технологической компании Blockchain Capital Барта Стивенса «увели» более 6 млн долларов. А украсть эти деньги помогло то, что сам Стивенс публиковал в социальных сетях огромное количество личной информации, которой следовало бы быть закрытой. На основании этих данных некий анонимный хакер получил дубликат сим-карты Стивенса и смог вывести с его криптовалютного кошелька эквивалент вышеуказанной суммы. Однако следующая попытка украсть деньги с криптокошелька оказалась бесплодной – благодаря бдительному сотруднику Blockchain Capital вывод эфира на сумму, равную 14 млн долларов, был заблокирован.
Применение психологического аспекта в кибергигиене в корпоративной среде
В корпоративной же среде информационная гигиена и кибергигиена требуют участия всех сотрудников, но для служб информационной безопасности важна особая роль психологической устойчивости и обучения. Следуя рекомендациям по разработке программ для повышения осведомленности и навыков безопасности, компании могут минимизировать риски, связанные с человеческим фактором. Примеры таких компаний, как Microsoft и Cisco, показывают, как можно успешно интегрировать принципы информационной и кибергигиены, чтобы укрепить общую безопасность.
Сегодня, когда цифровые угрозы эволюционируют с беспрецедентной скоростью, а то и вовсе находятся в состоянии цифровой сингулярности, информационная и кибергигиена становятся неотъемлемой частью корпоративной культуры. Важно понимать, что эти термины слишком близки и явного водораздела тут нет: информационная гигиена включает практики, связанные с безопасным управлением данными и профилактикой утечек или минимизацией потерь, в то время как кибергигиена акцентируется на мерах защиты ИТ-инфраструктуры. Психология индивида тут играет ключевую роль, помогая понять и снизить влияние человеческих факторов на безопасность. Это имеет особую значимость для служб информационной безопасности, которые стремятся защитить компанию от внешних и внутренних угроз, работая с поведенческими и психологическими аспектами сотрудников.
Microsoft активно продвигает практики кибергигиены, проводя регулярные тренинги для сотрудников всех уровней. И не только для своих сотрудников, но и для пользователей или сторонних специалистов. Например, тренинги по предотвращению фишинговых атак и управлению паролями помогают укрепить навыки безопасности, предотвращая риски, связанные с человеческим фактором. Подобные тренинги создают осведомленность среди сотрудников и делают их более устойчивыми к психологическим методам манипуляции, таким как социальная инженерия, или формируют необходимую модель действий в какой-то ситуации.
Cisco же делает акцент на эмоциональной подготовке специалистов по информационной безопасности к стрессовым ситуациям. Периодические тренировки, симулирующие реальные инциденты, помогают специалистам быстрее реагировать и принимать наиболее оптимальные решения в условиях угроз. Программы направлены на повышение стрессоустойчивости, что приводит к снижению вероятности ошибочных действий в и без того критических ситуациях.
Для служб информационной безопасности компаний разработка… выражусь в духе времени – проработка информационной гигиены становится основой для создания устойчивой системы защиты. Вот несколько примеров, как именно это может выглядеть.
Менеджмент доступов, ресурсов и паролей. Регулярные смены доступов или паролей – часто обязательное требование для всех сотрудников. Так, политика смены паролей направлена на снижение риска их компрометации при каких-то старых утечках, особенно при использовании двухфакторной аутентификации. Вместе с тем представляет препятствия при «горизонтальном» перемещении злоумышленников в Сети. И к сожалению, не редкость игнорирование этого персоналом. Однако если сотрудник понимает важность на примерах и на автомате делает это раз в какой-то период времени, это существенно повышает общую защищенность.
Обучение распознаванию атак. Частые имитации фишинговых писем помогают сотрудникам лучше и глубже прочувствовать угрозы и избегать ошибок, вызванных доверчивостью и невнимательностью, а вместе с тем и сформировать подозрительность по отношению ко всем входящим письмам.
Мониторинг цифрового следа сотрудников. Разработка программ и стратегий, которые помогают сотрудникам осознавать свой цифровой след, – важный психологический аспект, позволяющий осознать объемы сгенерированных данных и повышающий у работника чувство ответственности за собственные действия в Сети.
Создание среды безопасного обсуждения инцидентов. Доступность специалистов по информационной безопасности для обсуждения вопросов или инцидентов помогает предотвратить возникновение серьезных проблем. Замалчивание проблем или нежелание лишний раз проверять или трогать чувствительные точки в компании приводят к сложностям (ниже мы разберем проблему с резервными каналами). Такой подход снижает психологическое давление на сотрудников, делает их более открытыми к критике принимаемых решений, обеспечивает скорейшее осознание и информирование начальства в случае, если сотрудник «накосячил». Такая ускоренная реакция повышает и общую защищенность организации, снижая наносимые убытки компании.
Основные постулаты цифровой и кибергигиены в интернет-пространстве
Сетевые просторы уже никогда не будут абсолютно безопасными для пользователей. Так или иначе, находящиеся в интернете зловредные сайты и отдельные злонамеренные личности уже никогда не дадут покоя простым обывателям. Нет, я не хочу сказать, что в Сети за каждым углом вас поджидает хакер, который прямо мечтает завладеть вашими деньгами, личной информацией или содержимым вашего компьютера, но и отрицать существование этой проблемы, как и ее опасность, не стану. Для того чтобы осознать существование сетевых угроз для каждого индивидуума, необходимо установить несколько фактов.
1. Есть ли на вашем компьютере информация, которую вам не хотелось бы разглашать? Вопрос не только в семейных фотографиях или каких-то личных данных.
2. Сохранены ли на вашем компьютере логины и пароли от учетных записей сетевых ресурсов?
3. Сохранена ли на вашем компьютере какая-либо финансовая информация о вас?
4. Имеется ли у вашего компьютера удаленный доступ к ресурсам неких компаний?
Если хотя бы на один из этих вопросов вы можете дать положительный ответ, можете записывать себя в потенциальную жертву цифровых преступников. Но не все так мрачно – люди, профессионально занимающиеся кибербезопасностью, разработали несколько простых правил, следуя которым вы можете обезопасить свои визиты во Всемирную сеть.
Правило № 1 – используйте сложные пароли и регулярно их меняйте.
Действительно, чем длиннее и бессвязнее пароль, тем сложнее его взломать и получить доступ к вашим данным. Это касается не только социальных сетей, но и любых учетных записей – пароли не должны быть простыми, примите это как догму. Лучшим паролем будет тот, в котором нет ни одного слова, лишь произвольный набор символов в разном регистре и цифр. К примеру, хороший пароль выглядит так:
kldsfjA; aosasj@jahax260pdsjfsd
Да, запомнить сложно. Но еще сложнее такой пароль взломать – а это уже принцип защиты личных данных. Согласитесь, лучше поставить пароль, который нельзя логически додумать, зная что-нибудь о вас, чем «подарить» злоумышленникам конфиденциальную информацию. Тем более что в наши дни есть куча различных менеджеров паролей, оснащенных криптографией, а следовательно, надежно сохраняющих ваши авторизационные данные. Причем они доступны либо бесплатно, либо за смешную сумму в год. Но к ним мы вернемся позже. А сейчас я подкину вам горькую пилюлю – нет абсолютно защищенных учетных записей, каким бы ни был сложным пароль. Поэтому необходимо комбинировать различные методы защиты учетных записей: сложный пароль, двухфакторную авторизацию и биометрическое подтверждение.
Помимо того что пароли подбирают, или брутфорсят (от brute-force – прямой перебор; правда, в наши дни он встречается все реже), злоумышленники нередко пользуются хеш-данными или данными браузеров, которые и сохраняют ваши логины и пароли или возможность входа, например, куки-файлами. Владельцам сайтов крайне не рекомендуется использовать устаревшие режимы, методы и алгоритмы шифрования данных, что автоматически повышает безопасность пользовательских данных.
Правило № 2 – резервное хранилище данных.
Для безопасности данных не советую пользоваться никакими онлайн-хранилищами, а также встроенными в компьютер накопителями. Объясню почему: подключенный накопитель при атаке на компьютер является первоочередной целью. Это справедливо и при вирусных атаках, когда злоумышленники планируют постепенно выкачивать нужную информацию, и при прямых атаках, цель которых – похитить сразу крупный массив данных.