Если вы находите рекомендации по компьютерной безопасности, которые вы получаете на работе, запутанными и не очень полезными, вы не одиноки. Новое исследование высвечивает ключевую проблему, связанную с тем, как создаются эти рекомендации, и описывает простые шаги, которые могли бы улучшить их — и, вероятно, сделать ваш компьютер более безопасным.
Речь идет о рекомендациях по компьютерной безопасности, которые такие организации, как предприятия и правительственные учреждения, предоставляют своим сотрудникам. Эти рекомендации, как правило, разработаны для того, чтобы помочь сотрудникам защитить личные данные и данные работодателя и минимизировать риски, связанные с такими угрозами, как вредоносное ПО и фишинг-мошенничество.
«Как исследователь компьютерной безопасности, я заметил, что некоторые советы по компьютерной безопасности, которые я читаю в Интернете, сбивают с толку, вводят в заблуждение или просто ошибочны», — говорит Брэд Ривз, автор-корреспондент нового исследования и доцент кафедры компьютерных наук в Университете штата Северная Каролина. «В некоторых случаях я не знаю, откуда берется совет и на чем он основан. Это послужило толчком к проведению данного исследования. Кто пишет эти рекомендации? На чем они основывают свои советы? Каков их процесс? Есть ли какой-нибудь способ, которым мы могли бы добиться большего успеха?»
Для проведения исследования исследователи провели 21 углубленное интервью с профессионалами, которые отвечают за написание руководств по компьютерной безопасности для организаций, включая крупные корпорации, университеты и правительственные учреждения.
«Ключевым выводом здесь является то, что люди, пишущие эти рекомендации, стараются предоставить как можно больше информации», — говорит Ривз. — Теоретически это здорово. Но авторы не уделяют приоритетного внимания наиболее важным советам. Или, более конкретно, они не лишают приоритетности те моменты, которые значительно менее важны. А поскольку необходимо включить так много советов по безопасности, рекомендации могут быть ошеломляющими — и самые важные моменты теряются в суматохе».
Исследователи обнаружили, что одна из причин, по которой рекомендации по безопасности могут быть настолько ошеломляющими, заключается в том, что авторы рекомендаций, как правило, включают в себя все возможные элементы из самых разных авторитетных источников.
«Другими словами, авторы руководств собирают информацию о безопасности, а не готовят ее для своих читателей», — говорит Ривз.
Основываясь на том, что они узнали из интервью, исследователи разработали две рекомендации по улучшению будущих руководящих принципов безопасности.
Во-первых, разработчикам руководств нужен четкий набор рекомендаций по хранению информации, чтобы рекомендации по безопасности сообщали пользователям как то, что им нужно знать, так и то, как расставить приоритеты в этой информации.
Во—вторых, авторам — и сообществу по компьютерной безопасности в целом — нужны ключевые сообщения, которые будут понятны аудитории с различным уровнем технической компетентности.
«Послушайте, компьютерная безопасность — сложная штука», — говорит Ривз. — Но медицина еще более сложна. Тем не менее, во время пандемии эксперты в области общественного здравоохранения смогли дать общественности довольно простые и сжатые рекомендации о том, как снизить риск заражения COVID. Мы должны быть в состоянии сделать то же самое для компьютерной безопасности».
В конечном счете, исследователи приходят к выводу, что авторам советов по безопасности нужна помощь.
«Нам нужны исследования, рекомендации и сообщества практиков, которые могли бы поддержать этих авторов, потому что они играют ключевую роль в превращении открытий в области компьютерной безопасности в практические советы для применения в реальном мире», — говорит Ривз.
«Я также хочу подчеркнуть, что, когда происходит инцидент с компьютерной безопасностью, мы не должны винить сотрудника за то, что он не выполнил одно из тысячи правил безопасности, которых мы ожидали от него. Нам нужно лучше поработать над созданием руководящих принципов, которые было бы легко понять и внедрить».
Исследование «Кто придумывает все это? Интервью с авторами, чтобы понять, как они дают рекомендации по безопасности», будет представлено на симпозиуме USENIX по полезной конфиденциальности и безопасности, который состоится 6-8 августа в Анахайме, Калифорния.