«Да пошло оно всё!» — и вот вы уже инсайдер. Усталость убивает все правила кибербезопасности
NewsMakerКак стресс, давление и токсичная культура превращают обычных сотрудников в источник киберугроз.
Большинство компаний борются с киберугрозами с помощью технологий и тотального контроля за сотрудниками, но исследование Эммануэла Анти показывает: гораздо эффективнее может оказаться эмпатия. В своей докторской диссертации в Университете Васа он изучает феномен инсайдерской девиации и объясняет, как внимание к человеческому фактору помогает выстроить более устойчивую и честную кибербезопасность.
Инсайдерские угрозы возникают, когда сотрудники, подрядчики или бывшие работники намеренно или по ошибке злоупотребляют своим доступом к системам компании. Работа Анти в области информационных систем показывает, что за такими инцидентами часто стоят страх, стресс, корпоративная культура, моральные дилеммы и эмоциональное выгорание. Речь идет не только о злонамеренных действиях, но и о банальных ошибках, которые могут привести к утечкам и инцидентам.
По словам исследователя, люди далеко не всегда планируют нарушать правила. Случайная отправка конфиденциального письма не тому адресату или переход по фишинговой ссылке часто вырастают из одних и тех же причин: постоянное давление, дедлайны, высокая нагрузка и ощущение, что в компании не принято признавать слабости и просить о помощи. В такой среде безопасность легко становится второстепенной по сравнению с желанием просто «успеть все закрыть».
Отдельная тема — так называемое «девиантное творчество» сотрудников, которые находят хитрые способы обходить защиту ради удобства или скорости. Зная внутренние процессы, люди придумывают рискованные, но привычные лайфхаки: например, высылают рабочие документы на личную почту, чтобы быстрее закончить задачу из дома. Система может не распознать такие файлы как чувствительные и не заблокировать отправку, но именно такие обходные маневры открывают двери для реальных угроз.
Когда политики безопасности и технические меры кажутся слишком жесткими и мешающими работать, сотрудники начинают воспринимать их как препятствие, а не как защиту. Вместо осознанного соблюдения правил возникает скрытое сопротивление: пользователи ищут лазейки, отключают уведомления, игнорируют требования к паролям или многофакторной аутентификации. Формально система выглядит защищенной, но фактически она подрывается изнутри повседневными компромиссами.
Традиционный ответ бизнеса — внедрение новых технологий контроля, в том числе систем на базе ИИ, отслеживающих активность сотрудников. Однако, по словам Анти, такой подход часто дает обратный эффект. Алгоритмы могут неверно измерять качество труда, поощряя скорость вместо аккуратности: те, кто работает осторожно и внимательно, оказываются «медленными» в глазах системы. Постепенно это порождает чувство несправедливости, усталость и недоверие к работодателю — идеальную почву для инсайдерской девиации как формы тихого протеста или самообороны.
Исследователь предупреждает: вместо того чтобы предотвращать инсайдерские инциденты, подобные инструменты иногда сами подталкивают к ним. Человек, который чувствует, что за ним непрерывно следят, а его усилия оценивают алгоритмы по сомнительным метрикам, с большей вероятностью начнет скрывать ошибки, искать обходные пути и дистанцироваться от корпоративных ценностей. В результате организация получает красивый отчет о контроле, но теряет главное — доверие.
В своей диссертации Анти предлагает альтернативу — эмпатичную модель безопасности, основанную на принципах дизайн-мышления. Вместо навязывания правил сверху он предлагает вовлекать сотрудников в совместную разработку политик и процедур, честно изучать их реальные потребности, мотивацию и эмоциональное состояние. Такой подход учит смотреть на безопасность глазами людей, которым приходится с ней жить каждый день, а не только через интерфейсы SIEM и отчеты SOC.
Эмпатия в этом контексте — не мягкость, а инструмент устойчивой защиты. Когда сотрудники чувствуют, что их слышат и понимают, они охотнее сообщают о собственных ошибках, вместо того чтобы замалчивать инциденты из страха наказания. Люди начинают воспринимать требования безопасности как часть общей договоренности, к созданию которой они сами приложили руку, а не как очередной набор абсурдных запретов. В долгосрочной перспективе, подчеркивает Анти, именно доверие и уважение к человеческому фактору, а не еще один слой слежки, дают организациям реальный шанс защититься от угроз изнутри.
Большинство компаний борются с киберугрозами с помощью технологий и тотального контроля за сотрудниками, но исследование Эммануэла Анти показывает: гораздо эффективнее может оказаться эмпатия. В своей докторской диссертации в Университете Васа он изучает феномен инсайдерской девиации и объясняет, как внимание к человеческому фактору помогает выстроить более устойчивую и честную кибербезопасность.
Инсайдерские угрозы возникают, когда сотрудники, подрядчики или бывшие работники намеренно или по ошибке злоупотребляют своим доступом к системам компании. Работа Анти в области информационных систем показывает, что за такими инцидентами часто стоят страх, стресс, корпоративная культура, моральные дилеммы и эмоциональное выгорание. Речь идет не только о злонамеренных действиях, но и о банальных ошибках, которые могут привести к утечкам и инцидентам.
По словам исследователя, люди далеко не всегда планируют нарушать правила. Случайная отправка конфиденциального письма не тому адресату или переход по фишинговой ссылке часто вырастают из одних и тех же причин: постоянное давление, дедлайны, высокая нагрузка и ощущение, что в компании не принято признавать слабости и просить о помощи. В такой среде безопасность легко становится второстепенной по сравнению с желанием просто «успеть все закрыть».
Отдельная тема — так называемое «девиантное творчество» сотрудников, которые находят хитрые способы обходить защиту ради удобства или скорости. Зная внутренние процессы, люди придумывают рискованные, но привычные лайфхаки: например, высылают рабочие документы на личную почту, чтобы быстрее закончить задачу из дома. Система может не распознать такие файлы как чувствительные и не заблокировать отправку, но именно такие обходные маневры открывают двери для реальных угроз.
Когда политики безопасности и технические меры кажутся слишком жесткими и мешающими работать, сотрудники начинают воспринимать их как препятствие, а не как защиту. Вместо осознанного соблюдения правил возникает скрытое сопротивление: пользователи ищут лазейки, отключают уведомления, игнорируют требования к паролям или многофакторной аутентификации. Формально система выглядит защищенной, но фактически она подрывается изнутри повседневными компромиссами.
Традиционный ответ бизнеса — внедрение новых технологий контроля, в том числе систем на базе ИИ, отслеживающих активность сотрудников. Однако, по словам Анти, такой подход часто дает обратный эффект. Алгоритмы могут неверно измерять качество труда, поощряя скорость вместо аккуратности: те, кто работает осторожно и внимательно, оказываются «медленными» в глазах системы. Постепенно это порождает чувство несправедливости, усталость и недоверие к работодателю — идеальную почву для инсайдерской девиации как формы тихого протеста или самообороны.
Исследователь предупреждает: вместо того чтобы предотвращать инсайдерские инциденты, подобные инструменты иногда сами подталкивают к ним. Человек, который чувствует, что за ним непрерывно следят, а его усилия оценивают алгоритмы по сомнительным метрикам, с большей вероятностью начнет скрывать ошибки, искать обходные пути и дистанцироваться от корпоративных ценностей. В результате организация получает красивый отчет о контроле, но теряет главное — доверие.
В своей диссертации Анти предлагает альтернативу — эмпатичную модель безопасности, основанную на принципах дизайн-мышления. Вместо навязывания правил сверху он предлагает вовлекать сотрудников в совместную разработку политик и процедур, честно изучать их реальные потребности, мотивацию и эмоциональное состояние. Такой подход учит смотреть на безопасность глазами людей, которым приходится с ней жить каждый день, а не только через интерфейсы SIEM и отчеты SOC.
Эмпатия в этом контексте — не мягкость, а инструмент устойчивой защиты. Когда сотрудники чувствуют, что их слышат и понимают, они охотнее сообщают о собственных ошибках, вместо того чтобы замалчивать инциденты из страха наказания. Люди начинают воспринимать требования безопасности как часть общей договоренности, к созданию которой они сами приложили руку, а не как очередной набор абсурдных запретов. В долгосрочной перспективе, подчеркивает Анти, именно доверие и уважение к человеческому фактору, а не еще один слой слежки, дают организациям реальный шанс защититься от угроз изнутри.