Утечки данных и мотивация сотрудников

Как меняется мотивация сотрудников в результате инцидента с утечкой данных?

Какие последствия для сотрудников имеет утечка данных? Не будем рассматривать крайний случай, когда компания в результате инцидента теряет репутацию, клиентов и вообще уходит с рынка. Понятно, что в этом случае сотрудники просто идут искать другую работу. Но что происходит с мотивацией сотрудников, если в компании, где они работают, случается киберинцидент?

Чтобы ответить этот на вопрос, нужно сначала понять, в чем причина большинства подобных инцидентов. На мой взгляд, чаще всего корнем проблемы является либо инфантилизм, разгильдяйство и безответственность сотрудников, либо неэффективное управление. То есть как ни смотри — человеческий фактор. А хакеры и инсайдеры просто пользуются возможностью.

Безответственность сотрудников

Попробуйте опросить сотрудников на тему «какие изменения в рабочем процессе повысили бы вашу продуктивность и удовлетворенность от работы». Проанализировав ответы, вы увидите, что люди хотят работать, как им удобно: чтобы ничего не мешало, чтобы была полная свобода. Например, быть администраторами на своем компьютере, ставить любое ПО, давать доступ к данным и системам своей команды по собственному разумению, без обоснований бизнес-необходимости, приглашать в офис гостей в любое время и так далее.

При этом практически никто не готов реально нести ответственность за свои «хочу», «мне так удобно» или «и так сойдет». Такие сотрудники (а порой и их руководство) верят, что должен существовать какой-то волшебник, который защитит от всего, какими бы ни были условия. И мы, конечно, сделаем все, чтобы защитить корпоративные ресурсы, но, к сожалению, мы не всесильны.

Как ведут себя дети, разбившие телефон, который они взяли без спроса? Если их научили отвечать за свои поступки, то они расстраиваются не только из-за себя. Такие дети переживают и о том, что теперь по их вине родители остались без телефона. Если же ответственности детей не научили, то они переживают из-за страха наказания или чувства досады и «несправедливости», ведь телефончика и подарков какое-то время не будет. Как показывает практика, когда они вырастают, привычки сохраняются. Ответственные дети, повзрослев, гораздо реже становятся причинами инцидентов с безопасностью, чем безответственные. Если же по их вине все-таки происходит утечка, то их мотивация и лояльность к компании не снижаются, потому что они осознают свою вину, а не перекладывают ее на руководство.

Неверные решения

Вторая причина серьезных инцидентов — действия или бездействие ИБ- и ИТ-персонала, а также проблемы с эффективностью управления бизнес-процессами. По факту в компании, которая серьезно относится к кибербезопасности, ущерб в результате инцидента возникает не от действий одного сотрудника, который вставил флешку с зараженным файлом или открыл письмо с темой «I love you». Всегда есть цепочка ошибок, которые случились в нужной комбинации:

  • Бизнес-процесс был выстроен так, что допускал возникновение такой ошибки.
  • Была допущена сама ошибка или нарушение политик ИБ.
  • Информационные системы или инфраструктурные сервисы содержали необнаруженные или вовремя не исправленные уязвимости.
  • Применяемые системы были переусложнены, что привело к недостатку ресурсов на их безопасное конфигурирование, своевременный патч-менеджмент и внедрение мер защиты.
  • Служба безопасности не смогла (или не имела возможности) выявить инцидент прежде, чем он привел к ущербу.

То есть каждый из факторов — следствие чьего-то неудачного решения, но причина инцидента — совокупность этих факторов.

Как инцидент повлияет на мотивацию сотрудников, также во многом зависит от того, какие действия предпримет руководство компании. Иногда случается так, что меры по недопущению повторения подобных инцидентов могут нанести ущерб куда больший, чем сам инцидент.

Вот пример неудачных решений руководства некоего реально существующего банка. В нем периодически случались инциденты, связанные как с внешними атаками, так и с ошибками персонала. В результате системы банка на какое-то время становились недоступны. Руководство в качестве наказания и для «мотивации других» постоянно увольняло сотрудников ИТ- и ИБ-отделов. При этом то же самое руководство не выделяло бюджета ни на создание новой автоматизированной банковской системы, ни на доработку старой, об уязвимостях которой было известно. Старые сотрудники, понимая, что от ошибки никто не застрахован, а компания предпочитает ничего не исправлять, а только менять людей, постепенно нашли себе другую работу. Новые сотрудники, приходящие на место уволенных, понимали в самописной АБС еще меньше, и, как следствие, ошибались еще чаще и тратили больше времени на обслуживание систем. В итоге из банка ушли клиенты, так что из топ-50 он скатился на 200+ место.

Что делать

По-моему, чтобы избежать демотивации сотрудников, нужно повышать их ответственность, прививать им уважение к ценностям компании и работе других людей. Это достигается в том числе и материальной заботой компании о своих сотрудниках, так как уважение должно быть взаимным. Кроме того, нужно иметь четкие правила, описывающие, что допустимо делать, что делать нельзя, а также как нужно поступать, если кто-то все-таки стал причиной киберинцидента (не исправил вовремя уязвимости, не обратил внимания на признаки атаки или даже скрыл их). Если к кому-то придется применить штрафные санкции, то важно не допускать дискриминации и сплетен — руководитель команды должен четко довести до подчиненных информацию о причинах этих санкций и обстоятельствах ошибки. Это позволит не только поддерживать здоровую атмосферу в коллективе, но и избежать повторения ошибок в будущем.

С точки зрения ИБ, чтобы минимизировать влияние инцидентов на мотивацию и обеспечить выживаемость компании, нужно уделять внимание таким факторам, как:

  • Обучение персонала (чтобы не совершать ошибок, человек должен понимать, какие вообще бывают ошибки).
  • Мотивация сотрудников (люди должны хотеть работать в компании).
  • Четкая формулировка правил информационной безопасности в компании и строгий контроль их выполнения.
  • Наличие средств детектирования и реагирования на инциденты.
  • Системы защиты от ошибок, дураков, разгильдяев и злонамеренных действий инсайдеров.
  • Непрерывное совершенствование всего вышеперечисленного, чтобы не наступать на грабли снова и снова.

Другие мысли о взгляде на инциденты в кибербезопасности глазами сотрудника можно почитать в свежем отчете «Лаборатории Касперского» «Taking care of corporate security and employee privacy: Why cyber-protection is vital for both businesses and their staff».

Shadow IT как угроза

Использование разномастных сервисов и программ, о которых не знает ни IT-отдел, ни служба безопасности, может привести к множеству проблем. Рассказываем, как их избежать.

Советы