27 марта 2023 года на платформе Института информационной безопасности под эгидой «European Academy of Sciences of Ukraine» (EUASU) в режиме онлайн состоялся круглый стол на тему «Новая парадигма безопасности для финансовых учреждений».
В данной встрече принимали участие следующие эксперты:
Профессор Харви Вольф Кушнер — председатель Департамента уголовной юстиции и профессор уголовной юстиции в LIU Post (Нью-Йорк). Академик EUASU. Эксперт по терроризму, автор бестселлера «Энциклопедия терроризма».
Dr. Олег Викторович Мальцев — научный руководитель «Института Информационной Безопасности», член Президиума и академик EUASU, криминолог, психолог, специалист по безопасности. Автор многочисленных книг в таких сферах, как прикладная история, социология, глубинная психология, философия, криминология.
Массимо Ортолани —экономист, экономический консультант. Работал в группе ENI, Mediocredito Centrale и в группе Unicredit, выполняя задания, в основном связанные с международной деятельностью, оценкой геополитических рисков и оценкой инвестиционных проектов. Работал консультантом в Латинской Америке для UNIDO, а также в Казахстане в рамках программ Европейского Союза. Автор книги «Экономическая разведка и геоэкономический конфликт», а также иных работ.
Оливер Панеке — член экспертной сети бельгийской организации «Human rights without frontiers», PhD-кандидат в Университете Мидлсекса (Лондон). Консультант миссии ОБСЕ в центральной и восточной Европе, а также на Балканах, на Кавказе, наблюдатель за процессами выборов, судебными процессами, эксперт по вопросам верховенства права. В 2014–2020 годах имел мандат независимого эксперта ООН по внешнему долгу и правам человека. Является комментатором по вопросам экономики и права в The Guardian, Der Standard, Telepolis. Основное направление исследований как ученого — независимые финансы, права человека, верховенство закона и независимость судебной системы.
Эндрю Хоскинс —академик EUASU, междисциплинарный профессор глобальной безопасности Колледжа социальных наук Университета Глазго, Великобритания. Его последняя книга (совместно с Мэтью Фордом) — «Радикальная война: данные, внимание и контроль в двадцать первом веке» (Hurst/OUP). Соредактор-основатель Кембриджского журнала памяти, разума и медиа (2021), главный редактор-основатель Sage Journal of Memory Studies (2008) и со-редактор-основатель — руководитель журнала Digital War (2020).
Профессор Виталий Евгеньевич Лунев — доцент Национального медицинского университета имени Богомольца. Член Президиума и академик EUASU, член «Американской психологической ассоциации», «Американской академии клинической психологии», а также «Всемирной федерации психического здоровья (США)».
Константин Слободянюк —член Президиума EUASU. Ассоциированный член Академии наук Украины. Глава Стратегического совета Института Информационной Безопасности. Глава ОО «Кавальер». Главный редактор газеты «Нераскрытые преступления». Занимается исследованиями в области управления онлайн-репутацией и безопасности предприятий.
Ольга Панченко — член-корреспондент EUASU, адвокат, директор адвокатской компании «Редут». Член-корреспондент Украинской Академии наук. Журналист газеты «Нераскрытые преступления». Член президиума Одесского научно-гуманитарного общества и историко-литературного научного общества.
Павел Педина —эксперт EUASU, эксперт в области финансов, банковского дела, страхования и оценки активов. Финансовый консультант. Консультант по инвестициям Slav Invest, финансовый директор холдинга MANORM, глава Общества защиты кредитов Paradox.
Можно с уверенностью сказать, что прошедший круглый стол стал историческим событием, своеобразным ответом на текущие вызовы, а также информационные угрозы. На протяжении многих лет западные специалисты в области безопасности принимали в качестве аксиомы главенство технологий над человеческим фактором. При этом, в течение последних двух лет ситуация кардинально изменилась. Фактическая практика в сфере безопасности указывает на то, что без разрешения проблематики человеческого фактора, технологические решения не в состоянии обеспечить безопасность финансовых структур. Подобный публичный консенсус стал результатом серии отчётов, которые были инициированы не только государственными структурами, но и ведущими организациями по кибербезопасности, финансовыми учреждениями, CISO, а также аналитическими и экспертными компаниями. Главный вывод сводится к необходимости разрешения ключевой проблемы в сфере безопасности, а именно – человеческого фактора.
Говоря про круглый стол как про историческое событие, мы, в первую очередь, должны подчеркнуть выводы круглого стола, которые сводились к необходимости разработки специальной программы, целью которой является минимизация человеческого фактора. До этого момента все публичные доклады западных экспертов сводились к необходимости разрешить эту проблематику, однако не предлагались ни подходы, ни инструменты, которые могли бы приблизить экспертов и бизнес к разрешению проблемы человеческого фактора.
В ходе круглого стола эксперты не только сошлись во взглядах касательно необходимости разрешения проблемы человеческого фактора, но и подробно описали требования к программе, которую необходимо в ближайшие месяцы разработать и начинать внедрять в бизнес-структурах и организациях, которые серьёзно подвержены влиянию человеческого фактора. Таким образом, в ходе круглого стола возникла не только модель будущей программы, которую предложил эксперт в области безопасности Олег Викторович Мальцев, но и целый перечень практических требований к подходу и выбору практических инструментов, которые необходимо применить для того, чтобы максимально исключить системные ошибки на этапе конструирования программы. В частности, профессор Харви Кушнер акцентировал внимание коллег на отказе от масс-маркет инструментов. Оливер Панеке сосредоточил внимание на правах человека, которые также необходимо учесть на этапе разработки. К слову, Оливер Панеке подчеркнул, что подобная программа является критически важной не только для финансовых институций, таких как банки и страховые компании. По мнению эксперта, следует расширить область применения программы на медицинские учреждения, сферу энергетики и ряд других отраслей весьма чувствительных к человеческому фактору. Профессор Лунев обратил внимание на возможные препятствия на этапе внедрения, корни которых уходят в разность психологических парадигм в США, странах Западной Европы и Великобритании. Эндрю Хоскинс подчеркнул отдельную угрозу в лице databrokers, которую необходимо учесть при разработке программы. Статистическую информацию касательно прецедентов, связанных с человеческим фактором, представил Павел Педина. Эксперт Ольга Панченко, в свою очередь подчеркнула необходимость обеспечения баланса интересов наемных сотрудников и работодателей, без которого мы рискуем столкнуться с двумя крайностями — чрезмерное внимание к правам наемных сотрудников может закончиться финансовым коллапсом, и наоборот — максимальная защита прав работодателей может закончиться судебными исками и конфликтами в сфере прав человека.
Ниже приведены некоторые тезисы участников круглого стола:
О.В. Мальцев: почему свой автомобиль вы не отдаете в ремонт первому попавшемуся мастеру? Почему операцию своему ребенку вы доверяете хирургу? Но как только это касается бизнеса и отрасли безопасности, все происходит прямо до наоборот. Прежде всего нужно понять, что отрасль безопасности – это не бизнес, это ремесло, искусство. Такое же искусство, как изготовление ювелирных изделий, как огранка бриллианта. Здесь нет похожих задач. Здесь все начинается с того, что клиент не прав во всем. Здесь никто не улыбается клиенту, потому что в случае, если клиент сидит напротив специалиста по безопасности, значит он уже совершил целый ряд ошибок.
Харви Кушнер: в 60–70 годах прошлого века я работал с крупными американскими банками. При обнаружении хищений в банке меня просили создать программу, которая бы не позволяла нанимать в дальнейшем на работу тех, кто совершил хищение денежных средств. Но сейчас сфера безопасности ОЧЕНЬ изменилась. Я знаю, что многие коллапсы в компаниях возникают из-за человеческого фактора и отсутствия подготовки персонала. Поэтому необходимы специальные инструменты, которые доступны не всем, это не масс-маркет. И я бы хотел участвовать в создании системы, где главную роль играет отбор кадров. Такая система необходима сейчас для финансового сектора, для банков, для страховой отрасли и т.д.
В. Е. Лунев: если мы говорим о безопасности, то наиболее подходящей моделью для описания я считаю иммунитет. Психодиагностика «нарушает» иммунитет. Нам необходимо обнаружить те угрозы, которые при благоприятных условиях приведут к заболеванию, то есть нарушению нормы психики, что приведет человека к преступлению. Американский подход психодиагностики говорит о вариативности нормы. Британский подход рассматривает норму в рамках нейропсихологии. Западноевропейский подход основывается на культурологии.
Таким образом, мы имеем дело с разностью подходов, разностью показателей и разностью результатов. К тому же люди научились обманывать тесты, основанные на психометрии. В Украине претенденты на высокие государственные посты проходили определенные тренинги для того, чтобы правильно ответить на нужные вопросы тестов.
Ни одна классическая психометрия не учитывает диапазон глубины изменений психики и не дает объективности. Проективный же подход исключает культурологическую, ментальную разность и возможность обмана, потому что работает с глубиной бессознательного. Он также имеет приоритет в уголовном судопроизводстве. Использоваться этот метод должен в зависимости от уровня доступа, ответственности человека – чем выше уровень ответственности, тем больше глубина тестирования.
Ольга Панченко: для того, чтобы минимизировать человеческий фактор, необходимы руководящие инструкции, а не рекомендательные. И здесь может возникнуть вопрос о том, будет ли это нарушать права человека, не будет ли это дискриминацией. Когда речь идет об индивидуальной ответственности, то деятельность человека не ведет к последствиям для коллектива. Но когда речь идет о групповой тенденции – все меняется, то есть рекомендательных инструкций уже недостаточно, необходимы руководящие инструкции.
Закрепление этого же принципа мы видим и в законодательных нормах всех демократических стран. Этот принцип звучит так: любой человек может реализовывать свои права, если его действия, при этом, не нарушают и не ограничивают права и свободы других лиц. То есть у человека есть права, и они бесспорны, при этом, есть грань их реализации – права и свободы других лиц (как физических лиц, так и юридических).
Парадигма, которую мы предлагаем, безусловно, содержит в себе именно руководящие инструкции, при этом, она прототипологична, с одной стороны, с другой – она, безусловно, будет содержать баланс прав наемных сотрудников и работодателей, что исключает какую-либо дискриминацию.
Выводы экспертов круглого стола вполне закономерны, потому что вопрос человеческого фактора в сфере кибербезопасности, безопасности для финансовой сферы в частности и безопасности вообще поднимался на протяжении как минимум последнего 10-летия.
Джон Брайт, бывший старший менеджер по управлению рисками в Merrill Lynch (компания с Уолл-стрит), в 2013 году после финансового краха отмечает, что математические модели не работают, потому что они не учитывают человеческую слабость, цифры чаще скрывают риск, чем показывают его, и нужно выявлять человеческий фактор в банковских рисках.
В 2017 году в статье McKinsey «Защита критически важных цифровых активов: не все системы и данные одинаковы» говорилось о том, что киберпреступники все чаще нацеливаются на сотрудников и других инсайдеров, используя методы социальной инженерии, чтобы обманом заставить их разгласить конфиденциальную информацию или предоставить доступ к системам; поведение сотрудников и внутренние угрозы являются одними из наиболее значительных рисков для кибербезопасности организации. Риски кибербезопасности не могут быть полностью устранены с помощью одних только технологий и человеческий опыт имеет решающее значение для выявления рисков и управления ими.
В статье McKinsey «Риск-ориентированный подход к кибербезопасности» отмечается, что угрозы кибербезопасности часто возникают из-за поведения сотрудников, такого, например, как нажатие на фишинговые электронные письма или использование слабых паролей, также говорится о важности культуры кибербезопасности и отмечается, что успешные программы кибербезопасности зависят от людей, а не только от технологий.
«Глобальный обзор экономических преступлений PwC 2021: превращение риска в устойчивость» называет человеческий фактор основной угрозой. Почти половина всех экономических преступлений совершается внутренними субъектами, осведомленность и образование сотрудников являются важнейшими компонентами эффективной программы предотвращения экономических преступлений. 50% всех экономических преступлений раскрываются вследствие информации, полученной от сотрудников, что подчеркивает важность наличия у сотрудников эффективных каналов для сообщения о подозрительном поведении.
Стив Кинг (директор консультационных услуг по кибербезопасности в Information Security Media Group, организатор 9 стартапов, в том числе Endymion Systems и seeCommerce, занимавший руководящие должности в области маркетинга и разработки продуктов, работавший в качестве генерального директора, технического директора и директора по информационным технологиям в нескольких стартапах, включая Netswitch Technology Management, директором по информационным технологиям в Memorex, в прошлом соучредитель Cambridge Systems Group) в отчете о кибер-рисках за 2022 год отмечает, что человеческие ошибки и гигиена продолжают представлять самые большие угрозы для организаций, а самым большим препятствием для улучшения состояния кибербезопасности являются проблемы, связанные с людьми.
Внешние злоумышленники — не единственная угроза, которую современные организации должны учитывать при планировании кибербезопасности. Злонамеренные, халатные и скомпрометированные пользователи представляют собой серьезный и растущий риск. Согласно данным отчета “Cost of Insider Threats: Global Report” 2022 за последние два года число инцидентов, связанных с инсайдерскими угрозами, выросло на 44%, а стоимость каждого инцидента увеличилась более чем на треть и составила 15,38 млн долларов.
В отчете Proofpoint “Кибербезопасность: Перспективы совета директоров за 2022 год” говорится, что более двух третей членов совета директоров считают человеческий фактор самой большой киберуязвимостью. У них есть все основания так считать, поскольку 82% зарегистрированных кибератак связаны с человеческим фактором.
На вопрос Cyber Security Hub в середине 2022 года о том, какие векторы угроз представляют наибольший риск для их организаций, 75% специалистов по кибербезопасности ответили, что это социальная инженерия и фишинг. После завершения опроса таким атакам подверглись многие организации, включая Revolut, Twilio, Uber, LastPass, Dropbox и Marriott International, что подчеркивает важность того, чтобы специалисты по кибербезопасности оставались в курсе угрозы фишинга.
Ожидается, что в 2023 году человеческий фактор станет значительным фактором угроз кибербезопасности. Согласно исследованию Всемирного экономического форума, в 2022 году 95% проблем кибербезопасности может быть связано с человеческим фактором.
