Концепція 90-5-5 — вирішення проблеми людських ризиків у кібербезпеці

За матеріалами Віктора Алвеса (Victor Alves) blogs.cisco.com

Суть концепції 90-5-5 — у тому, що вона зміщує фокус з реактивного захисту на проактивний. Дослідження IBM, Стенфордського університету та Verizon свідчать, що людська поведінка, особливо в процесі прийняття повсякденних рішень, — це домінуючий фактор порушень правил безпеки. Виявилося, що близько 90% цих порушень викликані людськими помилками. Ця статистика переконливо свідчить: якщо ми хочемо покращити кібербезпеку, потрібно звернути увагу на людський фактор, але при цьому не висувати людям більш жорсткі вимоги.

Концепція 90-5-5 — не просто спостереження, це план дій. 90% порушень відбуваються через людські помилки, 5% — через відсутність інструментів або їхні недоліки, і ще 5% — через обмеженість ресурсів. Але ще важливіше те, що ця концепція пропонує рішення: якщо ми інвестуємо в технології та ресурси (5% та 5%), то можемо значною мірою зменшити вплив людських помилок. Це допоможе створити середовище, в якому буде можливість зупиняти, виправляти або навіть повністю попереджати людські помилки.

Переосмислення концепції 90-5-5

Хоча 90% порушень викликані людськими помилками, наша мета — звести до мінімуму кількість рішень, які люди повинні приймати під тиском. Помилки трапляються, коли люди перевантажені, недостатньо поінформовані або не знають про ризики. Замість того, щоб зосереджуватися на індивідуальних провинах, концепція 90-5-5 пропонує мислити більш широко: як створити середовище, що зменшує навантаження на людей і запобігає помилкам ще до того, як вони відбудуться?

Концепція 90-5-5 — це план дій
90% порушень відбуваються через людські помилки, 5% — через відсутність інструментів, ще 5% — через обмеженість ресурсів. Концепція 90-5-5 пропонує рішення: якщо ми інвестуємо в технології та ресурси (5% та 5%), то можемо значною мірою зменшити вплив людських помилок

5-5 як превентивна сила

5% — брак належних інструментів

Неправильно налаштовані або погано інтегровані інструменти створюють перешкоди під час прийняття повсякденних рішень. Коли системи розроблені так, що вимагають постійного ручного контролю, людських помилок не уникнути. Інвестуючи в системи, інтуїтивно зрозумілі, послідовні й безпечні за замовчуванням, організації зменшують ймовірність користувацьких помилок.

Приклади:

• системи електронної пошти, які не можуть блокувати шкідливі посилання, залишають користувачів вразливими до фішингових атак,
• застарілі VPN або рішення для віддаленого доступу, які не забезпечують багатофакторної автентифікації (MFA),
• застарілі програми з поганими політиками паролів, які дозволяють використовувати слабкі або повторно використовувані облікові дані,
• системи, яким бракує видимості або сповіщень, що ускладнює виявлення ранніх ознак компрометації.

5% — обмежені ресурси

Брак часу, кадрів або уваги може погіршити стан безпеки навіть за наявності інструментів. Коли обов'язки з безпеки розпорошені або не в пріоритеті, організації втрачають прозорість і швидкість реагування. Це не лише підвищує ймовірність інциденту, але й збільшує час, необхідний для його локалізації та відновлення після нього.

Приклади:

• невеликі або перевантажені команди безпеки не можуть забезпечити цілодобовий моніторинг і залишають поза увагою нічні та вихідні години,
• затримка з реагуванням на вразливості через те, що обов'язки щодо виправлення вразливостей розподілені між командами з конфліктуючими пріоритетами,
• відсутність регулярних тренінгів через скорочення бюджетів, що призводить до збереження застарілих практик,
• політики безпеки та плани реагування на інциденти, які були написані один раз і не переглядалися, попри те, що середовище розвивалося.

Посилення 5 — 5 для зменшення 90

Суть концепції 90-5-5 полягає в наступному: коли рішення щодо тієї чи іншої дії підтримують правильна інфраструктура та чіткі процеси, потреба в індивідуальних судженнях зменшується.

При ефективному впровадженні:

• користувачі керуються системами, а не обтяжуються ними,
• політики і засоби захисту працюють за лаштунками,
• за помилки не карають, а передбачають і попереджають їх.

Згадані вище пункти означають також постійні інвестиції в навчання та підтримку користувачів. А ще важливіше те, що організації мають розвивати культуру психологічної безпеки, у якій людей заохочують повідомляти про помилки, що ледь не сталися, аби вони не боялися звинувачень. Політика «без звинувачень» або «без сорому» допомагає створити канал зворотного зв'язку, що має вирішальне значення для раннього виявлення та постійного вдосконалення.

Недостатньо впровадити правильний інструмент — його потрібно використовувати:

• переконайтеся, що інструменти правильно налаштовані і застосовуються на повну потужність,
• візьміть на себе зобов'язання регулярно перевіряти та оцінювати клієнтів для перевірки відповідності найкращим практикам,
• забезпечте постійне навчання та підвищення обізнаності для зміцнення безпечної поведінки та розуміння системи.

Погляд Cisco на модель безпеки, орієнтовану на людину

У компанії Cisco впевнені, що справжня безпека має створюватися з думкою про людей. Успіх полягає не в тому, щоб висувати до людей дедалі вищі вимоги, а в тому, щоб створити системи, які роблять безпечну поведінку природною, керованою і вбудованою в повсякденні операції. Саме на цьому побудована концепція 90-5-5.

Підхід Cisco ґрунтується на таких напрямках:

• зменшення втоми від прийняття рішень завдяки інтуїтивно зрозумілому алгоритму та вбудованим засобам захисту,
• створення безпечних за замовчуванням середовищ, які попереджають ризики,
• розширення можливостей команд безпеки шляхом звільнення їх від реактивного реагування на загрози,
• постійне залучення клієнтів до перевірки, налаштування та оптимізації їхніх систем безпеки з плином часу.

Висновок

Концепція 90-5-5 — це зміна підходу до кібербезпеки. Коли організації інвестують в оптимізацію інструментів і ресурсів, вони створюють середовище, в якому люди отримують належну підтримку, а не наражаються на небезпеку.
Коли зменшується складність систем, а безпечний шлях робиться більш очевидним і зрозумілим, знижується ймовірність помилок і підвищується загальна стійкість. У Cisco керуються саме цим баченням: створювати безпечні системи, розширювати можливості людей і зміцнювати довіру.

Коли зміцнюються напрямки 5-5, то це не просто зменшує ризики — це дає людям можливість досягати успіху безпечно, надійно та без страху стати найслабшою ланкою.

Дізнайтеся більше про концепцію 90-5-5 у фахівців офіційного дистриб’ютора Cisco в Україні — компанії Мегатрейд: cisco@megatrade.ua, (044) 538–00–06.

Cisco випускає інтелектуальні комутатори серії N9300

Безпека та ШІ: як керувати безпекою та ризиками на платформі Robust Intelligence