«Регуляторика, это не про технику, а про людей. Гайды ФСТЭК учат защищать системы, но не говорят, как управлять коллективной паникой, когда эти системы дают сбой. В этом разрыве и скрывается главная уязвимость.»
Как эмоции превращаются в уязвимость
Когда речь заходит об информационной безопасности, фокус обычно смещён на технологии, контрольные точки и отчёты для ФСТЭК. Это создаёт иллюзию управляемости. Но у любой атаки есть мишень, которая не описана ни в одном руководящем документе (РД) — человеческая психика. Цифровые системы обрабатывают сигналы, а люди — эмоции. И эти эмоции не просто сопровождают инцидент, они напрямую влияют на его развитие и итог.
Страх — самая очевидная реакция. Внезапное сообщение об утечке, падение сервиса или требование выкупа создают мгновенную дезориентацию. Мозг переходит в режим угрозы, сужая фокус до немедленной опасности. В таком состоянии аналитик может пропустить важные косвенные признаки атаки или принять импульсивное, технически ошибочное решение, пытаясь «быстро всё исправить». Паника заразна и быстро распространяется по команде или отделу, парализуя стандартные процедуры реагирования.
Отрицание — более коварная реакция, особенно на ранних стадиях. Сотрудник, заметивший аномалию в логах, может убедить себя, что это сбой мониторинга или его собственная ошибка. «Этого не может быть, у нас же ФСТЭК аттестовал систему». Это защитный механизм, позволяющий избежать стресса от осознания реальной угрозы и последующей бюрократической волокиты с инцидентом. В результате ценное время для локализации теряется.
Чувство стыда и вины у ответственного специалиста, на чьём участке произошёл сбой, может привести к сокрытию информации. Вместо того чтобы немедленно эскалировать проблему, человек пытается разобраться сам, надеясь исправить всё до того, как кто-то заметит. Это прямая дорога к усугублению ситуации и нарушению регламентов по оповещению, прописанных в политиках безопасности.
Почему регуляторика молчит об эмоциях
Руководящие документы ФСТЭК и требования 152-ФЗ созданы в парадигме рационального управления рисками. Они описывают, что должно быть сделано: средства защиты, журналы, политики. Но они почти ничего не говорят о том, как люди, на которых возложены эти обязанности, должны действовать в условиях стресса. Это системный пробел.
Например, регламент действий при инциденте (ИБ), это обычно сухой перечень шагов: «изолировать систему», «собрать артефакты», «уведомить руководство». Он не учитывает, что человек, читающий этот регламент в момент обнаружения вируса-шифровальщика, может физически дрожать от адреналина. Его когнитивные способности уже снижены. Длинный список действий воспринимается как непреодолимая стена, что усиливает панику.
Культура тотальной отчётности, насаждаемая проверками, часто способствует формированию страха перед ошибкой. Сотрудник начинает думать не о том, как эффективнее остановить атаку, а о том, как его действия будут выглядеть в протоколе комиссии. Это парадокс: строгие требования, призванные повысить безопасность, в критический момент могут тормозить именно ту скорость и решительность, которые необходимы для защиты.
От реакции к управлению: практические шаги
Работа с эмоциональным фактором не означает проведение психологических тренингов вместо аудита. Речь о том, чтобы встроить учёт человеческого фактора в существующие процессы ИБ.
1. Переписать регламенты для состояния стресса
Регламент по реагированию на инциденты должен быть рассчитан на человека в панике. Это значит:
- Первый шаг — один и максимально простой. Например, «Нажми кнопку „Красная тревога“ в системе мониторинга» или «Позвони по номеру X». Цель — дать ощущение немедленного действия и переложить часть ответственности на заранее подготовленную систему.
- Использовать чек-листы вместо длинных текстов. Визуально оформленные списки действий с галочками легче воспринимаются в стрессе.
- Явно прописать «разрешённые» паузы. Например: «После изоляции сегмента сети сделайте три глубоких вдоха, прежде чем переходить к анализу логов». Это легитимизирует необходимость успокоиться и вернуть себе контроль.
2. Тренировать не знания, а состояния
Учения по ИБ часто сводятся к проверке знания регламентов. Этого недостаточно. Нужны стресс-тесты, которые моделируют не только техническую, но и эмоциональную нагрузку.
- Ввод в учения элемента неопределённости и цейтнота. Например, ограничить время на принятие ключевых решений или давать противоречивую вводную информацию.
- Обязательный разбор полётов после учений должен включать не только технические ошибки, но и обсуждение: «Что вы чувствовали в момент X? Что мешало думать?». Это снимает табу с темы эмоций и формирует коллективный опыт их преодоления.
3. Создать «психологическую безопасность» в команде SOC
Это ключевое понятие, пришедшее из agile-культуры. Члены команды должны быть уверены, что не будут наказаны или осмеяны за сообщение о проблеме или ошибке.
- Внедрить практику blameless postmortem — разбор инцидентов без поиска виноватых. Фокус на «что сломалось в наших процессах?», а не «кто ошибся?».
- Руководителю важно публично реагировать на проблемы не гневом, а вопросами: «Что нам нужно, чтобы это больше не повторилось?». Это трансформирует страх в мотивацию к улучшению.
Эмоции атакующего: другая сторона медали
Эмоциями можно не только управлять у себя, но и учитывать их у противника. Социальная инженерия целиком построена на манипуляции: страх («Ваш аккаунт взломали»), жадность («Вы выиграли приз»), любопытство («Посмотри это видео»), доверие («Это ваш коллега из филиала»).
Но есть и менее очевидный аспект. Мотивация хакеров или инсайдеров также часто носит эмоциональную окраску: месть, чувство несправедливости, желание доказать свою значимость. Анализ угроз (Threat Intelligence), если он проводится, должен включать не только технические индикаторы, но и анализ возможных мотивов для ключевых групп риска внутри и вне организации. Человек, который чувствует себя недооценённым или обиженным компанией, с гораздо большей вероятностью станет источником инсайдерской угрозы, и технические средства контроля здесь вторичны.
Вместо вывода: эмоции как метрика
Зрелость системы информационной безопасности можно измерить не только по количеству внедрённых средств защиты или успешно пройденных проверок. Новым, более глубоким индикатором может стать уровень стресса и эмоционального выгорания в команде ИБ. Высокая текучка, хроническая усталость, страх перед проверками, это прямые сигналы о том, что система управления рисками работает против своих же сотрудников.
Добавление этой «человеческой» метрики к традиционным KPI (количество обработанных инцидентов, время реакции) — следующий логичный шаг. В конечном счёте, защищённость инфраструктуры определяется не только строгостью регламентов ФСТЭК, но и тем, насколько спокойно и уверенно действуют люди, когда эти регламенты нужно применять в экстренной ситуации. Игнорировать эту составляющую — значит оставлять в системе защиты брешь, которую невозможно закрыть ни одним техническим средством.