Защита системы или человека: что важнее в информационной безопасности?

от

“Сотрудник нажал на вредоносную ссылку — его отчитали за нарушение политик. Сервер с данными был взломан — техотдел назначили виновными и составили план работ. Но человек в этой истории — всего лишь пользователь, элемент системы, допущенный до ресурсов. А система, это защищаемый актив. Давайте спросим себя честно: чьи интересы на самом деле стоят в приоритете, когда мы строим защиту?”

Мы защищаем людей или системы?

Устоявшаяся модель информационной безопасности в российском корпоративном и госсекторе построена на парадигме защиты активов. Актив, это сервер, база данных, информационная система, документооборот. Его необходимо идентифицировать, оценить риски, применить меры защиты. Сотрудник в этой модели чаще всего рассматривается как один из факторов угрозы — звено, которое может допустить ошибку, стать каналом утечки или объектом социальной инженерии. Его обучают, заставляют подписывать политики, контролируют его действия. Фактически, защищая систему от человека.

Но что если перевернуть эту логику? Люди — не источник угрозы по умолчанию. Они конечные пользователи, создатели ценности, носители знаний и решений. Когда мы защищаем систему так, что она становится неудобной, медленной или унизительной для человека, мы подрываем саму цель её существования. Истинная безопасность должна быть антропоцентричной — ориентированной на защиту человека, его труда и достоинства внутри цифровой среды, а не просто на ограждение железа и кода от его потенциально «опасных» действий.

Парадигма защиты активов: система как крепость

Классический подход, закреплённый в стандартах и методологиях, таких как ГОСТ Р ИСО/МЭК 27001 или подход ФСТЭК России, исходит из модели «защищаемого актива». Процесс начинается с инвентаризации: что у нас есть? Сервера, рабочие станции, сети, базы данных, приложения. Для каждого актива оцениваются угрозы и уязвимости, после чего выбираются и внедряются средства защиты. Человек — оператор, администратор, пользователь — попадает в эту модель как субъект, имеющий доступ к активам. Его роль двойственна: он и необходимый элемент для работы системы, и потенциальный нарушитель.

Отсюда рождаются целые пласты контрмер: жёсткие парольные политики, ограничение прав, двухфакторная аутентификация, системы DLP для контроля утечек, запреты на использование внешних носителей. Их логика проста — минимизировать риск, исходящий от человеческого фактора, путём ограничения его свободы действий. Защита системы достигается через контроль над человеком.

Это создаёт несколько системных противоречий:

  • Конфликт безопасности и продуктивности: Сложные процедуры аутентификации и авторизации отнимают время. Постоянные запросы на подтверждение действий и блокировки «подозрительной» активности тормозят рабочие процессы.
  • Иллюзия снижения риска: Формальное соблюдение требований (например, ежеквартальная смена сложного пароля) создаёт видимость безопасности, но часто приводит к обратному эффекту — сотрудники начинают записывать пароли на стикерах или использовать предсказуемые схемы.
  • Смещение ответственности: При инциденте первичный поиск виновных сводится к вопросу: «Кто из людей нарушил правило?» Вместо анализа системных сбоев или недостатков архитектуры защиты внимание фокусируется на дисциплинарных мерах к сотруднику.

Человек как конечная цель, а не средство

Альтернативный взгляд предлагает сместить фокус. Цель любой корпоративной информационной системы — обеспечить деятельность людей для достижения бизнес-результатов. Следовательно, защита должна обслуживать эту цель, а не противоречить ей. Речь не об отмене всех правил, а об изменении их философии и дизайна.

Антропоцентричная безопасность строится на нескольких принципах:

1. Защита данных человека, а не просто контроль за их перемещением. Вместо тотального мониторинга пересылки файлов (подход классических DLP) можно применять технологии, которые защищают данные по умолчанию, независимо от действий пользователя. Например, сквозное шифрование конфиденциальных документов так, что даже при их попадании на внешний ресурс они остаются нечитаемыми без авторизованного доступа. Задача смещается с «не дать человеку отправить файл» на «сделать так, чтобы файл был защищён всегда». Человеку не нужно помнить десятки правил классификации — система делает это за него, прозрачно и ненавязчиво.

2. Дизайн безопасности, основанный на поведении, а не на запретах. Изучение того, как люди реально работают, позволяет встраивать защиту в естественные рабочие потоки. Если сотрудники для скорости обмена часто используют мессенджеры, бессмысленно их просто запрещать. Можно предложить безопасный корпоративный аналог, интегрированный в общую экосистему, или обеспечить защищённый канал в популярном инструменте. Безопасность становится enabler — средством, позволяющим делать работу удобнее и надёжнее, а не барьером.

3. Отказ от унизительных практик контроля. Постоянные подозрительные взгляды систем мониторинга, требования отчитываться за каждый шаг, автоматические блокировки без объяснения причин — всё это формирует культуру недоверия. Она демотивирует и провоцирует на поиск обходных путей. Уважительный подход предполагает прозрачность: объяснять сотрудникам, почему те или иные меры необходимы, и давать понятные механизмы для разрешения спорных ситуаций (например, быстрый разблок через запрос руководителю).

Практические шаги к переходу

Как внедрить такой подход в условиях существующих регуляторных требований (152-ФЗ, приказы ФСТЭК), которые часто формализованы и ориентированы на активы? Переход требует не революции, а пересмотра приоритетов внутри заданных рамок.

Этап 1: Аудит «боли». Провести не только технический аудит уязвимостей, но и опрос сотрудников о том, какие меры безопасности вызывают у них наибольшее раздражение, мешают работе или воспринимаются как нелогичные. Это поможет выявить точки, где защита вступает в конфликт с человеческим фактором наиболее остро.

Этап 2: Переинтерпретация требований. Многие требования регуляторов допускают вариативность в реализации. Например, требование «аутентификация пользователей» можно выполнить как через сложный одноразовый пароль, так и через прозрачные биометрические методы или аппаратные ключи, интегрированные в рабочий процесс. Задача — выбирать реализации, которые максимизируют удобство и минимизируют трение для легитимного пользователя.

Этап 3: Внедрение security by design для пользовательского опыта. При разработке или доработке внутренних систем ставить вопрос не «как мы защитим этот сервис от пользователей?», а «как мы спроектируем этот сервис так, чтобы он был безопасным по умолчанию для своих пользователей?». Это включает:

  • Минимизацию запрашиваемых данных и прав.
  • Чёткие и понятные уведомления о последствиях действий.
  • Защиту данных на уровне приложения (шифрование, маскирование).
  • Простые механизмы восстановления доступа без обращения в техподдержку.

Этап 4: Изменение культуры через обучение. Обучение информационной безопасности должно уйти от формата запугивания и перечисления запретов. Его цель — дать сотрудникам понимание цифровых рисков как личных (кража персональных данных, мошенничество) и объяснить, как корпоративные инструменты защищают их самих в первую очередь. Когда человек видит в средствах защиты свою пользу, а не только корпоративные ограничения, его вовлечённость растёт.

Риски и баланс

Полный отказ от контроля невозможен и опасен. В любой организации есть роли с особыми уровнями доступа, обрабатываются данные, требующие особой защиты. Антропоцентричный подход не отрицает необходимость периметра, сегментации сети или контроля привилегированных учёток. Он предлагает иначе расставить акценты: для большинства рядовых сотрудников безопасность должна быть невидимым щитом, а не видимой клеткой.

Главный риск нового подхода, это иллюзия, что можно угодить всем и всё упростить. Некоторые меры по своей природе являются обременительными (например, многофакторная аутентификация для доступа к критичным системам). Задача здесь — честно коммуницировать необходимость таких мер, связывая их с защитой интересов самого сотрудника и компании в целом, и минимизировать их влияние на повседневные, некритичные операции.

Вывод: к кому мы возвращаемся после инцидента?

Представьте расследование после успешной фишинговой атаки. В классической модели: найден «виновный» сотрудник, проведена беседа, вынесено взыскание, отправлено на повторное обучение. Система учтена как объект атаки, усилены фильтры почты. Круг замкнулся.

В антропоцентричной модели первый вопрос звучит иначе: «Что в нашей системе не сработало для защиты этого человека?» Возможно, почтовый фильтр не распознал новый вид атаки. Возможно, у сотрудника не было простого способа быстро проверить подозрительное письмо. Возможно, давление сроков заставило его торопиться и игнорировать риски. Решения тогда будут направлены не только на техническое усиление фильтров, но и на создание быстрых каналов обратной связи, упрощение процедур проверки, анализ рабочих нагрузок.

Мы защищаем и системы, и людей. Но когда эти цели вступают в видимый конфликт, выбор в пользу человека, это не слабость, а стратегическая дальновидность. Потому что мотивированный, не деморализованный избыточным контролем сотрудник, который воспринимает корпоративные инструменты как помощников, а не надзирателей, становится самым надёжным элементом системы безопасности. Не самым слабым звеном, а её сильнейшим активом.

Оставьте комментарий