«Мы привыкли думать о безопасности как о наборе технологий и политик, но они пасуют перед главным фактором — человеком и его культурными паттернами. В России попытка внедрить западную модель контроля доступа может привести к тотальному обходу правил, потому что она игнорирует глубинный культурный код — коллективизм, неформальные связи и отношение к власти. Реальная безопасность начинается не с требований ФСТЭК, а с понимания, почему сотрудник в одном культурном контексте будет защищать информацию как свою собственность, а в другом — легко поделится ею с ‘своим кругом’.»
Почему культура, это не «мягкий» фактор, а системная уязвимость
В разговорах об ИБ культуру принято упоминать в последнюю очередь, сводя к необходимости «повышения осведомленности». Это ошибка. Культурные установки, это не фон, а операционная система, на которой запускаются все корпоративные процессы, включая безопасность. Технические средства защиты и регламенты, это приложения. Если ОС имеет предустановленные паттерны, противоречащие логике этих приложений, система будет работать с перебоями, а пользователи найдут способы их отключить.
В российском ИТ-контексте это особенно заметно. Формальные инструкции, спущенные сверху, часто воспринимаются как бюрократическая помеха, которую нужно обойти для «реальной работы». Это не всегда сознательное нарушение. Это следствие глубоко укорененного отношения к формальным правилам как к чему-то внешнему, навязанному, в отличие от неформальных договоренностей внутри коллектива, которые считаются подлинными и работающими.
Кросс-культурные оси: как измерять различия
Чтобы анализировать security behaviors, недостаточно говорить «у нас особый менталитет». Нужны конкретные оси для сравнения. Одна из ключевых — индивидуализм против коллективизма.
Индивидуалистические культуры
Преобладают в США, Западной Европе. Безопасность здесь часто фреймируется как личная ответственность и защита приватности. Сотрудник может воспринимать корпоративные данные как нечто, доверенное лично ему. Нарушение политик, это личный провал, этическая ошибка. Системы контроля доступа (например, строгое следование принципу наименьших привилегий) здесь могут приживаться лучше, так как соответствуют нарративу личных границ.
Коллективистские культуры
К которым, с оговорками, относится и Россия. Фокус смещен на группу — отдел, команду, круг доверенных лиц. Информация внутри «своих» циркулирует свободно, это признак доверия и эффективности. Жесткое ограничение доступа к данным между коллегами из одного отдела может быть воспринято как недоверие со стороны руководства и саботировано. Пароль от общего тестового сервера, записанный на стикере и приклеенный к монитору, — не всегда признак халатности. Часто это инструмент обеспечения беспрепятственной работы коллектива, где приоритет отдается скорости решения задачи, а не формальному соблюдению правил.
Другая ось — дистанция власти (Power Distance). В культурах с высокой дистанцией, опять же характерных для России, решения и правила, идущие «сверху», принимаются к исполнению, но их внутреннее принятие может быть низким. Сотрудник выполнит требование об использовании VPN, но если оно усложняет работу, он не станет эскалировать проблему наверх, а найдет неформальный обходной путь. ИБ-отдел, в такой парадигме, рискует стать воспринимаемым как карательный орган, а не как партнер по обеспечению работоспособности.
Security behaviors в действии: от паролей до инцидентов
Культурные установки проявляются в конкретных действиях, которые сводят на нет усилия по технической защите.
Управление доступом и данными
- Общие учетные записи. В коллективистской среде запрос на индивидуальную учетку для сервиса может вызвать недоумение: «Мы же одна команда, зачем нам семь разных логинов?». Общая учетка воспринимается как инструмент групповой эффективности.
- Обмен данными. Отправка чувствительного файла через мессенджер вместо санкционированного корпоративного канала, это не всегда незнание политики. Это выбор канала, который ассоциируется с быстрой, неформальной коммуникацией внутри круга доверия.
- Отношение к обновлениям. В культурах с высокой дистанцией власти и склонностью к избеганию неопределенности (что тоже характерно для России) массовое обновление критического ПО может откладываться. Ответственный боится принять решение о потенциально «ломном» обновлении, предпочитая знакомый, хоть и уязвимый, статус-кво.
Реакция на инциденты
Здесь кроется один из самых серьезных рисков. В культуре, где велик страх потери лица, сотрудник, допустивший ошибку (кликнул на фишинговую ссылку, случайно залил данные в публичный доступ), будет склонен скрывать этот факт, надеясь решить проблему тихо, самостоятельно. Формальная процедура репортинга инцидента воспринимается не как способ помочь, а как путь к наказанию и осуждению. В результате ИБ-служба узнает о компрометации слишком поздно.
Что делать: от учета культуры к проектированию security culture
Бессмысленно пытаться «изменить культуру» директивно. Задача — проектировать меры безопасности, учитывающие существующие культурные паттерны, и постепенно формировать целевую культуру безопасности.
- Диагностика, а не предположения. Проведите анонимный опрос или серию интервью, чтобы понять реальные мотивы поведения. Почему люди используют Telegram для рабочих файлов? Почему отключают двухфакторную аутентификацию? Ответы часто упираются в удобство, скорость и недоверие к формальным системам.
- Адаптация политик под «культурный градиент». Вместо категоричного запрета общих аккаунтов — внедрите систему управления сессиями или аппаратные ключи, которые можно передать внутри команды с логированием действий. Создайте «белые» каналы для быстрого обмена, которые будут почти так же удобны, как мессенджеры, но контролируемы.
- Переформатирование коммуникации от ИБ. Сменить нарратив с «Вы нарушаете правила» на «Давайте найдем способ сделать вашу работу безопасно». Позиционируйте ИБ-отдел как сервисную функцию, которая помогает командам избегать рисков, а не как полицию.
- Поощрение позитивных паттернов. В коллективистской культуре сильнее работает не страх наказания, а публичное признание заслуг группы. Внедрите программу поощрений для отделов, которые лучшим образом следуют безопасным практикам или вовремя сообщают об инцидентах.
- Обучение через контекст, а не через правила. Вместо слайдов с выдержками из 152-ФЗ показывайте кейсы из жизни компании или индустрии. Объясняйте, как конкретная угроза (фишинг, утечка) может сорвать сроки проекта всей команды, подвести коллег, а не просто «нарушить требования регулятора».
Культура как актив, а не как препятствие
Российский коллективизм и ориентация на неформальные связи, это не только вызов, но и возможность. Сформированная, сплоченная команда, которая воспринимает безопасность как часть общей успешной работы, становится самым сильным рубежом обороны. В такой среде сотрудники сами пресекают рисковые действия коллег, делятся знаниями об угрозах. Задача специалиста по ИБ — не бороться с культурой, а направить ее энергию в конструктивное русло, создавая системы, которые люди не захотят обходить, потому что они будут работать на них, а не против них. В конечном счете, безопасность, встроенная в культурный контекст, перестает быть «требованием ФСТЭК» и становится естественной частью рабочего процесса.