Victoria FlintПредложенная программа по минимизации человеческого фактора на прошедшем экспертном круглом столе на тему «Новая парадигма безопасности для финансовых учреждений», который состоялся 27 марта 2023 года, с первых дней ее публичной презентации стала жутко противоречивой. Организатором круглого стола выступил Институт информационной безопасности (ISI) под эгидой European Academy of Sciences of Ukraine (EUASU). Выводы и решение ученых вызвали резонансную волну, которая прокатилась по многим странам. О мероприятии пишут американские, европейские, израильские и украинские СМИ. Что пишут? Об этом поговорим немного позже, обо всем по порядку.
Из-за чего весь «сыр-бор»?
На протяжении многих лет западные специалисты в области безопасности принимали в качестве аксиомы главенство технологий над человеческим фактором. При этом, в течение последних двух лет ситуация кардинально изменилась. Фактическая практика в сфере безопасности указывает на то, что без разрешения проблематики человеческого фактора, технологические решения не в состоянии обеспечить безопасность финансовых структур. Подобный публичный консенсус стал результатом серии отчётов, которые были инициированы не только государственными структурами, но и ведущими организациями по кибербезопасности, финансовыми учреждениями, CISO, а также аналитическими и экспертными компаниями. Главный вывод сводится к необходимости разрешения ключевой проблемы в сфере безопасности, а именно – человеческого фактора.
Вероятно, не случайно, что первая задекларированная программа на круглом столе по минимизации человеческого фактора, относится непосредственно к финансовому сектору, который на данный момент находится в режиме катастрофичной турбулентности. Коллапс банковской системы начался в США, где один из самых больших банков США — Silicon Valley Bank обанкротился за считанные часы, что вызвало волны паники по всему миру. Вскоре наблюдается крах Credit Suisse — 167-летнего швейцарского банка. Ситуация в банковской сфере требует срочных решений, чтобы это не превратилось в финансовую пандемию, охватившую все банковскую систему. – пишет научно-популярное издание «Гранит науки».
Проблематику человеческого фактора ученые в разное время систематически поднимали, но наиболее полно ее описал и к каким катастрофическим последствиям она может привести – нобелевский лауреат, израильско-американский психолог Даниэль Канеман в книге «Шум. Порок в суждении человека», вышедшей в 2021 году. Однако до этого круглого стола ISI ни Канеман, ни другие ученые, говорившие об этом, не предлагали ни подходов, ни инструментов, которые могли бы приблизить экспертов и бизнес к разрешению проблемы человеческого фактора.
Через пару месяцев после круглого стола, как отмечает Институт информационной безопасности (ISI) программа для обеспечения безопасности будет разработана и может быть внедрена не только в финансовые структуры, но и в любую бизнес-структуру и организацию, которые подвержены человеческому фактору.
Что по этому поводу «трубят» зарубежные СМИ?
Американцы делают предположение, что скорее всего у предложенной программы «ноги растут» из спецслужб. В своем выступлении профессор Харви Вольф Кушнер, который имел тесные связи с рядом федеральных агентств, отмечает: в 60–70 годах прошлого века я работал с крупными американскими банками. При обнаружении хищений в банке меня просили создать программу, которая бы не позволяла нанимать в дальнейшем на работу тех, кто совершил хищение денежных средств. Но сейчас сфера безопасности ОЧЕНЬ изменилась. Я знаю, что многие коллапсы в компаниях возникают из-за человеческого фактора и отсутствия подготовки персонала. Поэтому необходимы специальные инструменты, которые доступны не всем, это не масс-маркет. И я бы хотел участвовать в создании системы, где главную роль играет отбор кадров. Такая система необходима сейчас для финансового сектора, для банков, для страховой отрасли и т.д.
Израильтяне называют заявление Европейского института ISI о создании новой парадигмы безопасности для финансовых учреждений амбициозным. Подчеркивая, что оно почти синхронно совпало с крупнейшими обрушениями в финансово-банковской инфраструктуре. И предполагают, что оперативное реагирование на вызовы было связано с серией исследований, которые проводились с течением времени, поскольку решения не могут быть разработаны в одночасье. Считая центральной в этом контексте фигуру профессора Харви Вольфа Кушнера.
Британцы хвалят своих специалистов и пишут в британских изданиях, таких как «Western morning news», что предстоящая программа будет иметь первостепенное значение, так как ни одна компания или организация сегодня не может устранить уязвимости в области безопасности, вызванные человеческим фактором. В своем выступлении британский профессор Эндрю Хоскинс, подчеркнул, что один из основных рисков безопасности, с которыми сталкиваются компании, исходит от их «сотрудников и бывших сотрудников, которые генерируют и несут с собой удивительный диапазон и количество данных, с потенциалом быть связанными со своим работодателем или связанными с ним в долгосрочной перспективе. А также, что необходимо учитывать при разработке программ особую угрозу, создаваемую брокерами данных.
Немцы удручены тем, что у них нет ничего для противостояния инсайдерским угрозам. Они вынуждены зависеть от американцев, которые в свою очередь зависят от спецслужб. Например, когда мы рассматриваем инсайдерские угрозы как элемент человеческого фактора, то в Европе для их устранения применяется программа США. (На официальном сайте ЕС 06.09.21 размещено Руководство по устранению внутренних угроз, разработанное в 2020 году CISA) – пишут в научно-популярном издании «Nächste Stufe». Второй момент, который отмечают немцы – экспертная и научная среда США является узкопрофильной, то есть монодисциплинарной, тогда как на территории Западной Европы мультидисциплинарный подход, вследствие чего, безусловно, существует определенный конфликт в силу разности научных парадигм США и научных парадигм Западной Европы. Отмечая, что прошедшее мероприятие, не просто подняло проблематику человеческого фактора, на нем также было заявлено о необходимости создания мультидисциплинарной программы по его минимизации. Потому как научное поле, связанное с изучением человеческого фактора, многовекторно – это психология, нейрофизиология, инжиниринг, эргономика, индустриальный дизайн, антропометрия, антропология, безопасность, криминология, а сам термин является многозначным, описывающим возможность принятия человеком ошибочных или алогичных решений в конкретных ситуациях либо совершения непреднамеренных или злонамеренных действий. Поэтому изучение явления человеческий фактор – дело не тривиальное, требующее огромного количества времени и сил, мультидисциплинарного подхода. И самое важное в изучении этого явления – психика человека, механизмы принятия решений, выяснение что движет человеком на самом деле, как спрогнозировать его поведение.
В заключении можно сказать, что настолько противоречивого продукта давно не было. Понятно одно, проблема существует! И безусловно ее нужно решать! Как? Пока не понятно, но оферту мы услышали. И она уже обросла мифами и легендами.
