この記事では、ヒューマンファクターと情報セキュリティの関係に注目します。これは、組織に意図しない害をもたらす可能性のある人間の脆弱性を表しています。
人的要因は、企業、サービス、システム、および情報を提供および保護する取り組みの成功と失敗に大きな影響を及ぼします。 開発者がシステムのセキュリティを見落とすと、ITシステムが脆弱になり、攻撃者によって悪用される可能性があります。 ソーシャルエンジニアリングを使用する攻撃者は、人々の脆弱性、つまり、人々の特性と行動による組織の弱点を標的として、機密情報を入手しようとします。
この記事の目的は、情報セキュリティの分野における人的要因を分析し、セキュリティを理解する情報がこれらの欠点を克服するための主要なツールになる方法を分析することです。
いくつかの事実
情報技術に対する脅威の増加は、新しい技術指向のソリューションにつながりましたが、人的要因に関する研究は限られています。 組織は人的要因をしばしば無視します。 シスコシステムズのセキュリティ調査では、リモートで作業するユーザーは引き続きセキュリティシステムを脅かす活動に参加することが示されました。 従業員の行動に関する調査では、疑わしい電子メールを受信すると、37%が電子メールを開くだけでなく、リンクをたどり、13%が添付ファイルを開くことが示されました。 さらに、通常の手紙を受け取った後、42%がリンクをたどって機密情報を提供し、30%がコンピューターのパフォーマンスを向上させると思われるファイルを開きました。
セキュリティ専門家とIT部門の間で調査が実施され、今後数か月にわたって最優先事項が特定されました。
回答者の約44%は、IT部門とセキュリティの専門家が日常の運用セキュリティに費やす時間は20%未満であると述べています。 別の32%は、時間の20〜40%を安全に費やしていると答えました。 システムとネットワークのセキュリティを確保するために、毎日および毎週の管理活動の大部分を割り当てた参加者はわずか20%でした。
人的要因
人的および組織的な要因は、技術情報のセキュリティに関連している場合があります。
コンピュータのセキュリティに影響する要因は、人的要因と組織的要因という2つのカテゴリに分類されます。 人的要因は他の要因よりも重要です。 それらは次のグループに分けられます。
- 管理に関連する要因、すなわちスタッフの作業負荷と質の低い仕事。
- エンドユーザーに関連する要因。
次に、ユーザーの行動に影響を与える重大な結果をもたらす4つのヒューマンファクターに注目します。
1.モチベーションの欠如
多くの組織は、従業員が情報資産を使用して安全な行動をとる動機付けが必要であり、経営陣がスタッフの動機を決定できる必要があると考えています。
2.認識不足
認識の欠如は、攻撃に関する一般的な知識の欠如に関連しています。 認識不足の一般的な例は次のとおりです。ユーザーは、スパイウェアとスパイウェアを識別する方法、および強力なパスワードを指定することの重要性を知りません。 個人情報の盗難や、他のユーザーのコンピューターへのアクセスを制御する方法から身を守ることはできません。
3.説得
危険な信念の一般的な例は次のとおりです。ユーザーは、ウイルス対策ソフトウェアをインストールするとデータ保護の問題が解決すると考えています。
4.テクノロジーの文盲利用
最高の技術でさえ、継続的な人間の協力とこの技術の効果的な使用なしでは、情報セキュリティの問題を解決することはできません。 テクノロジーの不適切な使用の一般的な例は次のとおりです。システムの不正な再構成の作成、他のユーザーのパスワードへのアクセス、無効な情報の受信。 コンピュータセキュリティリスクは、いくつかの方法で分類できます。特権の悪用、エラーと省略、サービス拒否、ソーシャルエンジニアリング、不正アクセス、個人情報の盗難、フィッシング、マルウェア、不正コピー。
実際の安全性確保におけるヒューマンファクターの重要性の例
良い例
VisionLabs LUNAプラットフォームに基づく顔認識の郵便銀行システムの実装結果。
メールバンクは、銀行のスタッフとパートナーにリソース(合計約7万人)にアクセスする際の認証プロセス、および顧客サービス(450万人以上)で生体認証技術を使用しています。 顧客の範囲-個人は100%です。 クライアント-法人では、顔認識の使用が自由に実装されています(今日、それらの約20%が技術の使用を拒否しています)。
システムは、システム自体のトレーニングに同時に使用されるユニークな実在の人物の1,000万枚以上の画像を処理した結果のデータベースを使用します。 システムの1つのサーバーは、1秒あたり最大100コールを処理でき、1コールあたり2秒以内で済みます。
2016年のシステム運用統計:
- 同じ写真を使用して名前の異なるクライアントを使用すると、4,5,000件の違反が防止されました。
- 9.2千の潜在的に不正なアクションが停止されました-パスポートの紛失または盗難の申請(システムデータベース内の詐欺師の識別を含む)、クライアントデータ入力時の人事ミス。
- 偽の文書を使用しようとする4人の詐欺師が拘束されました。
- 他の人のアカウントを使用しようとする約600回の試行を防止しました。
SMSを介してワンタイムパスワードを送信することにより、二要素認証の確認に取って代わり、顔認識システムでは年間約350万ルーブルを節約できました。
実装されたシステムは、約15億ルーブルの詐欺の損失を防ぐのに役立つと予測されています。
同じ期間に、システムは2016年に特定の個人データを変更した4万6千人の顧客の認証プロセスを自動化することで、最前線の従業員の1万5千時間以上の労働時間を節約できました。
悪い例
2016年に5つのロシアの銀行がハッキングされました。 Sberbank、Alfa Bank、Otkrytie、VTB Bank of Moscow、Rosbankがヒットしました。
専門家によると、攻撃力は「弱い」から「強力な」までに及んだ。 攻撃の期間は1〜12時間でした。 いくつかの銀行
一連の2〜4回の攻撃を受けました。 攻撃を組織したハッカーはボットネット(感染したデバイスのネットワーク)を使用しました。ボットネットには、モノのインターネットの24,000台のマシンが含まれていました。
副大統領は、この攻撃は「ロシアが米国大統領の選出に干渉する可能性があることに不満を抱く」可能性があると報告した。
これらの攻撃を避けることは確かに不可能です。 この役割は、組織の業務における重要な人的要因であるこれらの攻撃に対するアクションに関する従業員の認識の欠如によって果たされました。
また、組織の管理者は、次に、救済策に関するいくつかの推奨事項に従う必要がありました。
- ウイルス対策(Kaspersky、Symantec、G DATAなど)
- ファイアウォール(Entensys、Kerioなど)
- 特殊なDDoS保護ツール(攻撃キラー、Qratorなど)
- 脆弱性保護テクノロジー(Appercut、Checkmarx、Fortifyなど)
- 標的型攻撃に対する特別な防御(Attack Killer、FireEyeなど)
おわりに
ハッカーとセキュリティの専門家の間には絶え間ない戦いがあります。 残念ながら、人間の行動の予測不能性は、最も安全な情報システムを破壊する可能性があります。
この記事では、セキュリティ問題を引き起こす人的要因を収集して明確に定義し、それらを克服する方法に関する提案を提示する試みが行われました。 この結果、情報セキュリティは、人間の脆弱性によって引き起こされるセキュリティの脅威を軽減する鍵となります。 組織は、積極的なセキュリティ行動を重視する文化を開発し、サポートする必要があります。 インフラストラクチャ、ビジネス、およびサービスに関連するすべての人がセキュリティを開始および終了するように、文化を浸透させる必要があります。