Цифровая грамотность – последний шаг на пути к безопасности
Сервисы должны быть защищенными по умолчанию, считают эксперты
Разработчики и компании должны фокусироваться на создании сервисов, которые обеспечивают защиту по умолчанию, не требуя от пользователя специальных знаний или активных действий. Такой подход способен не только повысить общую безопасность, но и значительно упростить жизнь конечных пользователей, заявил директор по продуктовому развитию компании «Солар» Владимир Бенгин на межотраслевой конференции «Безопасность клиента на первом месте», организованной «Ведомостями» и «Билайном».
«Если мы не можем внедрить какой-то сервис, который сам был бы по себе безопасным, где не надо объяснять пользователю, что он должен делать, чтобы быть безопасным, то цифровая грамотность – последний шаг на пути к безопасности», – говорит эксперт. По его мнению, несмотря на важность поднятия общего уровня цифровой грамотности населения, это должно быть «последней линией обороны», в то время как сервисы и продукты должны быть безопасны сами по себе, без участия пользователя.
Одним из примеров такого подхода Бенгин назвал двухфакторную аутентификацию на портале «Госуслуги». Двухфакторная аутентификация – двойной способ защиты, требующий помимо введения логина и пароля дополнительные данные для подтверждения личности. По словам эксперта, несмотря на сложности введения двухэтапной защиты на портал, именно это решение способствовало повышению уровня безопасности данных без участия пользователя.
«Человек не знает, что такое второй фактор. Надо использовать security by design, т. е. такие методы защиты, которые по умолчанию встроены в сервисы», – продолжает Бенгин. В основе таковых, он объяснил, лежит исключение человеческого фактора, т. е. разработка сервиса с расчетом на «нулевой» уровень цифровой грамотности.
Продуктов автоматизированной защиты нет, но есть комплексные системы защиты, обеспечивающие автоматизированный функционал в большей степени, сообщает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. Среди таковых эксперт назвал многофакторную аутентификацию, системы разграничения прав пользователей и реализации принципа минимальных привилегий, автоматическое шифрование данных, контекстно-зависимые алгоритмы анализа угроз (например, поведенческие паттерны) и простоту интерфейса и автоматические обновления безопасности.
Несмотря на то что такие системы эффективны в снижении рисков в вопросах о безопасности данных, продолжает Пермяков, остается вероятность, что система столкнется с неизвестной угрозой. В этом случае, подтверждает эксперт, необходимо развивать цифровую грамотность, поскольку она снижает эффективность применения методов социальной инженерии, фишинговых методик и снижает вероятность ошибок со стороны пользователя.
«Как правило, считается, что «клиент» сервиса обладает минимальными знаниями в операционных системах в целом, а злоумышленник, наоборот, обладает всеми возможными инструментами», – поддерживает это мнение гендиректор группы компаний ST IT, эксперт рынка TechNet НТИ Антон Аверьянов. По его словам, такая стратегия предполагает долгосрочную защиту, поскольку учитывает гораздо больше вариантов атак, которые не зависят от самого пользователя.
В то же время статистика сейчас показывает, что повышение цифровой грамотности – необходимый элемент, поскольку жертвами становятся в том числе те, кто напрямую связан с кибербезопасностью, сообщает директор регионального инжинирингового центра SafeNet («Сейфнет») Национальной технологической инициативы (НТИ) Денис Кувиков. Подход security by design должен идти параллельно с увеличением «цифровой» грамотности населения, продолжает он. Пермяков поддерживает эту точку зрения: риск, когда пользователь перестает беспокоиться о своей безопасности в силу высокоразвитых автоматизированных технологий, есть. Поэтому пользователя все равно необходимо информировать о базовых мерах безопасности, как, например, не переходить по ссылкам из непроверенных источников или не принимать решение, сгенерированное нейросетью, за истину, резюмирует эксперт.
«Раньше мы знали наизусть маршруты и номера телефонов близких, сейчас редко можем этим похвастаться», – говорит Кувиков. Автоматизация в безопасности работает так же: чем больше сделано для пользователя, тем меньше пользователь сам знает, что делать, а этого допускать нельзя. «Чем больше мер защиты у пользователя будет, тем лучше. Но цифровая грамотность решает большинство незакрытых разработчиками проблем», – резюмировал Аверьянов.
«Ведомости» направили запрос в Минцифры.