La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

Anul trecut, într-un eseu socio-psihologic în memoria lui Donald Rumsfeld, renumitul filozof Slavoj Zizek a amintit discursul rostit de regretatul secretar american al apărării în 2002, cu puţin timp înainte de războiul din Irak. (1) În acest discurs, în mod intenţionat sau nu, Rumsfeld a menţionat concepte esenţiale ale filozofiei antice, şi anume necunoscutele necunoscute, cunoscutele necunoscute şi cunoscutele cunoscute. Cu toate acestea, lipsea un concept foarte recent: necunoscutele cunoscute.

Aşa cum filozoful german Jurgen Habermas (2) a subliniat încă din 2020, creierul nostru este atât de saturat de informaţii încât memoria noastră este plină de cunoştinţe pe care le-am... uitat. Acest fenomen este adânc înrădăcinat în "indivizii conectaţi la mass-media", adică majoritatea dintre noi în lumea dezvoltată. Cantitatea de "ştiri proaspete" absorbite zilnic ne copleşeşte spiritul critic şi împinge în uitare informaţii mai vechi, adesea vitale, mai ales dacă nu a trebuit să aplicăm toate aceste cunoştinţe "asimilate" în viaţa reală.

În domeniul securităţii cibernetice, rădăcina profundă a problemei care generează comportamentul uman descris de filosofi a devenit o preocupare reală. Problema "supraîncărcării informaţionale" (măsurată prin cantitatea de materiale încărcate şi apoi descărcate/citite pe internet în fiecare minut, la nivel mondial) face obiectul a nu mai puţin de un întreg capitol din Global Cybersecurity Outlook 2022 (3), publicat în urmă cu trei luni de Forumul Economic Mondial de la Davos (WEF).

• De sus în jos: experţi în afaceri versus experţi în securitate

Raportul WEF subliniază, printre "necunoscute", că diferenţa medie dintre încrederea membrilor consiliului de administraţie (liderii de afaceri) în politicile de rezilienţă şi, prin urmare, în sistemele de securitate utilizate în cadrul companiei lor, şi temerile echipelor de securitate (liderii departamentului de securitate) este mai mare ca niciodată. Un capitol lung din raportul WEF este dedicat acestei diferenţe majore de percepţie: "Liderii din domeniul cibernetic se află într-o poziţie din ce în ce mai precară, pe măsură ce decalajul dintre liderii de afaceri şi şefii departamentelor de securitate se măreşte".

Perspectivele evidenţiază o serie de măsuri foarte importante care trebuie luate imediat în toate sectoarele de activitate pentru a elimina acest decalaj care, după cum indică numeroase cercetări, este unul dintre principalele motive pentru slăbiciunea generală observată în ceea ce priveşte succesul formelor foarte primitive de atacuri cibernetice în timpul pandemiei (phishing, escrocherii de bază etc.).

Încă o dată, defectul din ce în ce mai mare se referă exact la unul dintre faptele pe care le discutăm de mult timp: lipsa includerii CISO şi/sau CSO printre membrii consiliului de administraţie / absenţa prezenţei obligatorii a acestora la şedinţele de luare a deciziilor. Numai această decizie are consecinţe grave pentru securitatea cibernetică a companiei.

În plus, cea mai mare diferenţă în modus cogitandi între liderii de afaceri şi specialiştii în securitate şi sursa multor probleme este neînţelegerea tot mai mare în rândul antreprenorilor cu privire la diferenţa dintre ceea ce acoperă conceptele de securitate şi rezilienţă cibernetică: majoritatea liderilor de afaceri văd cele două domenii ca pe un întreg şi nu corelează diferenţele, specificităţile şi nevoile fiecăruia.

Numărul record de atacuri cibernetice reuşite în 2021 şi în prima jumătate a anului 2022 ar fi provenit dintr-o multitudine de decizii nepotrivite luate în perioadele de "blocare" a vârfurilor COVID, coroborate cu transformarea, considerată temporară, dar care a devenit acum o realitate pe termen lung: cea a numeroaselor locuri de muncă care s-au mutat de la birou la domiciliu, fără o schimbare radicală a arhitecturii de securitate a companiei.

Perspectivele WEF şi alte rapoarte menţionează, de asemenea, că am ajuns la un punct critic al lipsei de locuri de muncă în domeniul securităţii cibernetice, care ar putea fi redus prin respectarea indicaţiilor date de mulţi experţi în domeniul formării. Într-adevăr, în această privinţă, ar trebui să atenuăm cifrele prezentate de Forbes, WEF şi alţii, deoarece acestea reflectă în mare parte incapacitatea prea multor instituţii de învăţământ de a oferi o formare cu spectru larg. Mai concret, presupunând că securitatea cibernetică are şapte piloni - aşa cum au fost definiţi de experţi - noua generaţie de experţi în securitate cibernetică ar trebui să fie capabilă să stăpânească cel puţin doi, dacă nu chiar trei dintre ei, ajutată de noile tehnologii disponibile pe piaţă.

Toţi factorii de mai sus au consecinţe grave asupra costurilor de asigurare, un aspect care se află pe locul al treilea în topul celor zece provocări de securitate cibernetică pentru anul în curs, conform previziunilor anuale publicate de Forbes şi redactate de E. Saygeh (4). Multe companii de asigurări, ale căror prime de acoperire au explodat în 2021, refuză acum să accepte companii care nu au o politică strictă şi cuprinzătoare de securitate cibernetică, atât tehnologică, cât şi umană, începând cu un training de conştientizare continuă livrat fiecărui angajat, de la cel mai nou angajat până la CEO.

• De jos în sus: o lipsă continuă de formare de sensibilizare la toate nivelurile

Costurile incidentelor pentru întreprinderi în anii pandemiei au atins niveluri record. După cum a subliniat Verizon's Data Breach Investigations Report 2021 (5), 85 % dintre încălcări au implicat "veriga slabă umană".

Deşi aceasta este o preocupare majoră pentru toate industriile, foarte puţine companii, cu excepţia companiilor de securitate, a celor de înaltă tehnologie sau a sectoarelor de lux, au întreprins o muncă ce necesită mult timp pentru a sensibiliza în mod regulat tot personalul, de la femeia de serviciu la directorul general.

După cum a subliniat recent Clive Madders (6), o companie poate deveni cu adevărat rezistentă doar prin cultivarea unei culturi de conştientizare a securităţii cibernetice. Pe lângă tehnologiile necesare, autorul insistă asupra faptului că "Fortificarea liniei din faţă (a se citi: angajaţii) este adesea cea mai bună metodă de apărare", amintindu-ne de utilizarea abuzivă de către prea multe companii a îndrumărilor esenţiale publicate de NIST încă din 2018, "Cyber security is everyone's business" (7).

Consecinţele anilor de conştientizare a securităţii prost distribuite, sub forma unor documente pdf sau a unor anunţuri de o pagină, au fost expuse pe scară largă în timpul pandemiilor. Aceste "cunoştinţe" au fost în mare parte uitate de prea mulţi angajaţi care lucrează de la distanţă. Aceştia au făcut schimb de parole şi de autentificări cu colegii, au dat click pe linkuri maliţioase şi au deschis tot felul de mesaje de phishing. Stresul şi ignoranţa, aşa cum se subliniază în studiul "De ce angajaţii încalcă politicile de securitate cibernetică", recent publicat de Universitatea Harvard (8), sunt principalele motive. În contextul stresului, cele trei motive principale, aşa cum au recunoscut angajaţii care au eludat politicile de securitate, sunt următoarele: toată lumea a încălcat regulile:

- "pentru a-mi îndeplini mai bine sarcinile de lucru" ;

- "pentru a obţine ceva de care aveam nevoie";

- "pentru a-i ajuta pe ceilalţi să-şi facă treaba".

Pentru a înţelege mai bine cercetarea de la Harvard, este necesar să citiţi un studiu psihologic mai aprofundat intitulat "Rolul comportamentului utilizatorilor în îmbunătăţirea managementului securităţii cibernetice" (9). Ajută la înţelegerea, prin desluşirea "pericolului interior": diferitele categorii de ego pe care le poate avea fiecare angajat, ceea ce duce la erori majore şi, prin urmare, la un comportament nesigur, de la un exces de încredere la impulsivitate şi la o dorinţă tot mai mare de a fi proactiv (adică "gândire în viitor") pentru a face faţă mai bine stresului legat de cantitatea de solicitări primite zilnic de la un superior direct. Toţi aceşti factori conduc la uitarea elementelor de bază şi la neaplicarea politicilor de securitate, care sunt prea des explicate şi, prin urmare, prost înţelese din ziua în care sunt puse în aplicare.

Pentru a termina de unde am început, nu mai are rost să încercăm să ne amintim "necunoscutele". Pentru a face faţă cantităţii tot mai mari de noi tehnologii pe care le folosim, precum şi modului specific de utilizare a fiecărui produs, punctelor sale forte şi, bineînţeles, a punctelor sale slabe, este necesară o nouă strategie (chiar şi cu ajutorul jocurilor de rol, adică a gamificării) pentru a sensibiliza toţi angajaţii, începând cu utilizarea corectă a celui mai vulnerabil instrument, smartphone-ul.

Astfel, dacă sunt bine supravegheaţi, angajaţii ar trebui să aibă satisfacţia de a simţi că învaţă ceva foarte util. Dacă pornim de la paradoxul socratic descris de Platon: "tot ceea ce ştiu este că nu ştiu nimic", adică o atitudine de umilinţă dublată de deschidere, aceiaşi angajaţi vor realiza că aceste traininguri sunt utile pentru ca ei să evolueze şi să se simtă în siguranţă nu doar la locul de muncă, ci şi în viaţa personală, datorită cunoştinţelor de bază în materie de securitate cibernetică.

Desigur, comportamentul liderilor de afaceri va trebui să se schimbe: va trebui ca aceştia să îşi recompenseze echipele şi angajaţii nu numai pentru productivitatea lor, ci şi pentru aplicarea corectă a politicilor de securitate.