Можно инвестировать миллионы в корпоративную кибербезопасность, но один рассеянный клик – и вся система начинает рушиться. Не потому, что алгоритмы плохие, а потому что алгоритм человека не предсказуем. Он живой. У него бывают плохие дни, запарки, дедлайны и бессонные ночи. И в такие моменты он не думает в категориях угроз. Он просто торопится, он отвечает из вежливости, он считает, что «ничего страшного». Он не злоумышленник. Но он – врата.
Больше всего специалисты по безопасности боятся не внешних атак. Они боятся внутреннего доступа, который даёт сбой. Боятся секретаря, который отправляет файл не туда. Бухгалтера, который записал пароль на стикере. Техподдержку, которая забыла отключить VPN-сессию после настройки. Это не продуманные диверсии – это небрежность. И она работает на атакующего куда надёжнее, чем brute force. Потому что brute force требует времени и ресурсов. А человеческая ошибка – бесплатна. Её просто нужно дождаться.
Когда в 2017 году вирус WannaCry поразил сети по всему миру, пострадали не только старые незащищённые машины. Пострадали структуры с якобы надёжной защитой. Вирус не пробивал системы – он находил обходные пути через людей. Через тех, кто открыл вредоносный файл. Через тех, кто проигнорировал обновление. Через тех, кто посчитал, что это не его ответственность. И даже спустя годы, в ретроспективных отчётах, видно: виноваты были не только уязвимости в протоколах. Виноваты были уязвимости в головах.
Но самое интересное – даже не в том, как легко ломается система через человека. А в том, почему это происходит снова и снова. Мы продолжаем строить сложные архитектуры защиты, и при этом по-прежнему предполагаем, что пользователь будет действовать разумно, осознанно и дисциплинированно. Мы рассчитываем на идеального пользователя. На того, кто читал инструкции, прошёл курсы по кибергигиене, не открывает сомнительные письма, не доверяет звонкам, проверяет URL-адреса, использует менеджер паролей и вовремя сообщает об угрозах. Мы всё ещё проектируем безопасность под такого человека. Хотя такого человека почти не существует.
В реальности пользователи действуют иначе. Они используют один и тот же пароль для всего, потому что «так удобнее». Они не различают фишинговое письмо от настоящего, потому что «похоже». Они передают данные по телефону, потому что голос звучал вежливо и убедительно. Они забывают обновить систему, потому что «ещё не до этого». И не потому, что хотят нарушить правила. А потому что они живут. В рутине, в дедлайнах, в хаосе рабочих будней, в общей перегрузке. Они думают не о рисках, а о том, как закончить задачу и успеть домой. Они не злоумышленники. Но они делают то, чего от них ждёт злоумышленник.
Мы привыкли считать интерфейс – нейтральным. Он будто бы не несёт ответственности за действия человека. Но интерфейс, который не предупреждает, не останавливает, не объясняет – становится соучастником. Если письмо приходит без маркировки риска, если файл открывается без анализа, если система молчит, когда нужно бить тревогу – пользователь остаётся один на один с угрозой, к которой он не готов. И тогда происходит то, что происходит в тысячах организаций каждый год: один неверный клик – и дальше уже неважно, что было в бюджете на безопасность.
Обучение, конечно, важно. Но иллюзия, что курс по информационной гигиене раз в год решает проблему, – опасна. Люди забывают. Люди не применяют на практике то, что слышали на лекции. Люди учатся только тогда, когда система заставляет их задуматься в момент действия. Не потом. Не в теории. А прямо сейчас. Именно поэтому реальная защита должна проектироваться не вокруг технической логики, а вокруг человеческой. С учётом того, как человек ведёт себя, когда устал. Когда торопится. Когда доверяет. Когда думает, что «так будет быстрее». Именно тогда его поведение перестаёт быть рациональным – и именно тогда он становится идеальной точкой входа.