Сотрудник проходил обучение по безопасности, нормально сдает тесты и знает, как выглядят подозрительные письма. Но после третьей встречи за день, на фоне чатов, уведомлений и мелких срочных задач он открывает почту и видит письмо с кнопкой «Подтвердить данные».

Ситуация выглядит знакомо — нужно что-то быстро проверить, закрыть и идти дальше. Он читает письмо по диагонали и нажимает «Подтвердить».

Проблема не в том, что сотрудник чего-то не знает. Проблема в том, что в нужный момент у него может не быть ресурса, чтобы применить эти знания. Именно поэтому в атаке решают не только правила, но и его состояние в момент решения.

В этой статье разберем, что происходит с сотрудником в такой момент, как когнитивный дефицит влияет на его выбор и что команда безопасности может с этим делать.

Как человек оказывается внутри атаки

Если разложить ситуацию с письмом по шагам, видно, что сотрудник оказывается внутри атаки не в момент, когда нажимает кнопку «Подтвердить», а раньше.

За доли секунды он прикидывает: «Это похоже на реальность? Это может относиться ко мне? Я могу решить это прямо сейчас?». Если на эти вопросы находится короткое «да», письмо не выглядит подозрительным. Оно начинает восприниматься как обычная рабочая задача.

Именно этого и добивается мошенник. Он делает письмо правдоподобным: в нем есть знакомая логика, понятное действие и ощущение срочности. Что-то случилось, это нужно исправить, вот кнопка.

Он как будто втягивает человека в знакомую историю, где тому сразу понятно, что произошло и что нужно сделать. С этого момента сотрудник действует внутри сценария, который задал мошенник.

Обычно все внимание сосредоточено на правой части — знаниях и навыках. Но на самом деле исход атаки часто решает левая часть — состояние человека в момент, когда он читает письмо и принимает решение. Схема из исследования «Почему умные люди ведутся на глупые разводы»

Дальше многое будет зависеть от состояния, в котором человек находится в момент атаки.

Третья встреча за день, чаты не замолкают, в голове крутится «надо бы поесть». Знания, навыки и привычка проверять никуда не деваются, но в таком состоянии человеку проще нажать на кнопку, чем остановиться и перепроверить письмо.

Со стороны это выглядит как ошибка. Для самого сотрудника — просто попытка быстро закрыть еще одну задачу.

То, что мы сейчас разобрали, — типичный сценарий, по которому работают атаки. Мы называем такие сценарии фреймами: это ситуации, в которые человека втягивают, чтобы он начал действовать по заданной логике.

Подробно теорию фреймов, с примерами и схемами, мы разобрали в исследовании «Почему умные люди ведутся на глупые разводы».

Почему умные люди ведутся на глупые разводы

С помощью теории фреймов объясняем, почему жертвой обмана может стать каждый. Помогаем разобрать любую мошенническую схему и определить, какие навыки нужны сотрудникам, чтобы защищать компанию от атак

Скачать исследование

Главный вопрос здесь — почему в нужный момент человек не смотрит на письмо как на угрозу и не перепроверяет его. Ответ — в состоянии, в котором он принимает решение.

Когнитивный дефицит, или почему знания и навыки не срабатывают

В научной литературе такое состояние называют истощением эго, или ego depletion — истощением ресурса внимания.

«Эго» здесь — не ощущение собственной важности, а запас ресурса, который нужен, чтобы направлять внимание туда, куда нужно. А не туда, где интереснее, тревожнее или просто что-то бросилось в глаза, и удерживать этот фокус хотя бы несколько минут подряд.

Каждое такое усилие — сосредоточиться, перепроверить письмо, принять решение — тратит этот ресурс.

После одного усилия следующее дается хуже

В одном из экспериментов по ego depletion участвовали 67 студентов; перед сессией их просили пропустить один прием пищи и не есть как минимум 3 часа.

В комнате пекли шоколадное печенье, чтобы стоял запах свежей выпечки; на стол ставили печенье, шоколадные конфеты и миску с редисом. Одной группе разрешали есть шоколад, другой велели есть только две-три редиски и не трогать шоколад.

Потом всем давали нерешаемую головоломку: нужно было обвести геометрическую фигуру, не отрывая карандаш и не проводя по одной линии дважды.

Группа с редиской сдавалась заметно быстрее: в среднем через 8,35 минуты против 18,90 у группы с шоколадом и 20,86 у контрольной группы. По числу попыток разница тоже была большой — 19,4 против 34,29 и 32,81.

Исследователи сделали вывод: если перед этим человек уже потратил силы на действие, где нужно было концентрироваться, сдерживать себя или прикладывать волевое усилие, следующая такая задача дается ему хуже.

Источник: Baumeister et al., Ego Depletion: Is the Active Self a Limited Resource?

Когнитивный дефицит появляется не только после одной сложной задачи. Его создают постоянные переключения: почта, чаты, уведомления, которые все время требуют реакции.

В таком режиме мозг легче цепляется не за то, что важнее, а за то, что проще и обещает быстрое вознаграждение. Так ресурс внимания истощается быстрее, чем при тяжелой сфокусированной работе.

В атаке это работает так же.

Из-за когнитивного дефицита человеку сложнее посмотреть на ситуацию со стороны, заметить подвох и применить свои знания. Даже опытному сотруднику для этого нужно усилие: усомниться, перепроверить, не пойти по самому простому пути. Когда ресурса мало, это сделать труднее.

В результате человек не пропускает угрозу сознательно. Он просто продолжает действовать внутри сценария, который уже кажется ему нормальным.

Почему нельзя «просто включить критическое мышление»

В этот момент легко сказать: ну хорошо, сотрудник устал, отвлекся, вошел в сценарий. Но почему он просто не включил критическое мышление?

Первая проблема в том, что это тоже требует ресурса. Чтобы выйти из автоматического действия, усомниться и проверить письмо, нужно внимание. Если человек уже перегружен, на это может просто не хватить сил.

Но есть и вторая проблема. Критическое мышление обычно понимают слишком упрощенно. В популярном представлении это универсальный фильтр: человек как будто накладывает его на любую новую информацию и сразу отсеивает неверное. В исследованиях по критическому мышлению такой взгляд как раз критикуют.

Критическое мышление работает в тех областях, где у человека есть опыт и насмотренность

В статье Common misconceptions of critical thinking авторы спорят с популярной идеей, что критическое мышление — это набор универсальных навыков, которые одинаково работают в любой ситуации.

Авторы пишут, что без знаний в конкретной области критически мыслить нельзя: для хорошего суждения нужны контекст, критерии и понимание предмета. Нельзя оценивать химический вопрос без знания химии, а исторический — без понимания контекста.

Отдельно они подчеркивают, что полезна не любая практика, а практика с критериями, обратной связью, знанием предмета и пониманием, что вообще считается хорошим рассуждением в этой области.

Источник: Bailin et al., Common misconceptions of critical thinking.

Проще говоря, нельзя ожидать, что сотрудник одинаково хорошо распознает подвох в бухгалтерском письме, сообщении от банка, письме от подрядчика и подозрительном запросе на доступ только потому, что он в целом умный и внимательный.

Критическое мышление в безопасности работает только тогда, когда у человека уже есть знания и насмотренность именно в этой теме. Когда он знает типовые приемы мошенников, видел похожие сценарии и понимает, какие детали в письме или сообщении должны насторожить.

Поэтому в атаке нельзя рассчитывать ни на абстрактную внимательность, ни на то, что сотрудник просто «включит критическое мышление». Чтобы человек действительно остановился и проверил, ему нужны не только силы на это, но и знания, насмотренность и понятные ориентиры, по которым можно распознать опасный сценарий.

Что делать команде безопасности, если сотрудник перегружен по умолчанию

Многое зависит от самого сотрудника. При когнитивном дефиците помогает соблюдать гигиену сна, реже пользоваться мессенджерами и соцсетями, работать без отвлечений и не перекусывать сладким.

Со стороны компании тоже стоит поддерживать культуру, в которой поощряются последовательная работа, внятный таск-менеджмент и здоровые привычки.

Но важно понимать, что многие люди приходят в рабочий день уже в состоянии перегруза — еще до первых задач и писем, иногда буквально на этапе «утренний кофе под рилсы». Это состояние нельзя просто отменить, но его нужно учитывать.

Если в момент атаки сотрудник действует не в идеальном учебном режиме, а в состоянии спешки, перегрузки и постоянных переключений, то и защиту нужно строить не вокруг абстрактного знания правил, а вокруг поведения в реальной рабочей ситуации.

Дальше разберем несколько важных принципов, из которых можно выстроить конкретные практики под процессы и культуру компании.

Давайте знания регулярно и небольшими порциями

Любой, кто работал с обучением, знает: как бы хорошо мы ни объясняли материал, знания не превращаются в навыки сами по себе — их нужно тренировать.

Когнитивный дефицит только усиливает эту проблему. Сотрудник и так перегружен, а мы даем ему большой курс раз в год и ждем, что он запомнит все важное, удержит это до следующего обучения и применит в нужный момент.

Информация запоминается лучше, если давать ее не одним блоком, а с интервалами

В обзоре исследований авторы пишут, что обучение с интервалами между подходами дает более устойчивое запоминание, чем плотный блок материала за один раз. Так лучше усваиваются не только факты и списки, но и понятия, навыки и более сложный материал.

Одна из причин в том, что памяти нужно время, чтобы закрепить материал. Если возвращаться к нему слишком быстро, новый повтор хуже помогает запомнить уже изученное.

Но и слишком длинных пауз быть не должно. Поэтому лучше работает не «много за раз», а распределенное обучение, где к материалу возвращаются в подходящий момент.

Источник: обзор «The right time to learn: mechanisms and optimization of spaced learning»

Поэтому большой курс раз в год — не лучший ответ на эту проблему. Сотруднику полезнее получать только необходимую информацию, в удобном виде, небольшими порциями и ближе к реальным рабочим ситуациям.

Интерактивность, микрообучение и геймификация могут помогать, но сами по себе проблему не решают.

Одно из исследований фишингового обучения в корпоративной среде показало, что интерактивный формат может давать лучший результат, но только у тех, кто действительно доходит до конца.

Проблема в том, что таких сотрудников немного. Больше половины обучающих сессий заканчивались меньше чем за 10 секунд, обучение формально завершали меньше 24% пользователей, а интерактивный формат снижал вероятность следующего клика на 19% только у тех, кто прошел его до конца. При этом общий эффект обучения оставался небольшим.

Это еще раз показывает, что проблема не в объеме курсов, а в том, превращается ли знание правил в действие в момент атаки. О том, почему логика «дать побольше обучения» не помогает, мы уже подробно рассказывали в отдельной статье.

Тренируйте не знание правил, а реакцию на атаку

Если в момент атаки сотрудник действует быстро и под давлением, безопасная реакция должна быть натренирована заранее. Не на уровне «я где-то это читал», а на уровне узнавания сценария и понятного следующего шага.

Для этого нужны регулярные имитированные атаки. Не как способ поймать человека на ошибке, а как способ:

Применять знания из курсов на практике. Сотрудник учится замечать опасные сигналы в реальной ситуации, даже если конкретный сценарий не повторяет учебный пример один в один.
Подтверждать убеждения. Через курсы и рассылки трудно по-настоящему поверить, что атака может случиться с кем угодно. Это понимание приходит быстрее, когда человек сам сталкивается с правдоподобным, но безопасным сценарием.
Нарабатывать насмотренность. Каждая атака и каждый фрейм устроены по-своему. Мошенники используют типовые приемы, но конкретный сценарий каждый раз собирают заново — под роль человека, его контекст и слабые места. Поэтому сотруднику нужны не только знания, но и ощущение: «где-то я это уже видел».

Во многих компаниях такие атаки проводят в лучшем случае раз в квартал. Для тренировки реакции этого обычно мало. Лучше, когда сотрудники сталкиваются с такими сценариями регулярно — например, раз в месяц.

Сделайте безопасное действие самым простым

Если при когнитивном дефиците человек тянется к самому простому действию, то именно таким должно быть и безопасное действие.

Сотруднику должно быть легче сообщить о подозрительном письме, чем разбираться самому. Легче перепроверить запрос, чем действовать на автомате. Легче задать вопрос, чем промолчать из страха показаться некомпетентным.

Ошибка сотрудника не должна восприниматься как провал. Критично не то, что человек нажал, а то, что он делает дальше: как быстро останавливается, распознает подозрительную ситуацию и передает сигнал в ИБ.

Объясняйте смысл требований и встраивайте ИБ в реальную работу

Даже самая эффективная методика обучения не сработает, если сотрудники не понимают смысла обучения, его связи с рабочими задачами и воспринимают безопасность как формальность, которая отвлекает их от работы.

Культура ИБ не существует отдельно от общей культуры компании.

Если в компании не принято объяснять смысл требований, относиться к людям как к взрослым и связывать правила с реальной работой, обучение так и останется отдельным мероприятием, а не частью поведения.

Главный результат обучения — не пройденный курс, а новое поведение в работе

Авторы книги предлагают смотреть на обучение не как на отдельное событие, а как на процесс, который должен приводить к изменению поведения. Бизнесу важен не сам факт прохождения курса, а то, что сотрудник начнет делать после него.

Обучение не существует отдельно от среды. На результат влияет не только сам курс, но и то, что происходит до и после него. Это ожидания, действия руководителя, поддержка коллег, правила, по которым живет компания, и то, насколько новое поведение вписывается в реальную работу. Авторы называют это полным опытом обучения и отдельно подчеркивают, что среда может либо усилить эффект, либо сломать его.

Главное начинается не в момент окончания обучения, а после него. Если новое поведение не переносится в работу, обучение превращается в потраченный ресурс без результата. Поэтому кроме самого курса нужны поддержка, понятные ожидания и инструменты, которые помогают применить новое на практике.

Источник: книга «The Six Disciplines of Breakthrough Learning»

Если в компании можно без страха сообщить о подозрительном письме, если ИБ-команда не только требует, но и помогает, а правила не оторваны от реальной работы, у сотрудника гораздо больше шансов правильно отреагировать даже в состоянии когнитивного дефицита.