Выражение "поколение Next" или "поколение Пепси" стало известным в 90-х - начале 2000-х годов и оно отражало совершенное новое поколение молодых людей, выросших в условиях полного отсутствия советской идеологии, в условиях перестройки, рыночных отношений и т.д. Сегодня появляется новый термин, отражающий очередную смену поколений. Это термин "поколение Y" или "millennial". Надо заметить, что в отличие от многих читателей этого блога, поколение Y выросло в то время, когда Интернет уже был распространен (многие даже не знают что такое ходить в FIDO на скорости в 14400 бод), когда компьютер перестал был предметом роскоши, когда у каждого появился мобильный телефон или смартфон. Поменялось у этого поколения и поведение в Интернет и поведение, связанное с применением информационных технологий. Частично, такие изменения описаны в отчете Cisco по глобальным сетевым технологиям, но мне бы поговорить хотелось не о нем.
В конце сентября был выпущен еще один интересный американский отчет, подготовленный по заказу Министерства национальной безопасности США (Department of Homeland Security). Отчет не очень большой - всего 60 страниц, но выводы в нем сделаны очень интересные. В нем говорится, что поколение "тысячных" (millennial) является первым, кто "всегда на связи", "всегда подключен" к средствам коммуникаций. Они не видят своей жизни без iPhone и iPad, без своего MacBook или другого лептопа. Они приносят их на работу и на учебу, создавая новые каналы реализации угроз, расширяя спектр возможных уязвимостей. Это новое поколение не понимает тех проблем и задач ИБ, которые стоят перед более старшими товарищами. Я уже как-то писал , что для современной молодежи нормальным является открыть о себе как можно больше данных в социальных сетях. Иначе они будут считаться "белыми воронами". И про исследование Евросоюза о парадоксах в словах и действиях субъектов персональных данных тоже писал .
И вот американское исследование, задачей которого было изучить поведение поколения Y в киберпространстве и сформировать идеи по повышению осведомленности Интернет-молодежи в вопросах обеспечения информационной безопасности. Было проведено несколько экспериментов, которые и позволили сделать выводы о том, что современная молодежь гораздо хуже соблюдает многие классические требования по безопасности - по правильному выбору паролей, по работы с электронной почте, по борьбе с фишингом и т.д. Вот облегченная сводная статистика.
Дальше исследователи стали пытаться найти ту форму донесения информации дл поколения Y, которая бы смогла помощь поднять уровень осведомленности в вопросах безопасности. Были опробованы разные варианты. Например, такой
Но в процессе экспериментов оказалось (что неудивительно, конечно), что девушки и юноши по-разному реагируют на те или иные формы и форматы донесения информации. Поэтому были разработаны отдельные "женские" и отдельно "мужские" способы коммуникаций.
Они варьировались от обычных "ну, чувак, ты лоханулся и нажал на сообщение, которое увело тебя на вредоносный сайт" до достаточно информативных и содержащих конкретные рекомендации по повышению уровня защищенности. Например, вот так выглядела коммуникация с молодой девушкой, которая неумело выбирала пароли доступа к различным социальным сетям и иным посещаемым Интернет-проектам.
Никаких текстовых памяток или парольных политик на 10-20 страниц. Все лаконично и предельно понятно. "Длиннее, сложнее, разнообразнее" так звучит девиз при выборе пароля.
И это дало свой эффект - поведение испытуемых поменялось в лучшую сторону. Выбираемые ими пароли стали сложнее и длиннее. Они стали реже заходить на фишинговые сайты и кликать по ссылкам в приходящих сообщениях e-mail. А значит выбранная форма повышения осведомленности была правильной и сыграла свою позитивную роль.
Вывод из этого исследования напрашивается простой - нельзя почивать на лаврах и жить с политиками, разработанными 5-10 лет назад или даже год назад. Нельзя иметь один комплект политик и требований. Надо учитывать целевую аудиторию! Этот классический маркетинговый принцип может быть и должен быть транслирован в т.ч. и в информационную безопасность. Без этого все попытки повысить уровень защищенности своей организации (даже с отличными средствами защиты, кипой правильных документов и аттестатом соответствия) будут обречены. Ведь безопасность системы равна безопасности самого слабого звена, а им всегда был и остается человек. Исключая его из процесса обеспечения ИБ на предприятии мы делаем ситуацию только хуже.
В конце сентября был выпущен еще один интересный американский отчет, подготовленный по заказу Министерства национальной безопасности США (Department of Homeland Security). Отчет не очень большой - всего 60 страниц, но выводы в нем сделаны очень интересные. В нем говорится, что поколение "тысячных" (millennial) является первым, кто "всегда на связи", "всегда подключен" к средствам коммуникаций. Они не видят своей жизни без iPhone и iPad, без своего MacBook или другого лептопа. Они приносят их на работу и на учебу, создавая новые каналы реализации угроз, расширяя спектр возможных уязвимостей. Это новое поколение не понимает тех проблем и задач ИБ, которые стоят перед более старшими товарищами. Я уже как-то писал , что для современной молодежи нормальным является открыть о себе как можно больше данных в социальных сетях. Иначе они будут считаться "белыми воронами". И про исследование Евросоюза о парадоксах в словах и действиях субъектов персональных данных тоже писал .
И вот американское исследование, задачей которого было изучить поведение поколения Y в киберпространстве и сформировать идеи по повышению осведомленности Интернет-молодежи в вопросах обеспечения информационной безопасности. Было проведено несколько экспериментов, которые и позволили сделать выводы о том, что современная молодежь гораздо хуже соблюдает многие классические требования по безопасности - по правильному выбору паролей, по работы с электронной почте, по борьбе с фишингом и т.д. Вот облегченная сводная статистика.
Дальше исследователи стали пытаться найти ту форму донесения информации дл поколения Y, которая бы смогла помощь поднять уровень осведомленности в вопросах безопасности. Были опробованы разные варианты. Например, такой
Но в процессе экспериментов оказалось (что неудивительно, конечно), что девушки и юноши по-разному реагируют на те или иные формы и форматы донесения информации. Поэтому были разработаны отдельные "женские" и отдельно "мужские" способы коммуникаций.
Они варьировались от обычных "ну, чувак, ты лоханулся и нажал на сообщение, которое увело тебя на вредоносный сайт" до достаточно информативных и содержащих конкретные рекомендации по повышению уровня защищенности. Например, вот так выглядела коммуникация с молодой девушкой, которая неумело выбирала пароли доступа к различным социальным сетям и иным посещаемым Интернет-проектам.
Никаких текстовых памяток или парольных политик на 10-20 страниц. Все лаконично и предельно понятно. "Длиннее, сложнее, разнообразнее" так звучит девиз при выборе пароля.
И это дало свой эффект - поведение испытуемых поменялось в лучшую сторону. Выбираемые ими пароли стали сложнее и длиннее. Они стали реже заходить на фишинговые сайты и кликать по ссылкам в приходящих сообщениях e-mail. А значит выбранная форма повышения осведомленности была правильной и сыграла свою позитивную роль.
Вывод из этого исследования напрашивается простой - нельзя почивать на лаврах и жить с политиками, разработанными 5-10 лет назад или даже год назад. Нельзя иметь один комплект политик и требований. Надо учитывать целевую аудиторию! Этот классический маркетинговый принцип может быть и должен быть транслирован в т.ч. и в информационную безопасность. Без этого все попытки повысить уровень защищенности своей организации (даже с отличными средствами защиты, кипой правильных документов и аттестатом соответствия) будут обречены. Ведь безопасность системы равна безопасности самого слабого звена, а им всегда был и остается человек. Исключая его из процесса обеспечения ИБ на предприятии мы делаем ситуацию только хуже.
