Новое исследование выявило ключевую проблему, связанную с созданием этих рекомендаций, и описало простые шаги, которые позволят улучшить их и, возможно, сделать Ваш компьютер более безопасным.

Речь идет о рекомендациях по обеспечению компьютерной безопасности, которые предоставляют своим сотрудникам такие организации, как предприятия и государственные учреждения. Эти рекомендации, как правило, призваны помочь сотрудникам защитить личные данные и данные работодателя и минимизировать риски, связанные с такими угрозами, как вредоносное ПО и фишинговые атаки.

Как исследователь в области компьютерной безопасности, я заметил, что некоторые советы по компьютерной безопасности, которые я читаю в Интернете, являются запутанными, вводящими в заблуждение или просто неверными, — говорит Брэд Ривз (Brad Reaves), автор нового исследования и доцент кафедры информатики Университета штата Северная Каролина.

В некоторых случаях я не понимаю, откуда взялись эти советы и на чем они основаны. Это и послужило толчком к проведению данного исследования. Кто пишет эти рекомендации? На чем они основывают свои рекомендации? Каков их процесс? Можем ли мы сделать что-то лучше?

В рамках исследования ученые провели 21 углубленное интервью со специалистами, отвечающими за составление рекомендаций по компьютерной безопасности в таких организациях, как крупные корпорации, университеты и государственные учреждения.

Главный вывод состоит в том, что люди, пишущие эти руководства, стараются дать как можно больше информации, — говорит Ривз.

Теоретически это замечательно. Но авторы не расставляют приоритеты между наиболее важными советами. Или, если говорить точнее, они не расставляют приоритеты между теми пунктами, которые имеют значительно меньшее значение. А поскольку советов по безопасности так много, они могут быть перегружены, и наиболее важные моменты теряются в общей суматохе.

Исследователи пришли к выводу, что одна из причин, по которой рекомендации по безопасности могут быть настолько перегружены, заключается в том, что авторы рекомендаций стремятся включить в них все возможные пункты из самых разных авторитетных источников.

Другими словами, авторы руководств занимаются компиляцией информации по безопасности, а не ее отбором для своих читателей, — говорит Ривз.

Опираясь на результаты интервью, исследователи разработали две рекомендации по совершенствованию будущих руководств по безопасности.

• Во-первых, составителям рекомендаций необходим четкий набор лучших практик по сбору информации, чтобы рекомендации по безопасности рассказывали пользователям о том, что им необходимо знать и как расставить приоритеты.
• Во-вторых, авторам — и сообществу специалистов по компьютерной безопасности в целом — необходимы ключевые идеи, которые будут понятны аудитории с разным уровнем технической подготовки.

Компьютерная безопасность — это сложно, — говорит Ривз.

Но медицина еще сложнее. Тем не менее, во время пандемии эксперты в области общественного здравоохранения смогли дать населению достаточно простые и четкие рекомендации по снижению риска заражения COVID. Мы должны быть в состоянии сделать то же самое в области компьютерной безопасности.

В итоге исследователи пришли к выводу, что авторам советов по безопасности нужна помощь.

Нам нужны исследования, руководства и сообщества практиков, которые могли бы поддержать этих авторов, поскольку они играют ключевую роль в превращении открытий в области компьютерной безопасности в практические советы для применения в реальных условиях, — говорит Ривз.

Я также хочу подчеркнуть, что при возникновении инцидента, связанного с компьютерной безопасностью, мы не должны обвинять сотрудника в том, что он не выполнил одно из тысячи правил безопасности, которых мы от него ожидали. Мы должны лучше работать над созданием рекомендаций, которые легко понять и выполнить.