La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

Laurent Chrzanovski
Ziarul BURSA #Companii #Securitate Cibernetică / 20 mai

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"
Laurent Chrzanovski

Anul trecut, într-un eseu socio-psihologic în memoria lui Donald Rumsfeld, renumitul filozof Slavoj Zizek a amintit discursul rostit de regretatul secretar american al apărării în 2002, cu puţin timp înainte de războiul din Irak. (1) În acest discurs, în mod intenţionat sau nu, Rumsfeld a menţionat concepte esenţiale ale filozofiei antice, şi anume necunoscutele necunoscute, cunoscutele necunoscute şi cunoscutele cunoscute. Cu toate acestea, lipsea un concept foarte recent: necunoscutele cunoscute.

Aşa cum filozoful german Jurgen Habermas (2) a subliniat încă din 2020, creierul nostru este atât de saturat de informaţii încât memoria noastră este plină de cunoştinţe pe care le-am... uitat. Acest fenomen este adânc înrădăcinat în "indivizii conectaţi la mass-media", adică majoritatea dintre noi în lumea dezvoltată. Cantitatea de "ştiri proaspete" absorbite zilnic ne copleşeşte spiritul critic şi împinge în uitare informaţii mai vechi, adesea vitale, mai ales dacă nu a trebuit să aplicăm toate aceste cunoştinţe "asimilate" în viaţa reală.

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

În domeniul securităţii cibernetice, rădăcina profundă a problemei care generează comportamentul uman descris de filosofi a devenit o preocupare reală. Problema "supraîncărcării informaţionale" (măsurată prin cantitatea de materiale încărcate şi apoi descărcate/citite pe internet în fiecare minut, la nivel mondial) face obiectul a nu mai puţin de un întreg capitol din Global Cybersecurity Outlook 2022 (3), publicat în urmă cu trei luni de Forumul Economic Mondial de la Davos (WEF).

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

De sus în jos: experţi în afaceri versus experţi în securitate

Raportul WEF subliniază, printre "necunoscute", că diferenţa medie dintre încrederea membrilor consiliului de administraţie (liderii de afaceri) în politicile de rezilienţă şi, prin urmare, în sistemele de securitate utilizate în cadrul companiei lor, şi temerile echipelor de securitate (liderii departamentului de securitate) este mai mare ca niciodată. Un capitol lung din raportul WEF este dedicat acestei diferenţe majore de percepţie: "Liderii din domeniul cibernetic se află într-o poziţie din ce în ce mai precară, pe măsură ce decalajul dintre liderii de afaceri şi şefii departamentelor de securitate se măreşte".

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

Perspectivele evidenţiază o serie de măsuri foarte importante care trebuie luate imediat în toate sectoarele de activitate pentru a elimina acest decalaj care, după cum indică numeroase cercetări, este unul dintre principalele motive pentru slăbiciunea generală observată în ceea ce priveşte succesul formelor foarte primitive de atacuri cibernetice în timpul pandemiei (phishing, escrocherii de bază etc.).

Încă o dată, defectul din ce în ce mai mare se referă exact la unul dintre faptele pe care le discutăm de mult timp: lipsa includerii CISO şi/sau CSO printre membrii consiliului de administraţie / absenţa prezenţei obligatorii a acestora la şedinţele de luare a deciziilor. Numai această decizie are consecinţe grave pentru securitatea cibernetică a companiei.

În plus, cea mai mare diferenţă în modus cogitandi între liderii de afaceri şi specialiştii în securitate şi sursa multor probleme este neînţelegerea tot mai mare în rândul antreprenorilor cu privire la diferenţa dintre ceea ce acoperă conceptele de securitate şi rezilienţă cibernetică: majoritatea liderilor de afaceri văd cele două domenii ca pe un întreg şi nu corelează diferenţele, specificităţile şi nevoile fiecăruia.

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

Numărul record de atacuri cibernetice reuşite în 2021 şi în prima jumătate a anului 2022 ar fi provenit dintr-o multitudine de decizii nepotrivite luate în perioadele de "blocare" a vârfurilor COVID, coroborate cu transformarea, considerată temporară, dar care a devenit acum o realitate pe termen lung: cea a numeroaselor locuri de muncă care s-au mutat de la birou la domiciliu, fără o schimbare radicală a arhitecturii de securitate a companiei.

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

Perspectivele WEF şi alte rapoarte menţionează, de asemenea, că am ajuns la un punct critic al lipsei de locuri de muncă în domeniul securităţii cibernetice, care ar putea fi redus prin respectarea indicaţiilor date de mulţi experţi în domeniul formării. Într-adevăr, în această privinţă, ar trebui să atenuăm cifrele prezentate de Forbes, WEF şi alţii, deoarece acestea reflectă în mare parte incapacitatea prea multor instituţii de învăţământ de a oferi o formare cu spectru larg. Mai concret, presupunând că securitatea cibernetică are şapte piloni - aşa cum au fost definiţi de experţi - noua generaţie de experţi în securitate cibernetică ar trebui să fie capabilă să stăpânească cel puţin doi, dacă nu chiar trei dintre ei, ajutată de noile tehnologii disponibile pe piaţă.

Toţi factorii de mai sus au consecinţe grave asupra costurilor de asigurare, un aspect care se află pe locul al treilea în topul celor zece provocări de securitate cibernetică pentru anul în curs, conform previziunilor anuale publicate de Forbes şi redactate de E. Saygeh (4). Multe companii de asigurări, ale căror prime de acoperire au explodat în 2021, refuză acum să accepte companii care nu au o politică strictă şi cuprinzătoare de securitate cibernetică, atât tehnologică, cât şi umană, începând cu un training de conştientizare continuă livrat fiecărui angajat, de la cel mai nou angajat până la CEO.

De jos în sus: o lipsă continuă de formare de sensibilizare la toate nivelurile

Costurile incidentelor pentru întreprinderi în anii pandemiei au atins niveluri record. După cum a subliniat Verizon's Data Breach Investigations Report 2021 (5), 85 % dintre încălcări au implicat "veriga slabă umană".

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

Deşi aceasta este o preocupare majoră pentru toate industriile, foarte puţine companii, cu excepţia companiilor de securitate, a celor de înaltă tehnologie sau a sectoarelor de lux, au întreprins o muncă ce necesită mult timp pentru a sensibiliza în mod regulat tot personalul, de la femeia de serviciu la directorul general.

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

După cum a subliniat recent Clive Madders (6), o companie poate deveni cu adevărat rezistentă doar prin cultivarea unei culturi de conştientizare a securităţii cibernetice. Pe lângă tehnologiile necesare, autorul insistă asupra faptului că "Fortificarea liniei din faţă (a se citi: angajaţii) este adesea cea mai bună metodă de apărare", amintindu-ne de utilizarea abuzivă de către prea multe companii a îndrumărilor esenţiale publicate de NIST încă din 2018, "Cyber security is everyone's business" (7).

Consecinţele anilor de conştientizare a securităţii prost distribuite, sub forma unor documente pdf sau a unor anunţuri de o pagină, au fost expuse pe scară largă în timpul pandemiilor. Aceste "cunoştinţe" au fost în mare parte uitate de prea mulţi angajaţi care lucrează de la distanţă. Aceştia au făcut schimb de parole şi de autentificări cu colegii, au dat click pe linkuri maliţioase şi au deschis tot felul de mesaje de phishing. Stresul şi ignoranţa, aşa cum se subliniază în studiul "De ce angajaţii încalcă politicile de securitate cibernetică", recent publicat de Universitatea Harvard (8), sunt principalele motive. În contextul stresului, cele trei motive principale, aşa cum au recunoscut angajaţii care au eludat politicile de securitate, sunt următoarele: toată lumea a încălcat regulile:

- "pentru a-mi îndeplini mai bine sarcinile de lucru" ;

- "pentru a obţine ceva de care aveam nevoie";

- "pentru a-i ajuta pe ceilalţi să-şi facă treaba".

Pentru a înţelege mai bine cercetarea de la Harvard, este necesar să citiţi un studiu psihologic mai aprofundat intitulat "Rolul comportamentului utilizatorilor în îmbunătăţirea managementului securităţii cibernetice" (9). Ajută la înţelegerea, prin desluşirea "pericolului interior": diferitele categorii de ego pe care le poate avea fiecare angajat, ceea ce duce la erori majore şi, prin urmare, la un comportament nesigur, de la un exces de încredere la impulsivitate şi la o dorinţă tot mai mare de a fi proactiv (adică "gândire în viitor") pentru a face faţă mai bine stresului legat de cantitatea de solicitări primite zilnic de la un superior direct. Toţi aceşti factori conduc la uitarea elementelor de bază şi la neaplicarea politicilor de securitate, care sunt prea des explicate şi, prin urmare, prost înţelese din ziua în care sunt puse în aplicare.

La rădăcina răului: memoria noastră devine un creuzet de "cunoştinţe necunoscute"

Pentru a termina de unde am început, nu mai are rost să încercăm să ne amintim "necunoscutele". Pentru a face faţă cantităţii tot mai mari de noi tehnologii pe care le folosim, precum şi modului specific de utilizare a fiecărui produs, punctelor sale forte şi, bineînţeles, a punctelor sale slabe, este necesară o nouă strategie (chiar şi cu ajutorul jocurilor de rol, adică a gamificării) pentru a sensibiliza toţi angajaţii, începând cu utilizarea corectă a celui mai vulnerabil instrument, smartphone-ul.

Astfel, dacă sunt bine supravegheaţi, angajaţii ar trebui să aibă satisfacţia de a simţi că învaţă ceva foarte util. Dacă pornim de la paradoxul socratic descris de Platon: "tot ceea ce ştiu este că nu ştiu nimic", adică o atitudine de umilinţă dublată de deschidere, aceiaşi angajaţi vor realiza că aceste traininguri sunt utile pentru ca ei să evolueze şi să se simtă în siguranţă nu doar la locul de muncă, ci şi în viaţa personală, datorită cunoştinţelor de bază în materie de securitate cibernetică.

Desigur, comportamentul liderilor de afaceri va trebui să se schimbe: va trebui ca aceştia să îşi recompenseze echipele şi angajaţii nu numai pentru productivitatea lor, ci şi pentru aplicarea corectă a politicilor de securitate.

Cu un doctorat în arheologie romană obţinut la Universitatea din Lausanne, un postdoctorat de cercetare în Istorie şi Sociologie la Academia Română şi o Habilitare UE pentru a conduce doctorate în istorie şi ştiinţe conexe, Laurent Chrzanovski este profesor în cadrul Şcolii doctorale a Universitătii "Lucian Blaga" din Sibiu si profesor invitat în cadrul Şcolii doctorale a Universitătii din Geneva, Lyon II şi Varşovia; predă anual cursuri postdoctorale în cadrul mai multor universităţi din top 200 din UE. Este autorul/editorul a 42 de cărţi, a mai mult de 150 de articole ştiinţifice şi a tot atâtea articole pentru publicul larg. În cadrul securităţii cibernetice, Laurent Chrzanovski este membru şi consultant contractual în cadrul grupului de experţi al ITU (ONU-Geneva). El a fondat şi dirijează anual Congresele de partenariat Public-Privat "Cyberrsecurity Dialogues" (România, Italia, Elveţia). În acelaşi spirit de colaborare Public-Privat,este co-fondator şi redactor-şef al singurei reviste trimestriale de conştientizare a securităţii cibernetice, Cybersecurity Trends, publicată în limbile română, franceză, engleză şi italiană. Principalele domenii de studiu sunt axate pe relaţia dintre comportamentele umane greşite sau periculoase în lumea digitală, precum şi pe cea care priveste găsirea unui echilibrul corect între securitate şi confidenţialitate pentru cetăţenii "digitali".

-----------------------------------

(1) Slavoj Zizek: How Donald Rumsfeld's catastrophic "unknown unknowns' approach on Iraq can help us deal with Covid crisis, RT, 04.07.2021

https://www.rt.com/op-ed/528359-donald-rumsfeld-iraq-covid/

(2) Jurgen Habermas uber Corona: So viel Wissen uber unser Nichtwissen gab es noch nie, Frankfurter Rundschau 10.04.2020

https://www.fr.de/kultur/gesellschaft/juergen-habermas-coronavirus-krise-covid19-interview-13642491.html

(3) World Economic Forum, Global Cybersecurity Outlook 2022, January 2022

https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf

(4) E. Saygeh, Predicting What 2022 Holds For Cybersecurity, Forbes, January 6, 2022

https://www.forbes.com/sites/emilsayegh/2022/01/06/predicting-what-2022-holds-for-cybersecurity/<

(5) Verizon, Data Breach Investigations Report 2021. DBIR, Fall 2021

https://www.researchgate.net/publication/351637233_2021_Verizon_Data_Breach_Investigations_Report

(6) Clive Madders, Protect Your Organization by Cultivating a Culture of Cybersecurity Awareness, December 28, 2021

https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/protect-your-organization-by-cultivating-a-culture-of-cybersecurity-awareness/

(7) NIST, Cybersecurity is Everyone's Job, 2018

https://www.nist.gov/news-events/news/2018/10/cybersecurity-everyones-job

(8) C. Posey, M. Schoss, Research: Why Employees Violate Cybersecurity Policies, Harvard Business Review, January 20, 2022

https://hbr.org/2022/01/research-why-employees-violate-cybersecurity-policies

(9) A.A. Moustafa, A. Bello and A. Maurushat, The Role of User Behaviour in Improving Cyber Security Management, Frontiers in Psychology 12 (2021)

https://www.frontiersin.org/article/10.3389/fpsyg.2021.561011

Opinia Cititorului ( 1 )

  1. Mda, cyber securizarea devine noul "loose lips sink ships" din alt război.

    Și noi suntem în război, dar e mai modern și are dimensiuni economice. 

    > dacă sunt bine supravegheaţi, angajaţii ar trebui să aibă satisfacţia de a simţi că învaţă ceva foarte util 

    Asta este chiar bună! Angajații supravegheați pot simți clar că primesc exact slaari cât să nu plece. Mai mult asimetrie informatică, mai buna poziție de negociere. 

    Niciunde in articol nu se vorbește de recompensarea salariaților! 

    Oricum, la noi e bine: avem băieții de la instituții cu 3 litere care protejează tot. Nici nu mai e nevoie de traininguri... 

Pe scurt

Cotaţii Internaţionale

vezi aici mai multe cotaţii

Bursa Construcţiilor

www.constructiibursa.ro

Apanova
csalb.ro
BTPay
Electromagnetica
Stiri Locale

Curs valutar BNR

29 Iun. 2022
Euro (EUR)Euro4.9430
Dolar SUA (USD)Dolar SUA4.7005
Franc elveţian (CHF)Franc elveţian4.9319
Liră sterlină (GBP)Liră sterlină5.7237
Gram de aur (XAU)Gram de aur274.3717

convertor valutar

»=
?

mai multe cotaţii valutare

Cotaţii Emitenţi BVB
Bursele din regiune
Centro
romaniansmartcity.ro
Cotaţii fonduri mutuale
Teatrul Național I. L. Caragiale Bucuresti
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.rowww.dreptonline.rowww.hipo.ro