Потому что в конечном счёте, какой бы ни была система – она всё равно заканчивается там, где начинается человек.
А он – не модуль. Он – ответственность.
Глава 1. Пользователь – первая уязвимость
В любой защищённой системе – с надёжными паролями, обновлёнными сертификатами, двухфакторной авторизацией, мониторингом сети и встроенной системой обнаружения вторжений – всегда есть одно слабое звено. Оно не обозначено в схеме инфраструктуры, не прописано в техдокументации и не проверяется при аудите. Но именно с него начинаются большинство атак. Это – человек, сидящий перед экраном. Тот самый пользователь, на которого в конечном счёте ложится ответственность за щелчок по вложению, ввод пароля на поддельной странице или игнорирование тревожного уведомления.
Взлом почти никогда не начинается с чего-то технически изощрённого. Он начинается с письма. С банального сообщения с темой вроде «Уточнение по документу» или «Изменения в зарплатном графике». С вложения, которое выглядит как безобидный PDF, но на самом деле – троян. С телефонного звонка от «службы поддержки» с вежливым голосом и убедительной просьбой подтвердить данные. Не сервер даёт сбой первым – первым ошибается человек. И этот сбой оказывается куда фатальнее технического.
Человеческий фактор – один из тех терминов, которые со временем утратили эмоциональный вес. Он звучит как нечто обыденное и почти нейтральное. Как если бы сбой был частью штатного процесса. Но за этими словами скрывается то, что и приводит к катастрофам: небрежность, усталость, рассеянность, гордость, пренебрежение, стремление сэкономить время, нежелание признать, что чего-то не знаешь. Никто не называет вещи своими именами, потому что так удобнее – оставить всё под мягким покрывалом «факторов». Только вот в реальности именно эти факторы становятся каналом проникновения в систему.
Можно инвестировать миллионы в корпоративную кибербезопасность, но один рассеянный клик – и вся система начинает рушиться. Не потому, что алгоритмы плохие, а потому что алгоритм человека не предсказуем. Он живой. У него бывают плохие дни, запарки, дедлайны и бессонные ночи. И в такие моменты он не думает в категориях угроз. Он просто торопится, он отвечает из вежливости, он считает, что «ничего страшного». Он не злоумышленник. Но он – врата.