Эмоциональные этапы утечки данных: как справиться с паникой, гневом и чувством вины

Обычно это происходит в пятницу после полудня, около 4 или 5 часов вечера. Администраторы и эксперты по безопасности получают сообщение о том, что может произойти что-то странное, и тихий полдень превращается в хаос.

Утечки данных и другие инциденты безопасности, как правило, напрягают нервы всем, от команд, пытающихся решить проблему, до ключевых заинтересованных сторон. Все они могут испытывать широкий спектр чувств, в том числе отрицание в первые моменты, за которым следует явная паника, гнев, тревога, а иногда и чувство вины. Нередки учащенное сердцебиение, потливость, дрожь или тошнота, и эти события могут даже вызвать проблемы с психическим здоровьем.

«У меня были администраторы, которые не выдерживали и уходили», - говорит Питер Маккензи, директор группы реагирования на инциденты в Sophos.

И не только они. «Эти эмоции могут стать вирусными и распространиться по всей организации», - говорит доктор Патрик Стейси, опубликовавший статью об эмоциональных реакциях и ответных действиях сотрудников во время кибератаки. По мере нарастания стресса руководители высшего звена и члены совета директоров, как правило, становятся раздражительными, оказывая давление на специалистов по технологиям, требующих быстрого решения проблемы, пишет CSO.

Такого рода давление никогда не помогает, говорит Майкл Шёберг, эксперт по управлению кризисными ситуациями, который работал в датской армии, а теперь является переговорщиком по программам-вымогателям. «Чем более напряженной кажется ситуация, тем больше мы, люди, склонны реагировать и действовать, не задумываясь», - говорит он.

То, как организация справляется с инцидентами кибербезопасности, может решить ее судьбу, поэтому специалисты по технологиям и заинтересованные стороны должны всегда принимать правильные решения. Сохранять спокойствие и собранность очень важно не только во время кризиса, но и до его начала. Цепочка эмоций может начаться гораздо раньше.

Разочарование может появиться еще до утечки данных

Специалисты по безопасности и администраторы, которые защищают организации, часто чувствуют себя Сизифом, катящим в гору огромный валун, который каждый раз в последний момент катится вниз. Часто они даже не могут заставить сотрудников следовать простым правилам, таким как использование уникальных паролей или установка последних обновлений.

У них также есть проблемы с убеждением правления в том, что безопасность важна. Согласно опросу, проведенному Lastline во время конференции RSA 2019, 98% экспертов по безопасности заявили, что им не хватает средств для покупки услуг и оборудования и реализации необходимых политик. Кроме того, 23% утверждали, что потребуется успешная атака на их организацию, чтобы заставить руководителей предложить достаточную финансовую поддержку.

Хотя администраторы и специалисты по безопасности знают, что нужно делать для обеспечения безопасности организации, похоже, они не могут убедить кого-либо прислушаться к ним. Поэтому среди сотрудников службы безопасности может устояться «атмосфера разочарования и раздражения, потому что их постоянно обманывают», - говорит доктор Стейси.

Несмотря на то, что они сделали много предупреждающих знаков, когда нарушение действительно происходило, больше всего страдают администраторы и сотрудники службы безопасности. За моментом «я же говорил» следуют тревога, усталость и бессонные ночи.

Цепочка эмоций после инцидента с безопасностью

Во время инцидента события развиваются очень быстро, и вовлеченные технические специалисты, как правило, испытывают смесь эмоций, включая первоначальный шок, за которым следует отрицание, чувство вины, гнев, паника, страх или тревога. «Даже если вы готовы к этому, мозг имеет тенденцию отключаться, - говорит Шёберг. - Чем более напряженной кажется ситуация, тем больше мы, люди, склонны реагировать и действовать, не задумываясь».

Первые несколько часов инцидента хаотичны. Маккензи называет их «фазой хаоса». «Вы получаете чистую слепую панику, когда [люди] начинают вырывать кабели питания, выключать все и отключать интернет для всего мира, потому что они понятия не имеют, что делать, кроме того, что они должны просто остановить все», — говорит он.

Некоторые администраторы и специалисты по безопасности могут соматизироваться в эти невыносимые часы, трансформируя свои психологические проблемы в физические симптомы. Маккензи вспоминает один случай, когда небольшой город в США был атакован программой-вымогателем Conti. Админ, который был на телефоне, сказал, что у них есть резервные копии, но потом пошел их проверять. Маккензи на минуту услышала тишину. «Затем я услышал, как его вырвало в комнате, - говорит он. - Резервные копии исчезли, они потеряли все данные судебных систем или полицейские записи, все исчезло. У них ничего не было».

Вырывание силовых кабелей и появление физических симптомов - естественная реакция на что-то серьезное. Все это реакции человека на стресс. «Осознание того, что люди не только были в вашей сети, они крали данные из вашей сети, они уничтожали материалы из вашей сети не только для вашего бизнеса, но и для данных клиентов или полицейских записей, больничных записи», - говорит Маккензи.

Шёберг добавляет, что некоторые администраторы и эксперты по безопасности могут почувствовать необходимость немедленно все исправить. Обычно это плохое решение. «[Часто] дело не в том, что они делают что-то не так, просто некоторые вещи могут быть важнее других», - говорит Шёберг. Вместо того, чтобы действовать, он рекомендует им связаться с лицом, отвечающим за антикризисное управление.

Смесь эмоций, испытываемых в первые часы атаки, может также включать гнев, иногда направленный на поставщика средств безопасности, предоставившего инструменты безопасности, которые должны были предотвращать инциденты. Гнев также может быть направлен на нападавшего, особенно если жертвой является больница, муниципалитет или небольшой магазин, например пекарня или цветочный магазин.

Также может появиться чувство вины, часто в связи с небрежностью. «Они понимают, что не обращали внимания на предупреждающие знаки», — говорит Маккензи. Всегда есть инструменты, которые следовало бы обновить или лучше управлять ими.

Некоторые администраторы и специалисты по безопасности не могут справиться со стрессом. Администратор больницы, которому Маккензи помог, исчез на три дня после инцидента, потому что он не был готов к такой катастрофе. Потом вернулся и продолжил работу.

Инциденты, связанные с безопасностью, могут иметь долгосрочные последствия для психического благополучия сотрудников, если не справляться со стрессом должным образом. К счастью, психологи уже давно изучают способы помочь нам справляться с напряженными ситуациями, а в армии США также есть несколько методов, которые могут использовать профессиональные технологи.

Тактическое дыхание и медленное дыхание

Как специалист по кризисному менеджменту, Шёберг не раз попадал в напряженные ситуации. Одно упражнение, которое помогло ему на этом пути, называемое тактическим дыханием или боевым дыханием, используется военными, пожарными и сотрудниками правоохранительных органов для снижения стресса в опасных ситуациях.

«Когда вы используете тактическое дыхание, вы вдыхаете, считая до четырех, задерживаете дыхание, считая до четырех, выдыхаете, считая до четырех, и ждете, считая до четырех», - говорит он. При выполнении этого упражнения необходимо глубоко дышать диафрагмой, добавляет Шёберг.

Недавнее исследование, опубликованное экспертами Департамента исследований военной психологии Вооруженных сил Германии в Бонне, показало, что тактическое дыхание может быть наиболее эффективным во время пассивного совладания, когда мы ожидаем сложной или угрожающей ситуации, и нет другого выхода, кроме как столкнуться лицом к лицу с источником стресса.

Между тем, во время активного совладания более простые техники могут работать лучше. К ним относятся удлиненный выдох и медленное дыхание. Продолжительный выдох означает нормальный вдох, но медленный выдох, в то время как медленное дыхание требует всего около шести циклов вдоха-выдоха в минуту, в отличие от обычных 12-14.

Когда мы дышим медленнее, мы говорим своему телу, что все в порядке. Эти техники настраивают парасимпатическую нервную систему, которая регулирует бессознательные действия тела. Выполнение этих упражнений может замедлить частоту сердечных сокращений, расслабить мышцы и снизить кровяное давление.

Мозг - самый сложный орган тела, и нам еще предстоит узнать, как он на самом деле работает. Тем не менее, исследование, опубликованное в 2017 году Кевином Яклом из Медицинской школы Стэнфордского университета и его коллегами, показало, что у мышей есть крошечный кластер нейронов с несколькими функциями: по-видимому, они регулируют дыхательные ритмы, а также взаимодействуют с областью ствола мозга, отвечающей за стресс и панику, - голубым пятном. Когда исследователи удалили несколько из этих нейронов, у мышей чаще наблюдались эпизоды затишья, но они также становились менее заинтересованными в изучении новых условий. Другие исследования показали, что изменение способа дыхания может повлиять на дорсомедиальную префронтальную кору и миндалевидное тело, которые участвуют в управлении стрессом и негативными эмоциями. Кроме того, контролируемое дыхание может привести к снижению уровня кортизола.

Обучение и планирование кибератак

Если вам не нравятся дыхательные техники, еще одна идея для предотвращения подавляющих эмоций - заранее подготовиться к атакам. Эти учения в идеале должны проводиться кем-то за пределами организации, но должны включать всех, а не только экспертов по безопасности.

«Исполнительное руководство должно участвовать как минимум в ежегодном семинаре по кризисному управлению, - говорит Шёберг. - Я видел это так часто, что генеральный директор или финансовый директор в конечном итоге не хотят участвовать в тренингах по антикризисному управлению, потому что это слишком сложно, и они, как правило, проигрывают во время тренингов».

Чтобы предотвратить это, семинар должен быть посвящен обучению людей тому, как использовать инструменты, а не тестированию планов антикризисного управления. «Вы никогда не должны обучать персонал, если вы не даете им ответы заранее», - говорит Шёберг.

Это обучение также может помочь администраторам, исследователям безопасности и заинтересованным сторонам почувствовать, что они сделали все возможное, чтобы предотвратить инцидент, что может облегчить их чувство вины. Другими стратегиями борьбы с этой эмоцией являются извинения и возмещение ущерба, замена негативных разговоров с самим собой соревнованиями и учеба на прошлых ошибках.

Подобные упражнения могут помочь как отдельным лицам, так и организациям стать более зрелыми, что поможет им лучше реагировать во время событий и более эффективно фильтровать эмоции. Также могут пригодиться планы потенциальных кибератак. «Когда у вас есть зрелый процесс, задокументированный способ решения инцидента, связанного с безопасностью, вы можете позволить себе выплеснуть эмоции, потому что вам не нужно действовать субъективно, - говорит Альмериндо Грациано, генеральный директор Cyber ​​Rangers. - Это правила, это лучшая практика, это то, что вы делаете».

Грациано также предполагает, что более конкурентоспособные профессионалы могли бы извлечь выгоду из ситуации, превратив катастрофу в возможность: «Докажите, насколько хорошо вы умеете останавливать атаки или охотиться за угрозой!»

Хотя все эти стратегии фильтрации эмоций могут работать для администраторов и экспертов по безопасности, еще одна категория должна научиться лучше справляться со стрессом: заинтересованные стороны (бенефициары).

Заинтересованные стороны влияют на ход кибератаки

Руководители высшего звена и члены совета директоров находятся под давлением во время инцидента, связанного с кибербезопасностью. Их компания может потерять миллиарды долларов, и ее репутация тоже может быть подорвана. Во время инцидента заинтересованные стороны должны столкнуться с разгневанными клиентами, чьи личные данные были размещены в Интернете, и деловыми партнерами, пострадавшими от атаки.

Как правило, есть два типа заинтересованных сторон: те, кто злится в критические моменты и оказывает давление на экспертов по безопасности, чтобы они исправили проблему, и те, кто проявляет сочувствие и сочувствие, оказывая поддержку тем, кто работает над тем, чтобы вернуть все в нужное русло.

Излишне говорить, что разгневанные заинтересованные стороны усугубляют ситуацию. Им нужно сделать шаг назад, понимая, что они «вероятно, самые некомпетентные люди в комнате», - говорит Шёберг.

Маккензи добавляет, что эксперты по безопасности могут что-то упустить, если им придется действовать в спешке. «Когда оказывается такое давление, совершаются ошибки, потому что [эксперты по безопасности] склонны больше сосредотачиваться на восстановлении, чем на криминалистике, - говорит он. - Вам нужно понять, как произошла атака, не только для того, чтобы вы могли улучшить свою безопасность в будущем, но и для того, чтобы убедиться, что злоумышленники все еще не в вашей сети».

Напротив, поддерживающее руководство может помочь разрешить кризис. Доктор Стейси рекомендует руководителям высшего звена спросить команду, что они могут сделать, чтобы поддержать их усилия. «Для высшего руководства важно проявлять такую ​​эмпатию, потому что эмоции могут тянуть людей вниз; они также могут возвышать их и мотивировать, - говорит он. - Это вопрос попытки управлять системой и людьми таким образом, чтобы мы всегда могли перевернуть ее на позитивный драйв, а не на реверс».

Его студент Омотолани Оловосуле добавляет, что критическая фаза инцидента с безопасностью - это не время для «игры в обвинения» и что организации должны поддерживать своих сотрудников. Когда администраторы и эксперты по безопасности не чувствуют необходимости защищать свою репутацию и уверены, что, что бы ни случилось, они не оставлены, чтобы справляться с этим в одиночку, им удается придумать инновационные способы решения проблемы.

«Эмоции не ходят сами по себе, - говорит Оловосуле. - Я бы отреагировал положительно, если бы оказался в очень комфортной обстановке, где мое мнение ценится. Хорошо, я облажался, возможно, я сделал что-то очень плохое для компании, но это не значит, что я должен взять вину на себя».

Однако успокоить разгневанного руководителя высшего звена сложнее, чем помочь расслабиться инженеру по безопасности.

Успокоение руководства во время мероприятия по кибербезопасности

В напряженные моменты утечки данных внешние консультанты тратят много времени на то, чтобы успокоить нервных руководителей. «Нам приходится брать на себя роль того плеча, на котором можно в какой-то степени поплакаться, чтобы помочь им справиться со всеми этими чувствами», - говорит Джон Прието, консультант по реагированию на инциденты в Mandiant и бывший оператор кибервойны в ВВС США.

Он говорит, что коммуникация и прозрачность имеют решающее значение, потому что всем нужен индикатор хода расследования. «Прямо скажите: это то, чему мы видели доказательства, это то, чему мы не видели доказательств, и просто позвольте доказательствам говорить самим за себя», - говорит он.

Прието добавляет, что каждый человек усваивает информацию по-разному. Некоторые люди очень практичны, в то время как другим нравится получать письменные или устные отчеты, поэтому он старается использовать все формы общения. Однако он говорит, что тратить много времени на разговоры означает меньше работать над решением проблемы.

По словам Шёберга, располагая этой информацией, внешний консультант может более эффективно успокоить разгневанного менеджера. Он часто выводит руководителя за пределы комнаты для совещаний, проводит антистрессовый разбор полетов и рассказывает, как все можно вернуть в нужное русло.

Предоставление всем возможности сохранять спокойствие имеет решающее значение в опасных ситуациях. «Мы можем использовать все инструменты, которые нам нужны в мире, на месте, но если человек не обладает стойкостью, чтобы использовать их, получить результаты все равно будет очень сложно», - говорит доктор Стейси.