Нарушения: исправить проблему, а не вину
После стихийного бедствия, которое наносит ущерб имуществу предприятий и домов — скажем, ураган, пожар или наводнение — как часто вы слышите предположения о том, что жертвы виноваты в своем несчастье или что они могли что-то сделать, чтобы предотвратить событие происходить в первую очередь? Не часто, правда? Мы все знаем, что подобные события возможны. Мы планируем эти возможности и не обвиняем жертв, когда они случаются.
Однако, когда дело доходит до утечки данных, все по-другому. Если вы не жили под камнем в течение последних нескольких лет, велика вероятность, что вы в той или иной степени пострадали от взлома данных. Статистически говоря, это почти наверняка, что ваша информация была потеряна, украдена или иным образом связана с одним из многочисленных утечек данных, которые доминировали в заголовках.
В отличие от стихийного бедствия, однако, после нарушения люди нередко слышат, как люди на обочине полагают, что жертва виновата — что они могли предпринять какое-то действие, какой-то инструмент, который могли бы использовать, или какой-то процесс они должны были быть на месте, чтобы предотвратить нарушение.
Иногда в этом есть доля правды. Точно так же, как домовладельцы в подверженных ураганам районах могут использовать специальные методы строительства, чтобы минимизировать потенциальный ущерб от урагана (например, строительство своего дома на пилонах), такие шаги, как шифрование данных, могут помочь компенсировать потенциальные последствия нарушения безопасности.
Когда такие меры не используются, ущерб может быть хуже, чем в противном случае. Тем не менее, само событие в значительной степени вероятностное. Вы можете делать все правильно и все равно быть взломанными — или делать все «неправильно» и, благодаря чистой удаче, оставаться невредимым.
Естественная склонность человека к установлению вины может быть контрпродуктивной в контексте безопасности. Это отвлекает от усвоения извлеченных уроков, которые могут помочь компенсировать или смягчать подобные ситуации в будущем.
Кроме того, это может привести к бесплодным инвестициям. Организации могут потратить деньги, пытаясь предотвратить непредвиденное сразу же после нарушения, в то же время серьезно инвестируя непосредственно перед нарушением.