PECHOWA DWUNASTKA: o bezkrytycznym podejściu do siebie

Pechowa dwunastka dotycząca zjawisk leżących u podstaw błędów ludzkich, zwana również „Dirty dozen of human errors” zawiera zarówno czynniki osobiste jak i organizacyjne. Czasami ten podział nie jest tak prosty do utrzymania, jako że organizację tworzą ludzie, którzy z drugiej strony poświęcają swoje osobiste nawyki na rzecz ładu organizacyjnego. Tak jest z marcowym czynnikiem – bezkrytycznym podejściem do siebie, czy też nadmierną wiarą w swoje możliwości. Jest to zjawisko obserwowane zarówno w przypadku poszczególnych pracowników jak i strategii przyjmowanych w organizacji. Jako, że źródłem problemu ponownie jest percepcja rzeczywistości – warto krótko spojrzeć na problem z perspektywy znanych błędów procesu poznawczego, określanych też jako „cognitive bias”. Do najbardziej użytecznych w tym przypadku należy efekt Dunninga-Krugera, w Internecie, powszechnie identyfikowany z krzywą uczenia się.

U podstaw efektu Dunninga-Krugera leżała seria eksperymentów, która wykazała, że osoby o małym doświadczeniu zazwyczaj przeceniają swoje możliwości, w przeciwieństwie do osób doświadczonych, które w większości przypadków nie doceniają swojej wiedzy. To właśnie ten efekt odpowiada za euforię i autorytatywny ton wypowiedzi osób, które spotkały się z akceptacją swoich opinii na podstawie dosłownie kilku trafnych odpowiedzi. Te osoby, zazwyczaj nie dostrzegają obszaru wiedzy niezbędnego do analizy dowolnego przypadku i generalizują rozwiązania w oparciu o kilka poznanych sytuacji. Takie podejście koncentruje się na dramatycznym poszukiwaniu poparcia doświadczonych ekspertów i potwierdzeniu poprawności prezentowanej opinii jako wiedzy. Niestety, jest to sprzeczne z rzetelną metodą falsyfikacji hipotezy (tym właśnie jest nasza opinia). Dopiero brak kontr-przykładu pozwala uznać ją za wartościową w poruszanym obszarze tematu. Np. czytając 10 recenzji na temat danej technologii można wyrobić sobie konkretną opinię na jej temat. Jednak dopiero posiadanie własnych doświadczeń, porównań do innych technologii, a przede wszystkim, weryfikowanie funkcjonalności, zamiast założenie, że faktycznie występuje tak jak jest opisana przez producenta, jest jednym z przykładów tego efektu w praktyce.

Ogólnie, przykłady można mnożyć, od dobrych praktyk, których celu praktycznie nie rozumiemy, po problemy życia codziennego, w których efekty:

  1. Opierania się na naszej pamięci (tak, na pewno wyłączyłem żelazko),
  2. Polegania na naszych nawykach (tak przecież zawsze robię i działa),
  3. Wyciąganiu błędnych wniosków z oczywistych sygnałów (zdążę na czerwonym),
  4. Przecenianiu sił i możliwości (zdążę to zrobić dzisiaj, do końca dnia),
  5. Ignorowania ostrzeżeń i przekraczanie wyznaczanych granic (jak raz obejdę ten zakaz, nic się złego nie stanie),

każdy może zidentyfikować w osobistych i służbowych sytuacjach. Co więcej, tendencja do dostrzegania ich u innych, a nie u nas samych, jest również jednym z błędów poznawczych.

Zdarzenia manifestujące się pod wpływem tego zjawiska, najczęściej postrzegane są jako niegroźne. Ma to miejsce nawet gdy doprowadziły one do poważnego incydentu, gdyż zazwyczaj nie są identyfikowane w procesie poszukiwania przyczyn incydentu.

Jak przeciwdziałać efektowi Dunninga – Krugera? Przede wszystkich poznać własne ograniczenia jak i te wynikające ze szczegółowych procesów czy technologii. Konkretne strategie przeciwdziałania zawierają np.:

  1. Przygotuj się, że coś może pójść niezgodnie z planem/założeniami
  2. Nie podpisuj ani potwierdzaj wykonania pracy, której nie wiesz, czy jest wykonana
  3. Sprawdź dwukrotnie wyniki swojej pracy
  4. Nie ryzykuj licząc na szczęście bądź w oparciu o „zawsze się udawało”

Te proste porady w ramach systemu #poProstuBezpiecznie dotyczą następujących celów życiowych: #ograniczenia i #zaufanie i powiązanych z nimi kompetencjami bezpiecznej postawy: 🔒 #ochroń i 👤 #szacunek. W ramach „celów życiowych”, wybór naszych wartości, którymi kierujemy się w życiu nakłada na nasze wybory ograniczenia, które skłaniają nas do poszukiwania pomocy, czy w formie innych osób czy technologii. Budowanie relacji zaufania jest tutaj krytyczne, gdyż zawiedzione zaufanie może sprowadzić na nas poważne konsekwencje. I choć zazwyczaj oba te obszary postrzegamy zewnętrznie, to odnoszą się one do nas samych w takim samym zakresie. Jeśli nie jesteśmy świadomi naszych ograniczeń poznawczych, tego jak i na jakiej podstawie, podejmujemy decyzje, jak nasze nawyki potrafią nas wprowadzić w błąd, ponosimy bardzo bolesne konsekwencje. Czy to jest zbyt duża wiara w systemy hamowania samochodu przy brawurowej jeździe, czy posiadanie 100% pewności, że dany rachunek został opłacony i to wezwanie do zapłaty to jakiś błąd. Rutyna ograniczonego zaufania co do siebie samego jest jednym z najtrudniejszych mechanizmów bezpieczeństwa, który np. pozwala ograniczyć wpływ emocji, niezbędnych do skutecznego ataku phishingowego. Świadomość obecności TU i TERAZ a nie opierania się na pamięci lub wyobrażeniach jest trudna, jednak możliwa do osiągnięcia poprzez trening samoświadomości i uważności, do których zachęcam każdego.

Jak to zrobić? Poznać siebie, swoje ograniczenia, testować się na małych wyzwaniach, o ograniczonych konsekwencjach. Można też sprawdzić się z #projektFeniks i poznać własny katalog ryzyk dla aktywności z udziałem technologii oraz zweryfikować swoje poglądy na temat dobrych praktyk. Najważniejsze jest jednak, zdać sobie sprawę z tego czego nie wiemy, a co zakładamy, że wiemy, choć nie mamy do tego żadnych podstaw. Tak przygotowani, możemy żyć z efektem Dunninga-Krugera i ograniczać jego negatywny wpływ na nasze decyzje.

O efekcie Dunninga-Krugera w cyberprzestrzeni można poczytać tutaj (po angielsku).

 

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

 

Pechowa Dwunastka: Spójrzmy przez lupę na nasze nawyki

Odkrywając kolejne tajemnice Pechowej Dwunastki, czyli 12 typowych problemów związanych z zachowaniem ludzi jak i stylem zarządzania organizacją i leżących u źródeł praktycznie wszystkich incydentów, w tym tych dotyczących bezpieczeństwa informacji, spójrzmy dzisiaj przez lupę na nasze nawyki, które przyjęliśmy za normę czy zaakceptowaliśmy jako standard, czy w pracy, czy w domu.

Przykładów jest dużo, więcej niż chcemy dostrzec przyglądając się sobie. Do tych najbardziej popularnych należą:

  1. W pracy:
    • Praca z informacjami służbowymi i rozmowy o pracy w przestrzeniach publicznych, podczas podróży, w taksówce – gdzie nasze rozmowy mogą zostać podsłuchane, a ekran podglądnięty, dane przechwycone (używając publicznego wi-fi, nieznanego połączenia kablowego, przy braku stosowania VPN-a);
    • Przytrzymywanie drzwi z kontrolą dostępu – uprzejmie wpuszczając nieznajomych na teren firmy;
    • Wysyłanie „zaproszeń na pizzę” z konta mailowego użytkownika który nie zablokował ekranu urządzenia służbowego – niwecząc rozliczalność czynności przeprowadzonych w trakcie tej sesji logowania przez użytkownika i uniemożliwiając karanie pracownika-sabotażysty (nie wiadomo kto faktycznie wykonał operacje na tym koncie);
    • Obchodzenie zabezpieczeń proceduralnych i technicznych w celu większej elastyczności i wydajności realizowanych zadań służbowych, itp.
  2. W domu:
    • „Tak jak wszyscy” – udostępnianie zdjęć, lokalizacji, informacji prywatnych publicznie w sieciach społecznościowych, przekazywanie prywatnych i intymnych informacji mailem u publicznego operatora (google, interia, onet, wp) – pozbawiając się kontroli nad naszymi tajemnicami bez świadomości konsekwencji;
    • Lekkomyślne podejście do tworzenia kopii zapasowych i archiwizacji danych ważnych dla naszych interesów – co w przypadku ich utraty lub braku dostępu (zagubienie, kradzież, ransomware) prowadzi do poważnych utrudnień;
    • Nadużywanie elektronicznych urządzeń ekranowych do komunikacji, rozrywki, edukacji i pracy w obecności bliskich, którzy potrzebują uwagi – co prowadzi do eskalacji problemów, budowania dystansu i ograniczenia postrzegania świadomości, docelowo do agresji i depresji.

Powyższa lista, choć niekompletna to w zakresie konsekwencji wygląda niepokojąco a nawet poważnie. Co można zrobić w celu redukcji obecności tego czynnika w naszym zachowaniu?

Samodzielnie oceń, jaka norma zachowania jest zgodna z Twoimi przekonaniami i wartościami, które cenisz a nie opieraj się na wymówkach, że inni również tak robią. Fakt, że inne osoby zachowują się w określony sposób nie oznacza, że to zachowanie jest poprawne. Asertywność 🚫i poznanie kontekstu 🔍 są tutaj kluczowymi kompetencjami jakie należy rozwijać.

Niebezpieczne zachowania, nawet przyzwolone w obrębie danej społeczności (jak środowisko firmy czy zespołu, bądź rodzina) należy eliminować skutecznie. Iluzja braku konsekwencji złych nawyków i praktyk głównie bazuje na braku wiedzy o incydentach, do których doprowadziło takie zaufanie, co jest kolejną złą praktyką. Trwamy w błędzie, głównie dlatego że nie dostrzegamy realnie jego konsekwencji, mylnie interpretując przyczyny znanych incydentów. Np. uzyskanie dostępu do kontenerów w Amazon S3, czy baz danych Mongo, w wielu przypadkach zabezpieczonych prostym hasłem lub nawet jego brakiem jest powielaniem złych praktyk stosowanych w lokalnych zasobach (dom, firma). Oczywiście brak świadomości zabezpieczeń sieciowych w chmurze jest tutaj typowo wskazane jako przyczyna, a nie nawyki, które jednak faktycznie stoją za brakiem wskazanych mechanizmów. Z tego powodu, 💬 reagowanie na incydenty, w tym analiza ich skutków jak i zgłaszanie złych praktyk do poprawy, są kluczową kompetencją pomagającą wyplenić złe nawyki.

Trzecim najbardziej niewidocznym elementem redukującym opisane niepożądane zachowania jest komunikacja i współdzielenie zbliżonych wartości ⛔, czyli faktyczny sens prywatności – znajomość celu i tego co ma być chronione. Zapewnienie, że wszyscy zgadzają się co do podstaw, akceptują ustalone reguły i rozumieją jak własny przykład 👍 wpływa realnie na ich skuteczność to cel w zasięgu każdego człowieka i każdej organizacji.

Podsumowując. Źle się dzieje, gdy przyzwalamy w formie normy danej społeczności na realizację złych praktyk. Szczególnie gdy są one sprzeczne z naszymi celami i podważają wartość jaką cenimy w naszym prywatnym życiu, rodzinie czy organizacji. Już dzisiaj możesz przemyśleć co stanowi dla Ciebie wartość, jakie zachowania mają na nią negatywny wpływ i rozpocząć ich redukcję, a najlepiej eliminację.

Jeśli chcesz to robić w dojrzały sposób, rejestruj incydenty i analizuj ich przyczyny. Staraj się być w tym obiektywnym i takim podejściem zarażaj faktycznych lub potencjalnych uczestników incydentu. Zespołowa analiza incydentu sama w sobie będzie edukować i wspierać eliminację niebezpiecznych zachowań, zwłaszcza jeśli uda się znaleźć ich źródła i sformułować działania naprawcze. Monitorowanie ilości incydentów, zgodnie z zasadą, iż zarządzać można tylko tym co mierzalne, pozwoli ocenić czy Twoja praca przynosi owoce.

Powodzenia!

 

 

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

 

Pechowa Dwunastka: Problem braku wiedzy

Pechową dwunastkę* otworzy nam problem braku wiedzy. Wybór tego czynnika jako pierwszego wydaje się być oczywistym, a przy tym trywialnym wyborem. Gdy nie ma wiedzy, można co najwyżej mieć szczęście, cała reszta przypadków to wypadki, te znane i te ukrywane. Tutaj wszelkie oczywistości się kończą i poszukiwanie źródła problemu, zgodnie z wspomnianą zasadą wymaga wiedzy.

Na potrzeby tej formy, krótkiej i zwięzłej skoncentrujmy się na trzech przypadkach:

  • Działaniu na nieaktualnej dokumentacji, które może doprowadzić do chaosu i błędów w operacjach,
  • Wykonywaniu zadań bez uprzedniego treningu, narażające pracownika i reputację firmy,
  • Próby rozwiązania problemu przez niedoświadczony, pozbawiony wiedzy i umiejętności personel, doprowadzające do eskalacji problemu w kryzys.

Prawdopodobnie większość z czytających tego bloga osób jest w stanie podać czy z własnego doświadczenia, czy zasłyszanych opowieści wiele przykładów tych błędów.

Ponownie odniosę się do najgłośniejszego incydentu z 2018 roku, włamania do Equifax, po wykorzystaniu niezałatanej luki w Apache Struts. Incydent wykryto po ponad 75 dniach, a można było praktycznie w ciągu jednego dnia. Ruch kierowany przez zaatakowany serwer webowy był poddawany inspekcji metodą przechwytywania ruchu szyfrowanego (HTTPS interception), dla którego krytyczny jest status certyfikatów używanych przez narzędzie realizujące inspekcję. W tym wypadku nieaktualny certyfikat (oraz idąc dalej, nieaktualne informacje o stanach certyfikatów oraz brak właściwego treningu operatorów technologii) doprowadził do wyłączenia inspekcji ruchu, tym samym nie pozwalając wykryć włamania. Po 75 dniach, gdy zorientowano się, że certyfikat nie jest aktualny i naprawie sytuacji, inspekcja została wznowiona co pozwoliło wykryć nieautoryzowany dostęp do wewnętrznych zasobów. Szczegóły można znaleźć między innymi tutaj.

Jak przeciwdziałać takim problemom?

Ustalić proces aktualizacji dokumentacji do stanu faktycznego – ta strategia, choć kosztowna, pozwala skrócić czas odpowiedzi na incydent i znacznie zredukować ilość incydentów poprzez dostęp osób realizujących operację do aktualnej dokumentacji, odzwierciedlającej bieżącą sytuację środowiska.

Wykonywać zadania do których zostaliśmy przeszkoleni – często występują sytuacje, gdy dla nowego produktu, lub zaktualizowanej technologii nie stosuje się szkolenia personelu stawiając go przed wyzwaniem, swoistym testem jego profesjonalizmu i zdolności rozwiązywania problemów. Ta krótkowzroczna oszczędność prowadzi do eksperymentowania, budowania hipotez o funkcjonowaniu technologii w oparciu o wiedzę z innych rozwiązań lub wersji, co prowadzi bezpośrednio do nieprofesjonalnego, opartego na próbach i zgadywaniu używania lub zarządzania nową technologią oraz nieuchronnego incydentu.

Nie próbować pomóc, jeśli nie wiemy jak to zrobić skutecznie – kluczowe jest tutaj „wiedzieć jak” co nie oznacza teoretycznej wiedzy, tylko praktykę. Prawdopodobnie, mając wystarczająco dużo czasu, dostęp do instrukcji, poradników i np. instruktażu na YouTube można poprawnie skonfigurować czy przywrócić dowolną technologię. Niestety rzeczywistość jest inna: niecierpliwa, zestresowana i pozbawiona drugiej szansy. Wiesz albo nie, czyli potrafisz lub nie próbuj. Obowiązuje tutaj zasada podobna jak w medycynie – po pierwsze nie szkodzić.

Na koniec zostawiłem najsilniejszą praktykę zaradczą – Jeśli nie wiesz – zapytaj! To trywialne i powszechnie znane rozwiązanie, zaskakująco często stosowane jest na końcu, błędnie przyjmowane jako porażka. Świadomość swoich ograniczeń, jest prawdziwą miarą profesjonalizmu zawodowego. Podobnie jak mierzenie sił na zamiary. Ta praktyka nie dotyczy tylko i wyłącznie problemu „wiem – nie wiem”, ale przede wszystkim upewnia Cię, że angażujesz się w sytuację którą rozumiesz, znasz jej bieżący stan.

W inicjatywie Kultury Bezpieczeństwa opracowaliśmy zestaw kompetencji, których rozwój pomaga sprawnie przeciwdziałać negatywnym efektom pechowej dwunastki poprzez usprawnienie bezpiecznej postawy.

Dla problemu braku informacji, polecam rozwijać kompetencje:
🔒Ochroń – znajomość ograniczeń technologii,
📉Wykryj – znajomość stanu normalnego procesów i zdolność wykrywania anomalii,
👤Szacunek – ograniczone zaufanie do siebie i innych ludzi oraz umiejętność rozpoznawania wpływu emocji na swoje decyzje,
🔥Rozwaga – zdolność przewidywania skutków swoich czynności.

Pełen program rozwoju własnej postawy bezpiecznej znaleźć można na blogu inicjatywy kultury bezpieczeństwa i w sieciach społecznościowych oraz YouTube.

Zdanie do przekazania innym i zapamiętania: „Jeśli nie wiesz – zapytaj!

 

 

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony ekspert i pasjonat bezpieczeństwa informacji.

 

Pechowa Dwunastka to dwanaście czynników błędów ludzkich, które występując w pewnych okolicznościach praktycznie materializują incydent bezpieczeństwa.

Lista tych czynników jest następująca:

  • Organizacyjne: zwyczaje, brak wiedzy, brak komunikacji, brak zasobów, brak pracy zespołowej, presja.
  • Personalne: utrata uwagi, zmęczenie, stres, brak świadomości, brak zaangażowania, przecenianie siebie.

Kolejne artykuły naszego bloga poświęcamy analizie każdego z tych czynników w kontekście bezpieczeństwa teleinformatycznego i nie tylko.

©Prawa autorskie. Wszystkie treści opublikowane na tym blogu objęte są prawami autorskimi. Zabrania się kopiowania, rozpowszechniania i ich odtwarzania bez zgody autora.

Autor artykułów z kategorii
bezpieczeństwo ICT i aplikacji.

Jest wieloletnim ekspertem z zakresu zarządzania systemami IT i bezpieczeństwa. Specjalizuje się w analizach podatności i testach bezpieczeństwa.

Autor artykułów z kategorii
człowiek słabe ogniwo.

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.