Pechowa dwunastka pojawia się na naszym życiu w sposób jawny, gdy oprócz symptomów naszego „pecha” mniej lub bardziej świadomie docieramy do prawdziwej przyczyny problemu, jak brak: zasobów, wiedzy, współpracy, komunikacji, świadomości i asertywności.

Gdybyśmy jednak mieli nieco więcej czasu oraz zdystansowaną perspektywę na badany problem, dostrzec możemy elementy mające dużo większy wpływ niż te wymienione, jak: presja, stres, zmęczenie, zwyczaje, samozadowolenie i dzisiejszy temat – utrata uwagi.

Jeśli kogoś dziwi taki, a nie inny wybór tych grup, niech spojrzy na problem z punktu widzenia czasu. Problemy zidentyfikowane w grupie pierwszej opisują zdarzenia dłuższe, dostrzegalne, te z grupy drugiej mają charakter tymczasowy, ulotny, przez co dużo trudniejszy do zrozumienia i docenienia ich prawdziwego znaczenia.

Ale dość teoretyzowania, czas na przykłady. Utrata uwagi nie wydaje się czymś szczególnie istotnym w przypadku bezpieczeństwa informacji, gdzie nikogo nie rozjedziemy (jeszcze) lub nie przygnieciemy jakimś żelastwem. Jak to jednak w życiu bywa, wszyscy możemy być ugotowani, jak ta żaba, o ile tylko temperaturę „wody” ktoś podnosi powoli. Takim najpowszechniejszym przykładem dewastacyjnego efektu utraty uwagi jest… proces logowania. Każdy z nas, prawdopodobnie kilka razy dziennie wprowadza jakieś hasło lub pin, czasami to samo, kilkukrotnie. Często w wielu sytuacjach, prowadząc rozmowę, myśląc o czymś intensywnie, idąc ulicą (na smartfonie), czy zaraz przed, lub chwilę po aktywności, która pochłonęła nas w całości (jak ważne spotkanie lub presja czasu). Ile razy zdarzyło nam się „o mały włos” nie zablokować konta? Polityki kontroli dostępu zazwyczaj zakładają 3 błędne próby, w sytuacji rozproszenia uwagi, to o jakieś 20 za mało.

Dla haseł, które wprowadzamy często, które mamy „w palcach” (a tak naprawdę wspierane są pamięcią sensoryczną) i dla których nie musimy się zastanawiać, tylko zwyczajnie je wpisujemy – utrata uwagi jedynie w przypadku silnych bodźców może mieć istotne znaczenie. Jednak wymóg zmiany hasła co 30 dni i praktyczne podejście do NIE blokowania ekranu prowadzi, w skutkach do sporego wysiłku i skupienia w celu nie tylko przypomnienia hasła, ale i jego wprowadzenia (tak, znaki specjalne, cyfry i generalnie losowe hasło jest trudne do wpisania). Poziom trudności rośnie, gdy klawiatura jest inna niż zazwyczaj używamy, gdy klawisze (ekranowe) są za małe, gdy robimy to jedną ręką (a nie dwiema jak zazwyczaj). Wtedy zwykłe dźwięki, dostrzeżenie czegoś kątem oka, czy nawet powiadomienie na „ekranie” utrudnia i często uniemożliwia poprawne wprowadzenie hasła.

Zablokowanie konta, w wyniku wielokrotnego wprowadzenia hasła wydaje się małym problemem, jednak w przypadku presji czasu, lub długiego procesu odblokowania (czy to czasowego, czy złożonego z wielu czynności) prowadzi do frustracji, wzrostu stresu, niekontrolowanej konsumpcji zasobów, poczucia winy, ograniczenia świadomości kontekstu i wielu innych negatywnych efektów, które bezpośrednio mogą doprowadzić do incydentu.

Nie trzeba daleko szukać. Czas utracony na odblokowaniu konta (lub dłuższy związany z resetem hasła i jego zapamiętaniem) może wywołać na nas presję, która ograniczy naszą zdolność poznawczą oraz czujność, pod pretekstem skupienia na zwiększeniu wydajności, co znowu prowadzi do bezpośredniego wykonywania poleceń, bez ich kwestionowania, co jest efektem oczekiwanym przez atakujących za pomocą phishingu i pretekstu. Warto również pamiętać, że utrata uwagi zostaje na dłużej i najczęściej prowadzi do lawinowego efektu wzmacniania kolejnych czynników Pechowej Dwunastki.

Innym przykładem dewastacyjnej roli utraty uwagi jest praca na dwóch środowiskach, produkcyjnym i testowym (czy też oficjalnej i roboczej wersji pliku), gdzie różnice graficzne pomiędzy oboma środowiskami są minimalne i wymagają skupienia oraz zwracania uwagi na szczegóły. To jest sytuacja „dojrzała” do incydentu bezpieczeństwa informacji.

Kolejnym przykładem negatywnych skutków utraty uwagi jest wykonywanie poleceń zgodnie z listą kontrolną. Rozproszenie uwagi, czy to przez rozmowę, czy inną czynność, prowadzi do powrotu do pracy, z założeniem „dokończonego” zadania, nad którym pracowaliśmy i przejścia do kolejnego kroku. Jest to naturalna strategia mózgu związana z identyfikacją „widzianych” już dzisiaj sytuacji. To, że zadania te nie zostały dokończone, nie jest tutaj kluczowe w procesie poznawczym. Dlatego jednym z tak efektywnych sposobów na przeciwdziałanie błędom wynikającym z utraty uwagi jest posiadanie szczegółowej listy kontrolnej (rozróżnialne zadania na pierwszy rzut oka), stosowanej wraz ze strategią cofnięcia się o kilka kroków w celu zweryfikowania czy przed utratą uwagi, wszystko zostało poprawnie wykonane.

Ostatecznie, tym co działa w pokonywaniu czynnika utraty uwagi jest zrobienie sobie przerwy. A jeśli sytuacja zdarza się za często, wdrożenie zmiany okoliczności, które wprowadzają czynnik rozproszenia uwagi. Warto przy tym wziąć pod uwagę nasze zdolności poznawcze i uwzględnić zarówno funkcjonowanie naszych zmysłów (tak, hałas i oświetlenie ma znaczenie), jak i interfejs narzędzi z jakimi pracujemy. Dlatego tak ważne jest również dobre zrozumienie i zapoznanie się z narzędziami, jak i dbanie o ich stan. Ciągłe ignorowanie monitów o aktualizację, czy błędów wspiera czynnik utraty uwagi, rozpraszając nas i utrudniając pracę.

Podsumowując, utrata uwagi zdarza się każdemu, niestety równie powszechne jest nietraktowanie jej poważnie. Jako, że zarówno sama, jak i chętnie z innymi elementami Pechowej dwunastki prowadzi do błędów ludzkich, stanowiących symptomy poważnych incydentów bezpieczeństwa organizacji – warto:

1. Znać ograniczenia stosowanych narzędzi (Ochroń ?) i potrafić z nich korzystać, oraz równie ważne jak zaprzestać ich użytkowania, gdy zwyczajnie nasza uwaga jest zbyt rozproszona
2. Posiadać plan zapasowy (Odzyskaj ?), na sytuację, gdy zwyczajnie (np. w wyniku emocji) nie jesteśmy w stanie stosować typowych narzędzi -np. poprosić kogoś innego, zrobić sobie przerwę, uspokoić emocje,
3. Zawsze i wszędzie pamiętać o wartościach jakie wchodzą w grę (Prywatność ⛔) i na ile ignorowanie naszego braku uwagi może im zagrozić (jak np. oddanie się pod kontrolę atakującego metodami inżynierii społecznej)
4. Mieć na uwadze konsekwencje realizowanych czynów (Rozwaga ?), o ile zablokowanie dostępu do jednego z dziesiątków sklepów internetowych może stanowić problem, to jednak zablokowanie dostępu do poczty czy konta bankowego może mieć dużo poważniejszy wpływ na nas.

Na sam koniec, w ramach powiązania doświadczeń życiowych z bezpieczeństwem informacji, pamiętajmy, że najpoważniejszym i najczęściej występującym wyciekiem danych jest ten, który ma miejsce w związku z zagubieniem, kradzieżą lub uszkodzeniem urządzeń z danymi. Zdecydowana większość tych sytuacji ma miejsce z powodu utraty uwagi. Warto zatem o nią dbać. Dla bezpieczeństwa naszych danych i interesów.

Spokojnego dnia!

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

Czwarty czynnik wspierający błędy ludzkie, w ramach Pechowej Dwunastki to brak zasobów. Wygląda całkiem trywialnie i praktycznie daje się zamknąć w prostym stwierdzeniu: „Z pustego to i Salomon nie naleje”. Czyżby?

Brak zasobów, postrzegany najczęściej jako forma ograniczenia zaplanowanego działania, stosuje się do tej samej zasady co ograniczenia, w ogóle. Nasze życiowe doświadczenia podsuwają wiele przykładów, gdzie brak świadomości, że coś nie można, lub że się nie da, nie przeszkodziło faktycznie wykonać zaplanowany zamiar. Na drugim końcu tego problematycznego kija stoi motywacja wraz z jej siłą do działania wbrew rozsądkowi i przesłankom. I tak, prosty w zasadzie problem braku zasobów, który powinien doprowadzić do żądania ich uzupełnienia i oczekiwania na możliwość działania zgodnie z zasadami wprowadza na scenę kreatywność oraz iluzję potencjału, czy to z powodu braku świadomości czy olbrzymiej motywacji.

Przykłady znamy wszyscy:

1. Brak czasu, wpływający na jakość wykonanej pracy, nasze zmęczenie i generujący szkodliwy stres,
2. Brak materiałów, wpływający znowu na jakość pracy i narażający nas na odpowiedzialność za prowizorki,
3. Brak reguł lub ich przekraczanie, które zagraża wartością jakie cenimy, w tym prywatności czy zdrowiu,
4. Brak siły roboczej, wpływający na wszystkie wcześniej wymienione.

W świecie cyber, praktycznie każde zagrożenie jakie znamy związane jest z brakiem zasobów i przekraczaniem obowiązujących standardów w imię kreatywności rozwiązań wynikających z tego braku. Są to:

1. Phishing – temat rzeka, ofiara wyobraża siebie czerpiącą korzyści z czegoś co jest ograniczone czasowo lub dostępnością, jak ekskluzywne treści, przeceny, zyski… dobrze dobrana przynęta jest wysoce skuteczna. Innym przykładem jest brak jasno określonych zasad i ich łamania, przez co przekraczanie ustalonych zabezpieczeń powinno zawsze zostać wykryte i odrzucone, a jednak BEC, czyli „oszustwo na prezesa” przyniosło w tym roku dwukrotnie więcej strat finansowych niż w roku 2018 zgodnie z raportem FBI zamykając się w kwocie około 1,3 miliarda dolarów (https://www.zdnet.com/article/fbi-us-companies-lost-1-3-billion-in-2018-due-to-bec-scams/) .
2. Podatności w oprogramowaniu – słabości kodu, wynikające ze sztywnych ram czasowych, presji na zespołach deweloperów oraz krótkim lub prawie zerowym czasie poświęconym testom bezpieczeństwa tworzonego kodu jest głównym źródłem problemu „podatności dnia zero” czyli błędów występujących w kodzie, którego właściciele właśnie dowiedzieli się o ich istnieniu. Niestety proces naprawy błędów, jest zarówno kosztowny, zajmujący więcej czasu niż ich testowanie, jest również (właśnie z uwagi na presję czasu) przyczyną powstawania nowych błędów, które również będą kiedyś klasy „zero”. Tak prosta mechanika wydaje się absurdalnie irracjonalna, jednak stanowi tło praktycznie każdego procesu rozwoju oprogramowania od małych firm po wielkie korporacje. Często przyczyną nie jest nawet kod, który został napisany przez pracowników firmy, ale sposób w jaki został użyty kod open-source. Statystyki są mocno niepokojące, wskazują, że około 60% kodu ma podatności w komponentach zewnętrznych. Dodatkowo warto pamiętać, że znajomość podatności w jednym publicznym komponencie pozwala atakować wiele celów używających tego komponentu, co zmniejsza koszt ataku i zwiększa jego popularność (https://www.cyberscoop.com/bootstrap-sass-infected-snyk-rubygems/).
3. Brak aktualizacji infrastruktury – podatności typu dnia zerowego są problemem samym w sobie, jednak najbardziej przerażający jest brak zamykania podatności istniejącymi łatami. Oczywiście wymówek jest tyle ile przypadków włamań. Od braku zasobów ludzkich, braku zdefiniowanych przerw serwisowych i planowanych włączeń usługi, przez brak wsparcia producenta dla przestarzałego produktu (ktoś przegapił cykl życia technologii), brak procedur testowych, czy choćby bardziej podstawowy – brak środowiska testowego, gdzie można określić wpływ poprawki na środowisko. Praca na infrastrukturze produkcyjnej w warunkach mocno ograniczonego czasu, czy wręcz incydentu, prowadzi do sprzężenia z czynnikiem stresu i prowadzi do powstania kolejnych błędów.
4. Brak „zapasu” – zarówno począwszy od zasobów eksploatowanych „pod dach”, jak i planów naprawczych, gdzie procedury BCP/DR przechodzą testy dla elementów infrastruktury, nigdy jednak nie były testowane, czy nawet skalowane na większe awarie, dotyczące choćby i 50% całej infrastruktury. W tym segmencie znajdujemy również kopie zapasowe, których brak testów z uwagi na nieistniejące środowisko zapasowe wprowadza czynnik niepewności przy procedurach odtworzenia. Niestety w wielu przypadkach dotyczy to również strategii archiwum danych, gdzie z uwagi na ograniczenia budżetu, brak monitorowania cyklu życia technologii często prozaicznie nie ma na czym odtworzyć danych lub nie ma osoby która jest w stanie daną technologię obsłużyć.

Jak przeciwdziałać czynnikowi ograniczonych zasobów? Choć to brzmi banalnie prosto, takie jest: Trzeba mieć plan. Dotyczy to zarówno zasobów infrastruktury jak i personelu.

Taki plan powinien uwzględniać:

1. konsumpcję zasobów,
2. koszty utrzymania,
3. koszty zaopatrywania w komponenty oraz wymiany,
4. cykl życia zasobów (sam zakup to dopiero początek opowieści),
5. optymalizację użycia zasobów,
6. racjonalne powiązanie z procesem wnioskowania o nowe zasoby.

Dodatkowo plan nie wdrożony, przetestowany i poprawiany regularnie, zwyczajnie nie działa i nie rozwiązuje problemu… co więcej sam stanowi inny problem, iluzji rozwiązania problemu.

Na poziomie osobistym, problem braku zasobów to kwestia ? reakcji na bieżące warunki pracy i ?asertywność w zakresie stawianych wymogów. Nie tylko nie należy zgadzać się na pracę bez zabezpieczenia w warunkach podwyższonego ryzyka, jak również silnie eskalować problem braku reakcji na zgłoszone ryzyka. W praktyce oznacza to, że praca na sprzęcie prywatnym naraża na straty finansowe i kłopoty prawne nie tylko pracodawcę, ale i nas samych oraz naszych bliskich. Praca ponad siły, w warunkach przedłużającego się stresu związana jest z ekstremalnie wysokim kosztem relaksu i naprawiania zdrowia, o ile to w ogóle będzie możliwe. Depresja, brak poczucia wartości czy brak możliwości wpływu na sytuację wokoło siebie jest obecnie problemem cywilizacyjnym wynikającym bezpośrednio ze stanu akceptowania czynnika braku zasobów i promowania „kreatywnego rozwiązania problemu kosztów”.

Gdy zjawisko dotyka zabezpieczeń informacji czy bezpieczeństwa fizycznego – nie ma miejsca na kompromisy. Przekraczanie granicy w pierwszej sytuacji prowadzi do kar finansowych i odpowiedzialności osobistej (tak, ostatecznie zostajemy sami z problemem), w drugiej zaś do utraty zdrowia lub życia swojego, współpracowników lub rodziny (jak np. wypadek samochodowy w wyniku przemęczenia bądź niesprawnego sprzętu).
Dlatego kompetencja ?rozwagi stanowi miarę naszego zaangażowania. Nie można podać uniwersalnego rozwiązania tego problemu, jednak posiadanie sprawnego planu zarządzania zasobami i potrzebami, wraz z komunikacją uwzględniającą realia zastosowanych ograniczeń technologicznych i proceduralnych (?ochroń) jak i zaangażowanego personelu (?szacunek) stanowią niezbędny punkt wyjścia. Warto tutaj zaznaczyć, podsumowując, że procesy, ludzie i technologie w dowolnej konfiguracji zawsze są podatne na problem ograniczonych zasobów, a skuteczne nimi zarządzanie nie polega na „kreatywnym nalewaniu z pustego”, tylko racjonalnej i bazującej na liczbach, ilościowej analizie ryzyka.

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

Pechowa dwunastka dotycząca zjawisk leżących u podstaw błędów ludzkich, zwana również „Dirty dozen of human errors” zawiera zarówno czynniki osobiste jak i organizacyjne. Czasami ten podział nie jest tak prosty do utrzymania, jako że organizację tworzą ludzie, którzy z drugiej strony poświęcają swoje osobiste nawyki na rzecz ładu organizacyjnego. Tak jest z marcowym czynnikiem – bezkrytycznym podejściem do siebie, czy też nadmierną wiarą w swoje możliwości. Jest to zjawisko obserwowane zarówno w przypadku poszczególnych pracowników jak i strategii przyjmowanych w organizacji. Jako, że źródłem problemu ponownie jest percepcja rzeczywistości – warto krótko spojrzeć na problem z perspektywy znanych błędów procesu poznawczego, określanych też jako „cognitive bias”. Do najbardziej użytecznych w tym przypadku należy efekt Dunninga-Krugera, w Internecie, powszechnie identyfikowany z krzywą uczenia się.

U podstaw efektu Dunninga-Krugera leżała seria eksperymentów, która wykazała, że osoby o małym doświadczeniu zazwyczaj przeceniają swoje możliwości, w przeciwieństwie do osób doświadczonych, które w większości przypadków nie doceniają swojej wiedzy. To właśnie ten efekt odpowiada za euforię i autorytatywny ton wypowiedzi osób, które spotkały się z akceptacją swoich opinii na podstawie dosłownie kilku trafnych odpowiedzi. Te osoby, zazwyczaj nie dostrzegają obszaru wiedzy niezbędnego do analizy dowolnego przypadku i generalizują rozwiązania w oparciu o kilka poznanych sytuacji. Takie podejście koncentruje się na dramatycznym poszukiwaniu poparcia doświadczonych ekspertów i potwierdzeniu poprawności prezentowanej opinii jako wiedzy. Niestety, jest to sprzeczne z rzetelną metodą falsyfikacji hipotezy (tym właśnie jest nasza opinia). Dopiero brak kontr-przykładu pozwala uznać ją za wartościową w poruszanym obszarze tematu. Np. czytając 10 recenzji na temat danej technologii można wyrobić sobie konkretną opinię na jej temat. Jednak dopiero posiadanie własnych doświadczeń, porównań do innych technologii, a przede wszystkim, weryfikowanie funkcjonalności, zamiast założenie, że faktycznie występuje tak jak jest opisana przez producenta, jest jednym z przykładów tego efektu w praktyce.

Ogólnie, przykłady można mnożyć, od dobrych praktyk, których celu praktycznie nie rozumiemy, po problemy życia codziennego, w których efekty:

1. Opierania się na naszej pamięci (tak, na pewno wyłączyłem żelazko),
2. Polegania na naszych nawykach (tak przecież zawsze robię i działa),
3. Wyciąganiu błędnych wniosków z oczywistych sygnałów (zdążę na czerwonym),
4. Przecenianiu sił i możliwości (zdążę to zrobić dzisiaj, do końca dnia),
5. Ignorowania ostrzeżeń i przekraczanie wyznaczanych granic (jak raz obejdę ten zakaz, nic się złego nie stanie),

każdy może zidentyfikować w osobistych i służbowych sytuacjach. Co więcej, tendencja do dostrzegania ich u innych, a nie u nas samych, jest również jednym z błędów poznawczych.

Zdarzenia manifestujące się pod wpływem tego zjawiska, najczęściej postrzegane są jako niegroźne. Ma to miejsce nawet gdy doprowadziły one do poważnego incydentu, gdyż zazwyczaj nie są identyfikowane w procesie poszukiwania przyczyn incydentu.

Jak przeciwdziałać efektowi Dunninga – Krugera? Przede wszystkich poznać własne ograniczenia jak i te wynikające ze szczegółowych procesów czy technologii. Konkretne strategie przeciwdziałania zawierają np.:

1. Przygotuj się, że coś może pójść niezgodnie z planem/założeniami
2. Nie podpisuj ani potwierdzaj wykonania pracy, której nie wiesz, czy jest wykonana
3. Sprawdź dwukrotnie wyniki swojej pracy
4. Nie ryzykuj licząc na szczęście bądź w oparciu o „zawsze się udawało”

Te proste porady w ramach systemu #poProstuBezpiecznie dotyczą następujących celów życiowych: #ograniczenia i #zaufanie i powiązanych z nimi kompetencjami bezpiecznej postawy: ? #ochroń i ? #szacunek. W ramach „celów życiowych”, wybór naszych wartości, którymi kierujemy się w życiu nakłada na nasze wybory ograniczenia, które skłaniają nas do poszukiwania pomocy, czy w formie innych osób czy technologii. Budowanie relacji zaufania jest tutaj krytyczne, gdyż zawiedzione zaufanie może sprowadzić na nas poważne konsekwencje. I choć zazwyczaj oba te obszary postrzegamy zewnętrznie, to odnoszą się one do nas samych w takim samym zakresie. Jeśli nie jesteśmy świadomi naszych ograniczeń poznawczych, tego jak i na jakiej podstawie, podejmujemy decyzje, jak nasze nawyki potrafią nas wprowadzić w błąd, ponosimy bardzo bolesne konsekwencje. Czy to jest zbyt duża wiara w systemy hamowania samochodu przy brawurowej jeździe, czy posiadanie 100% pewności, że dany rachunek został opłacony i to wezwanie do zapłaty to jakiś błąd. Rutyna ograniczonego zaufania co do siebie samego jest jednym z najtrudniejszych mechanizmów bezpieczeństwa, który np. pozwala ograniczyć wpływ emocji, niezbędnych do skutecznego ataku phishingowego. Świadomość obecności TU i TERAZ a nie opierania się na pamięci lub wyobrażeniach jest trudna, jednak możliwa do osiągnięcia poprzez trening samoświadomości i uważności, do których zachęcam każdego.

Jak to zrobić? Poznać siebie, swoje ograniczenia, testować się na małych wyzwaniach, o ograniczonych konsekwencjach. Można też sprawdzić się z #projektFeniks i poznać własny katalog ryzyk dla aktywności z udziałem technologii oraz zweryfikować swoje poglądy na temat dobrych praktyk. Najważniejsze jest jednak, zdać sobie sprawę z tego czego nie wiemy, a co zakładamy, że wiemy, choć nie mamy do tego żadnych podstaw. Tak przygotowani, możemy żyć z efektem Dunninga-Krugera i ograniczać jego negatywny wpływ na nasze decyzje.

O efekcie Dunninga-Krugera w cyberprzestrzeni można poczytać tutaj (po angielsku).

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.