Порушення людського чинника в кібербезпеці в бізнесі

Анотація

Людський фактор залишався недослідженим і недооціненим в інформаційній

безпеці. Наростаючі кібератаки, витоки даних і атаки програм-вимагачів є
результатом помилок, спричинених людиною, фактично 95% усіх
кіберінцидентів спричинені людиною. Дослідження показують, що існуючі
плани захисту інформації не враховують людський фактор в управлінні
ризиками чи аудиті. Корпоративні керівники, менеджери та спеціалісти з
кібербезпеки значною мірою покладаються на технології, щоб запобігти
інцидентам у сфері кібербезпеки. Менеджери помилково вважають, що
технології є ключем до покращення захисту безпеки, хоча дослідження
показують, що нові технології створюють непередбачені наслідки;
незважаючи на це, помилки, викликані технологіями, спричинені людиною.
Сучасний погляд керівників на проблему інформаційної безпеки людського
фактору є занадто вузьким за обсягом і більше, ніж проблема навчання.
Управління складними операціями з кібербезпеки, що супроводжуються
зростаючими проблемами з людським фактором, перевищує досвід більшості
фахівців з інформаційної безпеки; однак керівники неохоче звертаються за
досвідом фахівців з людського фактору, когнітивних науковців і
поведінкових аналітиків для впровадження ефективних стратегій і цілей для
зменшення помилок, спричинених людиною, в інформаційній безпеці.

Ключові слова: інформаційна безпека, кібербезпека, людський фактор,

технологічний детермінізм, людиноорієнтована кібербезпека, помилки,
спричинені людиною, технологія.
1. Вступ
Бізнес-організації продовжують інтенсивно інвестувати в технології для
запобігання складним кіберзагрозам цінного майна, щоб підтримувати бізнес
у звичайному режимі. Навіть з найновішими технологічними можливостями
зловмисники можуть отримати доступ до найважливіших мереж, систем і
даних бізнесу. У звіті за 2015 рік зазначено, що Wells Fargo, Bank of America,
Citibank і JP Morgan Chase інвестували 1,5 мільярда доларів у подолання
нових і постійних кіберзагроз (Morgan, 2016). Люди є найслабшою ланкою у
сфері безпеки та ризику управління (Алаві, Іслам і Муратідіс, 2016; Проктор і
Чен, 2015), оскільки організаціям важко зрозуміти та пом’якшити
поведінкові ризики в інформаційній безпеці. Людські фактори — це
вивчення взаємодії людини з інформаційними системами, мережами та
практиками в середовищі інформаційної безпеки (Nobles, 2015). Організації
використовують інформаційні системи для отримання конкурентної та
стратегічної переваги для досягнення бізнес-цілей; отже, у міру ускладнення
інформаційних систем і технологій люди стають більш сприйнятливими до
помилок (Alavi, Islam, & Mouratidis, 2016). Ландшафт загроз кібербезпеці
постійно розвивається, і підприємства швидко адаптуються, головним чином
за допомогою технологій для протидії кіберзагрозам (Neely, 2017).
Співвідношення інвестицій у технології та людей є надзвичайно
непропорційним і проблематичним, оскільки більшість організацій
пов’язують питання людського фактора з проблемою навчання. Металіду та
ін. (2014) скаржаться, що підприємства шукають технологічні рішення для
вирішення поведінкових ризиків, а не розглядають проблему з точки зору
людського фактору, що підкреслює нехтування розумінням прийняття
рішень людьми та взаємодії кінцевих користувачів з інформаційними
системами.
Одне дослідження показує, що люди (86%) є найпомітнішою слабкістю
безпеки, за нею йдуть технології (63%) (Metalidou, 2014). Загальновідомо, що
помилки, спричинені людиною, становлять понад 80% усіх кібератак, витоків
даних і атак програм-вимагачів (Soltanmohammadi, Asadi, & Ithnin, 2013). У
національній політиці кібербезпеки США та Великої Британії пов’язані з
людиною помилки в кібербезпеці перераховані як значне погіршення
національної безпеки (Dykstra, 2016). Тим не менш, більшість організацій не
спромоглися реалізувати програми з усунення людського фактора в
кібербезпеці (Alavi, Islam, & Mouratidis, 2016). Сама по собі технологія не
усуне людську помилку в кібербезпеці. Щодня організації стикаються з
шквалом загроз кібербезпеці, що вказує на рішучу готовність зменшити
людські помилки та припинити зусилля зловмисників у кібербезпеці (Wirth,
2017). Мета цієї роботи підкреслює складність управління людським
фактором в інформаційній безпеці.
2. Ландшафт загроз кібербезпеці
Згідно зі звітом Symantec, у 2016 році 401 мільйон зловмисних програм
поширювався в Інтернеті, 89% з яких були новими варіантами шкідливого
програмного забезпечення (Wirth, 2017). Звіт Symantec показав, що
нещодавно встановлені пристрої Інтернету речей скануються хакерами
протягом двох хвилин після інсталяції, підкреслюючи швидке сповіщення
про зміни в мережі (Wirth, 2017) і постійне сканування мережі з метою
пошуку вразливостей. Зловмисники використовують використовувати
фішинг і зловмисне програмне забезпечення як вектори загроз, щоб
використовувати людські помилки для отримання доступу до мереж і
критичних даних. Ландшафт загроз кібербезпеці постійно розвивається,
оскільки зловмисники шукають нові вектори, щоб націлитися на нещодавно
виявлені або відомі вразливості та отримати вигоду від них (Wirth, 2017).
Основними галузями, на які нападають кіберзлочинці, є (1) охорона здоров’я,
(2) виробництво, (3) фінансові послуги, (4) уряд і (5) транспорт (Morgan,
2015). Ці галузі орієнтовані на конфіденційну інформацію, насамперед у
сферах охорони здоров’я та фінансових послуг. Дослідники прогнозують, що
глобальна вартість кіберзлочинності в 2019 році сягне понад 2 трильйонів
доларів (Morgan, 2016).
Кіберзлочинці наполегливо користуються гіперз’єднаними системами,
технологічними вразливими місцями, помилками, спричиненими людиною, і
недостатньо підготовленими організаціями. Найпомітнішими кіберзагрозами
за останні 12 місяців є (а) фішинг, (б) шпигунське програмне забезпечення,
(в) програмне забезпечення-вимагач та (г) трояни (Keely, 2017). Загрози без
зловмисного програмного забезпечення стають зброєю вибору для
зловмисників, які прагнуть скомпрометувати облікові дані (Keely, 2017).
Трьома найпоширенішими векторами загрози є (а) посилання та вкладення
електронної пошти, (б) веб-завантаження та (в) уразливість програми (Keely,
2017). З трьох векторів загрози найскладнішою є вразливість додатків,
оскільки організації мають незліченну кількість додатків із неврахованими
вразливими місцями (Keely, 2017). У 2017 році 75% порушень даних було
здійснено зовнішніми зловмисниками, тоді як внутрішні особи здійснили
25% порушень, а організовані злочинні організації здійснили 51% порушень,
а державна діяльність спричинила 18% порушень (Verizon, 2017).
Зловмисники використовують такі тактики (Verizon, 2017):
-81% зломів стався через слабкі або вкрадені паролі
-62% зломів стався через хакерство
-51% порушень стосувалися зловмисного програмного забезпечення
-43% порушень були атаками соціальної інженерії
Дослідження показують, що веб-атаки зменшилися в 2016 році; однак щодня
відбувається 229 000 веб-атак, у яких 76% просканованих веб-сайтів містили
вразливості, а 9% мали критичні недоліки безпеки (Wirth, 2017).
Кіберзлочинці використовують експлойти руткітів як основний вектор атаки
для здійснення зловмисних кібероперацій, на які припадає 60% атак у 2016
році; однак дослідники помітили різке зменшення кількості руткітів, оскільки
кіберзлочинці перейшли до різних методів, таких як соціальна інженерія,
зловмисне програмне забезпечення, фізичні крадіжки та атаки з викупом
(Wirth, 2017).
Дослідження показали, що 80-90% порушень безпеки пов’язані з помилками,
спричиненими людиною, у США та Великобританії (Maglaras, He, Janicke, &
Evans, 2016), на ці дві країни припадає понад 90% зареєстрованих порушень
даних (Wirth, 2017). Зміни, що розвиваються, і загрози в кібернетичному
середовищі прогресують; отже, вимагаючи від організацій розробки цілісних
і динамічних стратегій інформаційної безпеки для викорінення та
пом’якшення загроз і вразливостей (Alavi, Islam, & Mouratidis, 2016). Навіть з
припливом технологічних можливостей у поєднанні з оперативними,
адміністративними та технічними заходами; існує постійна неспроможність
усунути проблеми людського фактора в інформаційній безпеці, що сприяє
поширенню витоків даних, атак з метою викупу та атак соціальної інженерії
на безпрецедентному рівні.
3. Людський фактор
Шульц (2005) заявив про важливість нестачі експертів і дослідження
інформаційної безпеки щодо людського фактору та людської помилки.
Шульц (2005) наголосив на важливості розуміння того, як робоче середовище
та робоча культура впливають на розвиток або нерозвиток обізнаних
працівників, які ведуть продуктивну та належну поведінку, орієнтовану на
безпеку. За словами Шульца (2005), людська поведінка часто залишалася без
уваги в дослідженнях інформаційної безпеки та бізнес-стратегії організації. У
результаті порушення безпеки, спричинені людським фактором,
продовжуватимуть створювати принизливі результати організації,
спричиняючи банкрутство репутації, величезне незадоволення клієнтів,
втрати бізнесу та значні урядові санкції (Buckhead, 2014; Van-Zadelhoff,
2016).
Креймер і Карайон (2007) класифікували помилку людського фактора як
«будь-яку дію, що призводить до небажаного результату» (с. 77). Часто
стороння особа обманом спонукає співробітників до проблемної поведінки,
що може не призвести до несприятливих подій для організації (Van-
Zadelhoff, 2016). Дії та рішення працівника під час виконання службових
обов’язків спрямовані на сприяння досягненню цілей організації, а не на
навмисну участь у діях або поведінці, які можуть завдати шкоди організації.
Результатом часто є людські помилки або помилки в прийнятті людських
рішень, які створюють проблеми інформаційної безпеки (Van-Zedlhoff, 2016).
Ван-Зедлхофф (2016) підкреслив, що людські помилки або людський фактор
є однією з найбільших сфер організаційної вразливості. Рішення для захисту
інформації повинні враховувати людські помилки та неправильне прийняття
рішень як один із найважливіших аспектів інформаційної безпеки (Шульц,
2005). Бізнес-стратегія організації повинна охоплювати створення
ефективного організація, орієнтована на інформаційну безпеку (Van-Zedlhoff,
2016). Це означає створення політики, яка увічнює культуру, коли
співробітники не бажають обходити засоби контролю інформаційної безпеки
для виконання завдань (Albrechtsen, 2007). Ця безпека освіченої культури
полягає в тому, що працівники будуть цілеспрямовано підвищувати свої
знання та занепокоєння щодо важливості інформаційної безпеки таким
чином, щоб вони зрозуміли, що це є аспектом роботи кожного, а не лише тих,
хто має посади та обов’язки в галузі інформаційних технологій (Бакхед). ,
2014). Багато досліджень, які стосуються поведінки кінцевих користувачів,
свідчать про те, що люди приймають необґрунтовані рішення щодо
інформаційної безпеки (Van-Zedlhoff, 2016). Наприклад, користувачі
приймають рішення на основі особистих цінностей через відсутність
навчання та сприйняття загроз або через низьку культуру безпеки в
організації (Van-Zedlhoff, 2016).
Дедалі більше занепокоєння щодо інформаційної безпеки викликає людський
фактор, оскільки людські помилки є основним фактором (а) витоку даних, (б)
атак програм-вимагачів і (в) кібератак (Kraemer Carayon, 2007; Wirth, 2017).
Навіть із запровадженням автоматизованих заходів протидії зловмисники
отримують доступ до цільових систем, використовуючи людські помилки за
допомогою (а) фішингу, (б) соціальної інженерії, (в) зловмисного
програмного забезпечення, (г) невідповідності, (д) поганої політики та ( f)
технологічні вразливості. Враховуючи кількість помилок, спричинених
людиною в кіберопераціях, доводить, що лише технологія не викорінить
помилки, спричинені людиною. Дослідники та практики стверджують, що
вплив зловмисної кіберактивності, націленої на людей, залишається
недостатньо вивченим у існуючих дослідженнях (Mancuso, Strang, Funke та
Finomore, 2014). Манкузо та ін. (2014) визнають, що наявний проміжок у
дослідженнях людської продуктивності та поведінки в кібербезпеці потребує
термінової уваги з боку практиків із людського фактору та експертів із
психології.
Крім того, дослідники підкреслюють, що розуміння поведінки людини в
кібербезпеці є складною проблемою (Агентство національної безпеки, 2015).
Кричущим недоліком у сфері кібербезпеки є відсутність когнітивних
науковців та експертів з людського фактору, які б проводили оцінку
ефективності та поведінки людини в активному середовищі (Агентство
національної безпеки, 2015). Спостереження за діяльністю та поведінкою
людини експертами з когнітивного та людського факторів може дати
практичне розуміння автоматизації та інформаційного перевантаження,
технологічного детермінованого мислення, процедурного узгодження,
оперативного темпу та впливу технологій на робочу силу (Nobles, 2015). З
домінуванням технологій у сфері кібербезпеки науковці з когнітивних питань
та експерти з людського фактору відіграють ключову роль у проведенні
оцінки ефективності та людського фактора, щоб схилити (а) системні
недоліки, (б) вразливі місця, (в) критичні фази операцій з кібербезпеки та (г)
когнітивні перевантаження (Hadlington, 2017; Pfleeger і Капуто, 2012).
Ініціативи, пов’язані з людським фактором, можуть бути зміцнені через
організаційну культуру шляхом впровадження практик і процесів для
підвищення обізнаності про людську діяльність і прийняття рішень
(Hadlington, 2017).
Дослідники вказують, що 50% кібератак у 2014 році були спричинені
людськими помилками, що свідчить про збільшення на 31% порівняно з 2013
роком (Evans, Maglaras, Ho, & Janicke, 2015). Зростаюча складність
середовищ кібербезпеки призводить до втоми від безпеки, занепокоєння
(Masters, 2017; Stanton, Theofanos, Prettyman, & Furman, 2016) та операційної
втоми. Ці явища виникають через збільшення кількості інцидентів і
вразливостей, які легко перевантажують операторів кібербезпеки (Wirth,
2017). Кількість вразливостей системи залишається складною; Мастерс
(2017) натякнув, що кожна система може мати до десяти вразливостей.
Зниження пильності вказує на когнітивне та інформаційне перевантаження,
що призводить до погіршення продуктивності людини.
Підприємства покладаються на інформаційні системи та технології для
отримання прибутку; однак більшість компаній борються з інтеграцією
людського фактора в організаційну культуру (Hadlington, 2017). Не тільки
людський фактор є проблемою для захисту коштовностей, важливої
інформації, інтелектуальної власності та мереж. Дослідники приділяють
особливу увагу незбалансованому фокусу організацій, які використовують
автоматизовані технології, майже не замислюючись про вплив на
інформаційну безпеку (Vieane, 2016). Організаціям необхідно розробити
стратегічні цілі щодо людського фактора в інформаційній стратегії
організації. The
І США, і Велика Британія розглядають помилки, пов’язані з людиною, у
сфері кібербезпеки в політиці на національному рівні (Dykstra, 2016). Тим не
менш, більшість організацій не спромоглися запровадити програми з
усунення людського фактору (Національна науково-технічна рада (NSTC),
2016). Помітною зміною в інформаційній безпеці є спроби зменшити
помилки, спричинені людиною, шляхом залучення психологів, когнітивних
науковців, аналітиків поведінки та експертів з людського фактору для аналізу
та оцінки поведінки кінцевих користувачів у кіберопераціях (Pfleeger &
Caputo, 2012). Pfleeger and Caputo (2012) визнають важливість обліку
людської поведінки під час розробки комп’ютерних систем і технологій, а
також критичність поведінкової науки для підвищення ефективності
кібербезпеки.
Дослідники та експерти з людського фактору рішуче наголошують, що сама
по собі технологія не покращить інформаційну безпеку (Pfleeger & Caputo,
2012; Safa et al., 2015). Таким чином, організаціям необхідно залучати
фахівців з біхевіорізму, щоб досліджувати операції з кібербезпеки з
когнітивної та упередженої точки зору, а також інших поведінкових
факторів, щоб розробити об’єднаний підхід до вирішення проблем,
заснованих на технологіях, процесах і процедурах, для максимального
підвищення безпеки (Pfleeger & Caputo, 2012; Safa et ін., 2015). Дискусія в
суспільстві між професіоналами з кібербезпеки та дослідниками поведінки
рекомендований Pfleeger і Caputo (2012) є прогресивною спробою розпочати
розвиток спільного розуміння між двома дисциплінами. Залучення до сфери
кібербезпеки експертів з людського фактору, когнітивних науковців і
поведінкових аналітиків може потенційно принести користь кібербезпеці,
аналогічно вдосконаленню авіаційної та ядерної енергетики.
4. Теоретичне узгодження
4.1 Теорія запланованої поведінки
Айзен (1991) сформулював основоположну теорію запланованої поведінки
(TPB), яка є однією з найбільш часто використовуваних теоретичних основ
для пояснення багатьох людських факторів, які впливають на поведінкові дії.
TPB зосереджується на теоретичних конструктах, що відображають
мотиваційні та когнітивні чинники індивіда як важливі прогностичні ознаки
поведінкових дій чи бездіяльності (Ajzen, 1991). Теорія запланованої
поведінки припускає, що найближчим детермінантом відповіді є намір
виконати певну поведінку, яка, у свою чергу, сильно залежить від ставлення
та суб’єктивної норми до поведінки та сприйнятого поведінкового контролю
над виконанням поведінки (Ajzen, 1991). . TPB має значне застосування в
цьому дослідженні та дослідженні характеру поведінки працівників,
людського фактору та бізнес-стратегії організації щодо кібербезпеки та
інформаційної безпеки.
Розглядаючи кібербезпеку в контексті TPB, на ставлення працівників до
поведінки суттєво впливають індивідуальні догми щодо результатів
виконання поведінки (поведінкові переконання). Якщо працівники вважають,
що очікувані наслідки виконання певної поведінки є позитивними, цей
працівник матиме заохочувальне ставлення до такої поведінки (Ajzen, 1991).
Це означає, що якщо навчати належній та ефективній поведінці щодо
інформаційної безпеки, її високо визнавати та суттєво винагороджувати, то
працівники будуть більш позитивно ставитися до сприяння та залучення до
відповідної поведінки (Ajzen, 1991). Навпаки, якщо працівники мають
обмежені знання, не мають власних інтересів і сильно розчаровані таким
чином, що створює переконливу віру в те, що поведінка є негативною,
працівники матимуть негативне ставлення до поведінки (Ajzen, 1991).
4.2 Управління змінами
Дослідження Dhillon (2001) щодо організацій наводить переконливі докази
того, що людський фактор та організаційну культуру можна змінити та на
них можна позитивно впливати. Дослідження Dhillon підкреслило важливість
залучення працівників як корисний інструмент для управління змінами.
Dhillon (2001) наголосив на важливості створення організаційної культури
співпраці, яка зосереджується на способах використання інтелектуального
капіталу кожного, що узгоджується з моделлю соціально-технічної системи в
системі праці та культурі праці. Дослідження Dhillion (2001) окреслює
важливість усієї робочої системи, включаючи організаційну культуру та
людські фактори, оскільки це пов’язано з активним залученням управління
кібербезпекою.
Управління змінами — це процес організації, спрямування та виконання змін
в організації шляхом встановлення цілей і показників для завершення
трансформації (Benvenuti, 2011). Зміни на організаційному рівні є складною
справою, оскільки персонал часто чинить опір змінам через побоювання
майбутнього або невідомого (Benvenuti, 2011). Зміни є стратегічною метою
для організацій, щоб протистояти безперервній еволюції; однак опір змінам є
важливим явищем (Georgalis, Samaratunge, Kimberley, & Lu, 2015), яке може
бути руйнівним і контрпродуктивним. Для того, щоб людський фактор був
визнаний надійною наукою, керівники кібербезпеки повинні зазнати
культурних і філософських змін (Hadlington, 2017). Частиною
фундаментальних змін є визнання психології як життєво важливого елемента
кібербезпеки (Hadlington, 2017). Кібербезпека та інформаційна безпека
складаються з багатьох технічних спеціальностей, які створюють бар’єри для
психологів, поведінкових аналітиків, когнітивних науковців і фахівців з
людського фактору (Pfleeger & Caputo, 2012).
Застосування управління змінами є необхідним, щоб усунути перешкоди та
дозволити фахівцям з кібербезпеки оцінити значення, яке спеціалісти з
біхевіоризму та аналітики можуть зробити для зменшення помилок,
спричинених людиною, у кібербезпеці та інформаційній безпеці (Pfleeger &
Caputo, 2012). Оцінка використання поведінкових аналітиків і спеціалістів у
галузі авіації, безпеки та ядерної енергетики може змінити перспективу того,
як психологія розглядається в кібербезпеці (Lee, Park, & Jang, 2011). Без
досвіду психологів-професіоналів помилки, створені людиною,
продовжуватимуть завдавати шкоди організаціям (Pfleeger & Caputo, 2012).
Необхідно змінити філософську точку зору на людські помилки, вітаючи та
інтегруючи професіоналів-психологів у кіберпространство, тому що єдиною
константою в кібернетичному просторі є те, що люди залишаються
найслабшою ланкою (Hadlington, 2012). Культура інформаційної безпеки
може впливати на поведінку кінцевих користувачів в організації, і її слід
розвивати, щоб мотивувати дії користувачів, щоб відповідати вимогам
інформаційної безпеки (Albrechtsen & Hovden, 2010; Buckhead, 2014).
Альфаваз та ін. (2010) провели дослідження культури інформаційної безпеки
та створили структуру комплаєнсу, яка вимагає величезної активності
співробітників.
Культура інформаційної безпеки залежить від вищого керівництва,
пріоритетів, дій і ставлення (Albrechtsen & Hovden, 2010; Buckhead, 2014).
Дослідження Бакхеда (2014) підкреслило важливість створення
організаційної культури, де працівники відчувають особисту причетність до
зменшення ризику інформаційної безпеки.
4.3 Технологічний детермінізм
Технологічний детермінізм — це теорія, яка базується на постійному
створенні та інтеграції нових технологій для спрощення процесів і
покращення якості людського життя та робочих процедур, не звертаючи
уваги на соціальні, культурні чи організаційні наслідки (Nobles, 2015). Клегг і
Бейлі (2007) стверджують, що технологічний детермінізм зосереджений на
технології, яка впливає на людей, революціонізуючи суспільний,
організаційний та економічний прогрес. Технологічне детерміноване
мислення може мати значний вплив на поведінку організації та прийняття
нових технологій (NSTC, 2016). Деякі вчені стверджують, що технологія не
здатна вплинути на людей, натомість вона трансформує суспільство (Clegg
and Bailey, 2007). Авіаційна сфера використовує передові технології для
зниження когнітивних потреб пілотів завдяки використанню автоматизованої
авіоніки та можливостей автопілота, призначених для легкого
маніпулювання пілотами. Передові технології вплинули на авіаційне
співтовариство, сприяючи зменшенню кількості авіаційних подій і аварій
(Nobles, 2015).
Сфера кібербезпеки глибоко демонструє технологічну детерміновану
поведінку шляхом постійної інтеграції нових технологій як засобу
пом’якшення прогресивних постійних загроз (Nobles, 2015; NSTC, 2016).
Поширеною практикою організацій є значні інвестиції в технології
кібербезпеки, щоб компенсувати дефіцит навчених фахівців з інформаційної
безпеки та захистити від постійних загроз кібербезпеці (Кобб, 2016; NSTC,
2016). Надмірна залежність компаній від технологій кібербезпеки призвела
до організаційних і культурних помилок; отже, перенесення захисту
критично важливих мереж, систем і даних на технологію, яка мінімізує роль
фахівців з інформаційної безпеки (Алаві, Іслам і Муратідіс, 2016; NSTC,
2016).
Помилки в кібербезпеці, спричинені людиною, не зменшилися з інтеграцією
нових технологій (Alavi, Islam, & Mouratidis, 2016; NSTC, 2016). Існує
дефіцит досліджень помилок, спричинених людиною, та інтеграції
технологій у кібербезпеку. Недооцінка людського фактору в кібербезпеці
ілюструє розрив між теоретичними дослідженнями та організаційною
практикою щодо інформаційної безпеки NSTC, 2016). Операції з
кібербезпеки стають дедалі складнішими, подібно до операцій авіації та
атомної енергетики. Як авіаційна, так і атомна енергетика використовують
наукові основи людського фактору, цілісно оцінюючи вплив технологій,
операцій, процедур і завдань, прийняття рішень і навколишнього середовища
на фахівців з інформаційної безпеки (Lee, Park, & Jang, 2011). . Оцінка
людського фактора може бути використана організаціями для визначення
проблемних областей для технічних і нетехнічних працівників (Aoyama,
Naruoka, Koshijima, & Watanabe, 2015; Hadlington, 2017). Технологічне
детерміноване мислення заважає підприємствам оцінювати людський фактор
і збільшує залежність від технологій (Nobles, 2015) для підтримки цілей
кібербезпеки (Hadlington, 2017).
4.4 Кібербезпека, орієнтована на людину
У цей час існує дефіцит наукових досліджень орієнтованої на людину основи
кібербезпеки, яка сформувалася з теорії проектування, орієнтованої на
людину. Проте компанія з кібербезпеки зосереджується на ризиках,
пов’язаних з поведінкою, в інформаційній безпеці за допомогою нової
парадигми, відомої як кібербезпека, орієнтована на людину (Bureau, 2018;
ForcePoint, 2018). Структура кібербезпеки, орієнтована на людину, ставить
людей у центр практики кібербезпеки та інформаційної безпеки, аспектів
дизайну та інтеграції технологій як спроби зменшити орієнтовані на
поведінку ризики шляхом обліку психологічних зусиль (Бюро, 2018;
ForcePoint, 2018). Школа, дослідники та практики беруть участь у дискурсі та
розробляють дослідницькі проекти для подальшого вивчення орієнтованої на
людину кібербезпеки як теорії (Бюро, 2018). Дослідники та практики
працюють над підвищенням кібербезпеки, орієнтованої на людину, як
стандартного підходу до інформаційної безпеки та кібербезпеки (Бюро,
2018).
За даними ForcePoint (2018), кібербезпека, орієнтована на людину, забезпечує
основу для отримання глибокого розуміння людської поведінки та причин,
чому люди приймають певні рішення під час взаємодії з комп’ютерними
системами. Розміщення людей у центрі — це особливий підхід, оскільки
організації вважають за краще приділяти підвищену увагу технологіям, що
призвело до недооцінки поведінкових і когнітивних наук у сфері
інформаційної безпеки та кібербезпеки (ForcePoint, 2018). Поширення
орієнтованої на людину кібербезпеки вимагає залучення експертів з
людського фактору, поведінкових аналітиків і когнітивних спеціалістів до
інформаційної безпеки та кіберсфери (ForcePoint, 2018). Підхід до
кібербезпеки, орієнтований на людину, зміщує центральну точку зору з
технологій на людей, що трансформує існуючі організаційні практики
(ForcePoint, 2018).
5. Людські зриви в інформаційній безпеці
Багато факторів підірвали інформаційну безпеку (Hadlington, 2017); як
наслідок збільшення ризиків і загроз для організацій (Бюро, 2018). Ініціативи
та зусилля, пов’язані з людським фактором, мають пріоритет перед
конкуруючими вимогами та враховуючи, що керівники організацій не
розуміють і не цінують людський фактор як науку (Hadlington, 2017).
Недооцінка людського фактора заважає дослідникам і практикам визначати
сферу людської поведінки під час взаємодії з інформаційною системою
(Hadlington, 2017). Іншим важливим фактором, який поширює людські
помилки в кібербезпеці, є брак фахівців з інформаційної безпеки (Cobb,
2016). До 2019 року дослідники прогнозують дефіцит фахівців з кібербезпеки
на понад 1 мільйон робочих місць у сфері кібербезпеки (Кобб, 2016), що
завадить організаціям досягти оптимального рівня готовності до протидії
зловмисним діям. Мерзенна кіберактивність продовжує зростати з кожним
роком; отже, фахівці з інформаційної безпеки стикаються з підвищеним
темпом роботи, стресом, втомою та виснаженням через брак персоналу
(Wirth, 2017). Зростаюча складність вимог інформаційної безпеки в
поєднанні з постійною інтеграцією технологій, нормативними вимогами,
виникаючими та постійними загрозами та непропорційною залежністю від
технологій негативно впливає на практику інформаційної безпеки та знижує
здатність організацій досягти оптимального рівня, оскільки наука, що
включає людський фактор, є пізніше (Pfleeger & Caputo, 2012).
Порушення людського фактора в кібербезпеці поширюється акторами загроз,
які націлені на слабкі місця кінцевих користувачів у команді «людина-
машина» (Sawyer & Hancock, 2017). Наприклад, оскільки люди
використовують обчислювальні можливості та системи, аналогічно будь-якій
ситуації партнерства, один партнер матиме сильніші тенденції
продуктивності, ніж інший (Sawyer & Hancock, 2017). У випадку об’єднання
«людина-машина» Сойєр і Хенкок (2017) постулюють, що ефекти парадоксу
поширеності знижують продуктивність людини в результаті надмірної
довіри, недовіри, самовдоволення та неправильного використання. Ці
парадокси поширеності підвищують уразливість кібербезпеки, насамперед
через людський фактор.
6. Актуальність організаційної платформи
Виконавчі керівники повинні уповноважити платформи у формі комітетів,
програм, рад або робочих груп для усунення помилок, спричинених
людиною, у практиках інформаційної безпеки та операціях кібербезпеки.
Використання платформ для роботи з фахівцями з людського фактору,
когнітивними вченими та психологами є життєво важливим для розуміння
операційної складності, організаційної

слабкі місця, критичні фази безпеки та необачне ставлення людей. У сфері

авіації дослідники визначили небезпечне ставлення, яке сприяло авіаційним
інцидентам і аваріям. Фахівці з інформаційної безпеки та кібербезпеки
повинні використовувати найкращі практики з інших галузей для
пом’якшення поведінкових помилок, які призводять до кібератак, атак
програм-вимагачів або витоку даних. Дослідники виступають за те, щоб
професіонали з інформаційної безпеки та кібербезпеки використовували
результати існуючих досліджень людського фактору для культивування
оперативних практик для мінімізації помилок, спричинених людиною
(Vieane, 2016).
Розвиток області інформаційної безпеки випереджає здатність дослідників
розвинути всебічне розуміння взаємодії людини з інформаційними
системами. У звіті IBM за 2015 рік наголошується, що людський фактор є
причиною 95% інцидентів кібербезпеки в результаті непродуманих методів
роботи, незнання, поганого програмного забезпечення, використання
шкідливих програмних кодів, незахищених мережевих з’єднань і
неадекватного зв’язку навколо конфіденційної інформації (Gyunka &
Christiana , 2017). Дослідники та практики вважають вивчення поведінки
людини в інформаційній безпеці критично важливою сферою, оскільки люди
вважаються найбільш вразливою ланкою в кібербезпеці (Gyunka & Christiana,
2017). Незважаючи на те, що організації використовують технології для
кібербезпеки з безпрецедентною швидкістю, неврахування людських
факторів зводить нанівець здатність використовувати технологічні
досягнення (Gyunka & Christiana, 2017). Гюнка та Крістіана (2017)
стверджують, що суб’єкти загрози націлені на вразливі місця людського
фактору, оскільки це менш складно, ніж використання технологій.
Динамічний характер ландшафту кіберзагроз є обтяжливим, оскільки
організації не в змозі створювати інженерні рішення для протидії здатності
учасників загроз генерувати нові загрози та технології (Klimoski, 2016).
Пол і Дікстра (2016) стверджують, що кібербезпека та шляхи соціальної та
поведінкової науки залишаються недооціненими та недослідженими, що
вказує на кількість помилок, пов’язаних з роботою людини в кібербезпеці.
Ще однією складною проблемою є труднощі в оцінці та вимірюванні втоми,
розчарування та когнітивного навантаження в сфері кібербезпеки, що може
призвести до технічних помилок і підвищеного ризику (Paul & Dykstra, 2017).
Брак наукових досліджень щодо використання відповідних платформ для
вирішення проблеми людського фактору в кібербезпеці ще більше зміцнює
залежність від технологій. Приватним і державним організаціям необхідно
співпрацювати, щоб розробити платформи та можливості оцінки для
виявлення недоліків людського фактора в операціях з інформаційної безпеки
та кібербезпеки (NSTC, 2015).
Коффі (2017) стверджує, що існуючі тренінги з кібербезпеки та обізнаність є
обмеженими за обсягом, оскільки навчальні програми не можуть змінити
поведінку кінцевих користувачів. Для того, щоб організації впливали на
поведінку кінцевих користувачів, необхідно створити середовище , яке
перетворює організаційний клімат на активне навчання, щоб увічнити
покращення культури (Coffey, 2017).
Ініціатива Міністерства оборони (DOD) щодо відповідності культурі
кібербезпеки (DC3I) існує як інституційна платформа для просування
культури для покращення людського фактору, зосереджуючись на
неадекватних повноваженнях, архітектурі та можливостях (Міністерство
оборони, 2015). DC3I є важливою концепцією, яка також стосується
приватних організацій. На жаль, цілеспрямовані організаційні зміни,
здійснені DC3I, не дали жодних результатів через відсутність оцінки
організаційних змін (Міністерство оборони, 2015). Міністерство оборони, як і
багато приватних організацій, прагне зменшити людські помилки в
кібербезпеці шляхом надмірних інвестицій у технології (Міністерство
оборони, 2015). Без сумніву, ця практика є згубною, оскільки організації
непропорційно інвестують у технології та нехтують основними
поведінковими та когнітивними проблемами.
7. Рекомендації та висновок
Дослідження в галузі безпеки можуть допомогти зрозуміти, чому користувачі
інформаційної системи не дотримуються засобів контролю інформаційної
безпеки (Young & Leveson, 2013). Дослідження Лоутона (1998) було
зосереджено на порушеннях правил і мотиваціях, які наводять порушники.
Це дослідження показало, що в більшості випадків порушення відбувалися
ненавмисно, оскільки працівники були віддані виконанню завдання (Lawton,
1998). Дефіцит часу, робоче навантаження та використання «швидшого
способу роботи» були одними з проблем людського фактору, які впливають
на ризиковані дії співробітників в організаціях (Young & Leveson, 2013;
Buckhead, 2014; Lawton 1998).
Безсумнівно, людський фактор є науковою галуззю, яка недостатньо
використовується та недооцінюється в інформаційній безпеці та кібербезпеці
(NSTC, 2016). Участь людини в інформаційній безпеці є надто неоціненною
для керівників організацій, щоб продовжувати ігнорувати важливість
психологічних спеціалістів для аналізу поведінки людини в інформаційній
безпеці (Агентство національної безпеки, 2015). Відсутність досліджень
людської поведінки в кібернетичній та інформаційній безпеці ще більше
посилює неправильне розуміння людиною прийняття рішень під час роботи з
інформаційною системою. Ландшафт загроз кібербезпеці розширюється з
кожним днем, оскільки зловмисники розробляють складні методи для
здійснення мерзенних дій.
Технологічне детерміноване мислення впливає на постійні інвестиції в
технології; однак людські помилки залишаються основним фактором витоку
даних, кібератак і атак програм-вимагачів (Hadlington, 2017). Багато
спеціалістів із безпеки не знайомі з наукою про людський фактор і
прирівнюють людську помилку до проблеми навчання та обізнаності, що є
помилковим уявленням (Агентство національної безпеки, 2015). Таким
чином, для оптимізації діяльності людини в інформаційній безпеці необхідні
такі рекомендації (Clark, 2015; Georgalis et al., 2015; Lee, Park, & Jang, 2011;
Paustenbach, 2015):
a) Зверніться за досвідом спеціалістів з людського фактору та
поведінкових аналітиків
b) Уповноважити виконавчий комітет розглядати питання людського
фактору в інформаційній безпеці
c) Проведіть оцінку ризику виключно на основі людських факторів
d) Інтегрувати цілі людського фактору в стратегію інформаційної безпеки
e) Зробіть людей зосередженими на основах інформаційної безпеки та
кібербезпеки
f) Використовуйте уроки людського фактору, отримані в авіаційній,
ядерній енергетиці та галузі безпеки
g) Розробити програми навчання та підвищення обізнаності, щоб
включити гейміфікацію
h) Навчіть персонал людському фактору
i) Розробити показники для фіксації змін після впровадження цілей
людського фактору
j) Спонсоруйте дослідницькі проекти людських факторів спільно з
університетами та коледжами
k) Інтегрувати навчальний матеріал про людський фактор у програму
сертифікації інформаційної безпеки
l) Підтримуйте коледжі та університети для розробки та викладання
курсів людського фактора
Цей аналіз показав, що людський фактор в інформаційній безпеці продовжує
страждати від широко поширених і системних проблем (Georgalis et al., 2015;
NSTC, 2015). Погане управління людським фактором в організаціях збільшує
ризики та сприйнятливість до зловмисної кібердіяльності (Georgalis et al.,
2015). Наведені вище рекомендації надають організаціям основу для
глибшого вивчення людської поведінки з метою зменшення ризику,
пов’язаного з поведінкою. Існує ціла низка проблем, пов’язаних із людським
фактором в інформаційній безпеці, що потребує масштабного управління
змінами, щоб викорінити людські помилки, яким можна запобігти (Georgalis
et al., 2015). Професіонали з інформаційної безпеки повинні мати глибоке
розуміння та оцінку людського фактора, аналогічно лідерам в інших галузях,
щоб зупинити збереження недоліків інформаційної безпеки, прирівнюючи
помилки, викликані людиною, як проблему навчання та технології, коли в
насправді, це неправильне управління людським фактором. Вжиття
агресивних і стратегічних дій у дослідженні поведінкових ризиків, що
супроводжується всебічними науковими оцінками, може дати дані, які
висвітлять значні порушення, які призводять до помилок людини.

Безпека блогосфери
Безпека блогосфери
Євген Докукін aka MustLive

Сьогодні Інтернет розвивається дуже стрімко, і блогосфера є невід’ємною

частиною цього процесу. І в той же час знаходиться в авангарді розвитку
Мережі, тому що розвивається найбільш динамічно - кожні півроку кількість
блогів подвоюється. За останніми даними, розмір блогосфери становить
понад 70 мільйонів блогів. А за даними за 2007 рік, в середньому щодня
створюється 120 000 нових блогів (або 1,4 блога щосекунди).

Водночас блоги є найактивнішою частиною Інтернету. У 2007 році в

середньому публікувалося 1,5 мільйона повідомлень на день (або 17
повідомлень на секунду). А деякі блоги навіть входять до 50
найпопулярніших світових новинних веб-ресурсів.
І всім власникам блогів, як і всім власникам сайтів, необхідно подумати про
безпеку своїх ресурсів. Безпека – важлива складова життя будь-якого веб-
ресурсу, про яку часто забувають (особливо блогери). А рівень безпеки
сучасних мереж дуже низький.

Web 3.0 і безпека.

Як я писав у своїй статті Web 3.0 , опублікованій нещодавно на моєму сайті

українською та англійською мовами, де ви можете з нею ознайомитися,
безпека є важливою частиною Web 3.0.

Зараз, в епоху Web 2.0, починають думати про майбутнє Інтернету – про Web
3.0. І тому зараз (у 2006 і 2007 роках) ця тема піднімається. Я сам почав
думати про третій Інтернет ще на початку 2006 року. І не просто думати, а
робити реальні кроки для наближення ери Web 3.0. І я працюю у двох
напрямках – які відношу до складових Web 3.0.

Я бачу дві складові Web 3.0: інновації та безпеку.

Я вважаю мій онлайн-інтерпретатор MustLive Perl Pascal Programs Interpreter

частиною інновацій . Це перший у світі онлайн-інтерпретатор і перша
програма Web 3.0.

Я називаю безпеку веб-сайтів і веб-додатків складовою безпеки. Займаючись

веб-безпекою протягом 2005, 2006 та 2007 років, я аналізував поточний стан
безпеки в Інтернеті. І я можу констатувати, що 90% сайтів мають уразливі
місця (згідно з моєю статистикою). Починаючи з відкриття мого проекту
безпеки в середині 2006 року, я почав інтенсивно займатися веб-безпекою та
соціальним аудитом (знаходити вразливості на сайтах і повідомляти про них
адміністраторам).

Безпека сучасних мереж дуже низька. Як з урахуванням поточних проблем

користувачів (таких як спам, фішинг, віруси), так і з урахуванням того, що
90% сайтів мають уразливості безпеки. Тому рівень безпеки має бути значно
покращений – третя мережа має бути безпечнішою за другу.

Безпека блогів, важливого компонента всесвітньої павутини, також потребує

моніторингу, оскільки кількість блогів величезна і швидко зростає, а також
величезна кількість загроз безпеці, яка зростає, а не разом із зростанням
блогосфера.

Проблеми безпеки блогів можна розділити на дві категорії:

1.Внутрішні джерела загроз.

2. Зовнішні джерела загроз.
Внутрішні загрози включають:
1. Уразливості програмного забезпечення блогу.2. Особиста безпека власника
блогу.

Зовнішні загрози включають:

1. Коментуйте спам.
2. Відстеження спаму.3. Сполучники.

При цьому самі блоги можна розділити на дві групи: блоги-сайти (на
незалежному хостингу) і блоги-щоденники (на блог-сервісах). Різні типи
загроз з'являються в обох групах блогів і мають свої особливості в кожній з
груп.

Щодо зовнішніх загроз. Усі блогери стикаються зі спамом у коментарях. І

залежно від використовуваних інструментів ця проблема вирішується за
рахунок часу власника блогу. Тільки використовуючи активні інструменти
безпеки, такі як Captcha, ви можете реально боротися зі спамом. Але навіть
це не вирішить проблеми – інше я скажу наприкінці доповіді. Трекбек-спам
також поширюється все більше і більше, але в основному з ним стикаються
власники блогів, і для боротьби з цією проблемою можна використовувати
різні методи. Що стосується сплогів (спам-блогів), то ця проблема теж стає
актуальною. За останніми даними, щодня утворюється 3000-7000 нових
складів. І самі власники блогів не можуть з цим боротися - цим займаються
пошукові системи (в тому числі і пошукові системи блогів), які відсіюють
посилання зі своїх індексів.

Щодо внутрішніх загроз. Тобто підтримувати особисту безпеку - в цьому

випадку свого комп'ютера блогер, як і будь-який власник сайту, повинен
постійно. Використовуйте надійний браузер, антивірус (зі свіжими базами) і
брандмауер. Це загальновизнана рекомендація.

А от щодо безпеки движків блогів, то тут ситуація сумна. Вони дуже

вразливі, і в таких двигунах регулярно знаходять нові дірки. Я сам регулярно
знаходжу діри в движках блогів (зокрема, в WordPress). І тут блогерам
потрібно уважно стежити – як мінімум оновлювати движок до нових версій, а
якщо є можливість, то ще й слідкувати за багтреками і коли з’явиться
інформація про дірку, самі її виправлять. Найсерйозніші блогери можуть
замовити безпечний аудит свого сайту.

Що стосується блог-сервісів і блог-движків, то користувачі цих двох груп

блогів різною мірою стикаються з проблемами вразливості серверного
програмного забезпечення. На блог-сервісах адміністратори стежать за
безпекою, тому цей аспект не стосується цієї категорії блогерів, але
власникам блог-сайтів необхідно самим стежити за безпекою своїх блогів (в
тому числі не забувати оновлювати движок). Якщо власники блог-сервісу не
використовують свій движок для створення блогів, а використовують якийсь
популярний движок, то це підвищить вимоги до безпеки (оскільки проблеми
цього движка стосуватимуться і власника цього блог-сервісу).

На блог-сервісах в Інтернеті та Унеті регулярно зустрічаються уразливості,

про що я не раз писав у своїх новинах (наприклад, на Google Blogger). Також
я сам не раз знаходив уразливості на подібних сервісах (про які повідомляв
або повідомлятиму їх адміністраторам). Зокрема, я знайшов уразливості на:
dnevnik.bigmir.net, blog.i.ua, blog.meta.ua, blogs.internetua.com і вчора навіть
на blog.korrespondent.net. До речі, про дірку на blogs.internetua.com (один з
інформаційних спонсорів Blogcamp) я вже повідомляв представників Internet
UA на початку жовтня, а також нагадував їм два дні тому, коли писав їм про
нова діра на їх головному сайті. Щодо движків блогів, то я сам неодноразово
знаходив у них уразливості, а хакери щодня знаходять нові діри. Тому цей
тип серверних додатків дуже вразливий і постійно привертає увагу хакерів.

Статистика безпеки Інтернету та Unet.

Згідно з останніми даними компанії Sophos, яка працює в сфері

інформаційної безпеки, Росія і Україна займають лідируючі позиції за
кількістю веб-сторінок, заражених вірусами. Серед них як сайти, створені
злочинцями, так і зламані сайти.

Перше місце за кількістю вірусів посів китайський сегмент Інтернету. 44,8%

від загальної кількості заражених сторінок виявилися в Китаї. Друге місце
посіли Сполучені Штати Америки з 20,8% заражених сторінок. Третє місце з
показником 11,3% посіла Росія. Четверте місце зайняла Україна з показником
7,7%. Крім того, у 2006 році Україна посіла п'яте місце з 3,2% веб-сторінок,
які поширюють віруси. що. збільшення кількості заражених сторінок у 2,4
рази за останню годину.

Також я наведу вам інформацію про хакерську діяльність в Уанеті. На основі

звітів, які я регулярно публікую на своєму сайті. На даний момент я єдиний,
хто розслідує хакерську діяльність в Уанеті. Наведу лише загальні цифри,
детальна інформація є на моєму сайті.

У першому півріччі 2007 року хакери Уанету діяли активніше, ніж у 2006
році. За цей час було зламано 5 сайтів (і всі вони були політичними). Чим
можна пояснити передвиборчу атмосферу. Ці дані зібрані з відкритих
джерел, а враховуючи те, що мало хто поширює факт злому сайту, цифри
невеликі (а реальні цифри більші, і більшість зломів залишається в тіні).

Для порівняння. за весь 2006 рік в Уанеті було здійснено 5 атак на сайти. Це
дуже мала кількість порівняно з іншими регіонами Мережі (де вона на
порядок і навіть на кілька порядків вище). Проте лише в першій половині
2007 року кількість атак була порівнянна з кількістю за весь 2006 рік.
збільшення динаміки в 2 рази (а до кінця року може зрости ще більше). Тож
хакерська активність в Уанеті невпинно зростає. І власникам сайтів
необхідно це враховувати.

Зауважу, що за поточною інформацією за друге півріччя 2007 року мною

виявлено 5 випадків атак на сайти. А до кінця року може суттєво зрости ще
більше. Про один із інцидентів, який став відомий у другому півріччі (і
пов’язаний із темою блогів), розповім детальніше. Про те, що російський
хакер зламав Bigmir ще в червні, про що опублікував статтю в журналі
Hacker.

Крім того, злом був складним. Хакер, використовуючи вразливість на сайті

Bygmyrov blog.korrespondent.net (використовує движок WordPress, в якому я
сам регулярно знаходжу вразливості), отримав доступ до адмінки. Як
адміністратору кореспондентських блогів, так і головному адміністратору
Bigmir. А отримавши доступ до бази, викрав дані про Бігмировську Аську (з
метою перепродажу коротких номерів). Цей приклад показує, що вам
потрібно постійно стежити за безпекою своїх сайтів, у тому числі блогів.

В результаті Bigmir тимчасово закрив блог-сервіс (після злому). І виявив це

зовсім недавно. що. Від недбалого ставлення до безпеки постраждали як самі
мешканці Бигмирова, так і користувачі цього блог-сервісу. Є питання, чому
Bygmyrov не стежив за безпекою (а це їх норма, оскільки я знайшов
уразливості на багатьох їхніх сервісах), і чому вони не оновили WordPress,
чому не моніторили повідомлення про дірки в ньому (про що Регулярно
пишу в новинах ) . Риторичні питання. Більше того. Вчора ввечері, під час
підготовки цього звіту, я зайшов на цей блог-сервіс і виявив, що Bigmir його
вже відкрив, я знайшов уразливість на цьому сайті менш ніж за хвилину (і це
після того, як вони залатали діри на сайті з червня). Уразливість менш
небезпечна, ніж згадана раніше, але все ж менш серйозна.

Висновок

Підводячи підсумок, зазначу, що рівень безпеки Інтернету в цілому, і Уанету

зокрема, дуже низький. І з року в рік ситуація не дуже покращується.
Потрібно багато працювати, щоб змінити цю ситуацію і підвищити рівень
безпеки мережі (чим я займаюся щодня). У тому числі навчати власників
сайтів і веб-розробників, підвищувати грамотність у питаннях безпеки, щоб
вони приділяли цьому більше уваги. Одним із елементів цієї виховної
діяльності є моя доповідь. Успіхів вам і безпеки вашим сайтам.

Month of Bugs in Captchas - Місяць помилок у Captchas.

Також я анонсую свій новий проект, який відбудеться наступного місяця. Це

попереднє оголошення – наступного тижня я офіційно опублікую цей проект
на своєму сайті. І цей проект так чи інакше вплине на всіх блогерів,
власників сайтів, веб-розробників та Інтернет в цілому.

Я оголошую новий Місяць Богів - після проведення Місяця Богів у

пошукових системах у червні 2007 року я оголошую свій новий проект.
Листопад буде місяцем богів у Captchas. В інтернеті багато різних капч, і
майже всі вони вразливі. А зловмисники можуть обійти їх для
автоматизованих атак на сайти — для надсилання спаму через форми або
надсилання спаму в коментарях, для атак грубої сили, для автоматичних
реєстрацій на сайтах і форумах, а також для іншої автоматизованої та
шкідливої діяльності. Капчі створюють лише ілюзію безпеки.

І тому в листопаді буде Апокаліпсис для капчі. Багато капчі будуть зламані
до смерті. Вони помруть, щоб переродитися в нові, більш безпечні капчі. Час
настав.