Как ИБ-специалисты могут использовать знаменитую игру для обучения сотрудников
Говорить с сотрудниками о безопасности бывает сложно, особенно если в компании высоки риски инсайдерских угроз. Могут ли игры на социальную дедукцию сломать этот лёд? Могут, считают авторы блога Security through education. И рассказывают как это сделать, делая выводы на примере игры Among Us. Приводим перевод статьи.
Считается, что первая игра на социальную дедукцию была создана россиянином Дмитрием Давыдовым на факультете психологии МГУ в 1986 году. Это «Мафия», впоследствии известная как «Оборотень». Разрабатывая ее, Давыдов пытался совместить психологические исследования с преподавательскими обязанностями.
Концепция получила развитие в многочисленных «настолках», карточных и ролевых играх (для тренингов и просто вечеринок). Перевод увлечения в видео- и онлайн-формат привели к мировой популярности игр. А Among Us и вовсе взорвала интернет.
В Among Us «хорошие» участники пытаются выполнить игровую задачу (вернуться на космическом корабле домой). Но некоторые члены команды – самозванцы-саботажники (в терминах игры «импостеры» от англ. imposter). Их цель вывести остальных из игры. Чтобы не быть обнаруженными, самозванцам нужно плести интриги и устраивать саботажи.
Внутри игровое общение ведется с помощью голосового чата. Каждый раз, когда игроки «обнаруживают тело», они созывают «экстренное собрание», чтобы пообщаться и проголосовать, кто из них самозванец.
Эти встречи – один из немногих способов для добропорядочных игроков собрать информацию, кто же самозванец. А для последнего – распространить ложь и отвести недоверие от себя.
Игра, если рассматривать ее с психологической точки зрения, – демонстрация принципов социальной инженерии, с которой мы сталкиваемся каждый день.
Исследователи провели несколько игр в разных группах людей: знакомыми друг с другом и незнакомыми. Их просили обращать внимание, что влияло на выигрыш или проигрыш, на самые эффективные способы проверить подозреваемых, на то, какие приёмы социальной инженерии самозванца оказывались самыми действенным.
Так, самым эффективным для самозванца было притвориться новичком, который нуждался в помощи или не понимал, что делать. Так, он намеренно совершал ошибки и с благодарностью принимал помощь, чтобы завоевать доверие. Он старался выглядеть максимально безобидными, у него всегда было фальшивое или настоящее алиби. Они держали язык за зубами, когда это было нужно. Так, они позволяли другим игрокам даже с более высоким игровым статусом вызвать подозрение.
Исследователи сделали несколько интересных выводов на основе игры. Наиболее эффективные игроки – это касается как добропорядочных, так и самозванцев – хорошо знают правила и игровое поле. Т.е. представляют, куда лучше перемещаться, какие есть секретные маршруты, каково время на выполнение той или иной игровой задачи, способ ее выполнения. Мало того, они использовали это знание умело и творчески, как для выявления людей, которые вели себя ненормально и вызывали подозрения, так и в фазе «допроса».
Но всё же информация дает больше преимущество для «добропорядочных» игроков, поэтому самый эффективный приём самозванца, чтобы лишить других игроков информации, – саботаж. Он выключает свет, чтобы отвлечь внимание игроков. Часть уходит «чинить освещение» и не знает, что происходит на другом конце поля, где самозванец продолжает совершать игровые злодейства, а после – возлагает вину на кого-то другого.
Так какие выводы из этой «детской» игры на социальную дедукцию специалисты по безопасности могут применять и в реальной корпоративной жизни? Например, такой: инстинктивно обнаружить лжеца почти невозможно. Многочисленные исследования с более чем 24 000 участников показали, что средняя точность обнаружения предателя составила 54%.
Имейте в виду эту статистику, если вы привыкли доверять своему чутью «видеть обманщика за версту».
Так что можно сделать для снижения риска инсайдерских инцидентов?
Информация – это всё. Ваши сотрудники, особенно руководство, должны знать политики безопасности компании очень хорошо. Все члены команды должны быть в курсе, чем занимаются сотрудники других отделов, что для них «нормальное» поведение, а что нет. Сотрудников нужно приучать делиться своими сомнениями.
Доверяй, но проверяй. Самозванцы побеждали очень быстро, если игроки не договаривались друг с другом и не пытались проверить ложь. То же самое может случиться в компании. Когда происходит что-то подозрительное, общение между отделами должно быть открытым. Кроме того, должна быть организована чёткая обратная связь, по которой люди не боялись бы сообщать о проблемах и угрозах безопасности.
Разграничение доступов и мониторинг информации. Да, информация – это всё. И мы только что говорили, что команде (читайте, сотрудникам) нужна информация, чтобы выявлять самозванцев (читайте, инсайдеров). Но есть пределы осведомленности. Так, сотрудникам не нужно знать в деталях особенности организации технической инфраструктуры компании. Разграничение доступа очень важно, но даже так доступ к критической информации должен быть под контролем.
ИБ-специалистам часто сложно объяснить непрофессионалам, почему важна безопасность. Поэтому отсылки к известным играм на социальную дедукцию, таким как Among Us, позволяют сделать это более доступно. Можно даже собрать сотрудников и проиграть несколько раундов, чтобы они увидели, как легко обмануться и не увидеть самозванца в коллективе. Так вы еще получите удовольствие от обучения команды, а люди будут рады общению.