Несколько слов в качестве прелюдии к психологии кибербезопасности.
Очень много внимания в ИБ уделяется технической стороне. Но психология выбора решений, формирование предпочтений специалистов остаётся в стороне. Речь о нормальной процедуре, а не о "выигрыша х конкурсов")).
Вот об этом и порассуждаем.

Какие аспекты психологии кибербеза будем рассматривать?
Психологию оценки угроз
Психологию выработки решения по защите
Психологию защиты ИИ
Психологию реагирования на атаки

Для практики применения в работе в рассмотрении только три аспекта применительно к ИБ
Осознание
Выбор
Реакция
Эти три аспекта применительно к решению задач в ИБ.

Применительно к решению задач ИБ
Осознание - это понимание ситуации специалистами ИБ
Выбор - это особенности формирования решения специалистами ИБ
Реакция - это действия специалистов ИБ при решении задач.
Все вышеперечисленное в контексте человеческого восприятия

Психология оценки угроз.
Первое. Осознание.
Есть два варианта психологического восприятия угроз. Один - принятие необходимости противостоять угрозам. Это будет побуждающим мотивом к правильной выработке набора и последовательности действий.
Другой - состояние невозможности найти решение в понимании угроз. Чувство растерянности.
Сосредоточиться необходимо на первом варианте. Угрозы были, есть и будут. Но если вы готовы их осознать и принять как зло, которому надо противостоять, то у вас все получится.

Второе. Выбор
Психологически правильно понимать, что не все угрозы равновероятны и равнозначны. И вы должны быть готовы к изменению их критичности. Это позволит вычленить и ранжировать по степени опасности.

Третье. Реакция.
Заставить себя анализировать ситуацию с определенной дискретностью. Сбор информации должен быть постоянным, анализ дискретным. Выберите комфортную для себя периодичность анализа, но не реже раз в месяц. И тогда реакция на угрозы будет актуальной.

Таким образом, психология оценки угроз включает в себя:
Понимание необходимости отражения угроз.
Осознанное отношение к изменению критичности угроз.
Готовность к аналитической работе по оценке актуальности угроз.
Это не характеристики для СУИБ. Это характеристики восприятия (грамотного восприятия) специалистами ИБ.

Психология выработки решения по защите.
Первый аспект - осознание. Для выработки решения необходимо представить себе какой результат вы хотите получить от внедренного решения по защите. Это основной момент осознания - целеполагание решения. Сформировать для себя конечную цель функционирования СОИБ.

Продолжение следует

Внутренняя готовность к решению задачи защиты лежит в основе выработки концепции СЗИ. Как может выглядеть эта внутренняя готовность?
1. Вы готовы выполнить нормативные требования и считаете это достаточным.
2. Вы готовы учесть информацию об угрозах и построить систему защиты на отражении угроз.
3. Вы готовы сопоставить угрозы, риски, нормативные требования и принять динамику изменения этих параметров как данность.
Какой из вариантов вам более подходит?

Психология кибербезопасности требует от вас готовности к варианту 3, поскольку только он даст полноценное решение.

Продолжая разговор о психологических аспектах кибербезопасности стоит обратить внимание на состояние когнитивной устойчивости сотрудников ИБ.
Это очень важный аспект противодействия атакам. Обращаю внимание - не угрозам, а именно атакам.
Как правило, подразделения ИБ умеют и могут проводить разбор инцидентов, вырабатывать меры по минимизации последствий. Это отработанные методики " aftershok".
Сложнее с работой "outshok". Войти в работу с первых минут и даже секунд выявления атаки. Уложить анализ, формирование решения и его реализацию в сжатый временной промежуток, решать эту триединую задачу параллельно. На это нужна психологическая готовность. Написанием только инструкций такую готовность не выработать. Нужна тренировка, отработка ситуаций, краш-тесты для подразделений, внедрение тренажеров в подготовку персонала.

Ещё один важный аспект психологии кибербезопасности учёт психологии нарушителя. И, пусть не кажется странным, учёт психологической модели, которую нарушитель закладывает в. LLM.
Нарушитель-человек имеет психологические составляющие, связанные с национальными особенностями поведения, религиозными верованиями либо их отсутствием, жизненным укладом и финансовым состоянием.
Вольно или невольно при применении ИИ для атаки он копирует это и в поведение модели при ее настройке.
Для защиты необходим анализ локации хакеров, а также анализ внутренних нарушителей по этим аспектам.
Это позволит более менее точно спрогнозировать психологическую поведенческую модель нарушителя. И совместить ее на следующем шаге с техническими возможностями атаки.
Как результат, адаптировать систему защиты для эффективного отражения

О психологии внутреннего нарушителя. Речь не о разгильдяях. Речь об осознанных нарушениях. По психологии внутреннего нарушителя можно разделить на следующие группы:
1. Сообщник хакера. Сотрудник компании, помогающий нарушителям проводить атаки. У него есть чувство боязни, он осторожно активен.
2. Озлобленный сотрудник. Обиженный, негативно настроенный. Продумавший свои действия, знающий процедуры .
3. Внедрённый нарушитель. Самый опасный из всех. Незамеченный в нарушениях, изучающий процессы. Очень вдумчиво выстраивающий планы.

На какого нарушителя настраивать СОИБ? Сложно и затратно иметь три системы защиты. Практика подсказывает, что выбор надо делать из вариантов 2 и 3. Подробнее о критериях выбора.
Во-первых, нужна статистика выявления внутренних инцидентов.
Во-вторых, оценить эффективность реагирования системы защиты на инциденты - оперативность, действенность, полнота реагирования.

Рассмотрим особенности варианта 2.
Озлобленный сотрудник недоволен оплатой, считает себя обиженным. Или недоволен требовательностью к себе. При этом знает правила работы в информационных системах, имеет налаженные связи в ИТ. Если обладает правами админа, то знает пути обхода системы защиты и слабые места.
Перед атакой будет снижать активность нарушений. Велик риск хищения критичной информации.

Рассмотрим особенности варианта 3.
Внешне лояльный сотрудник, занимающийся целенаправленным сбором информации о системах безопасности.
Не раскрывающий свои намерения, формально старающийся соблюдать регламенты. При этом анализирующий слабые места установленных процедур.
Выявить его помогут установленные попытки получения не нужных для нормальной работы полномочий и нестандартная активность в информационных системах.

Существуют ли реальные продукты для системного поведенческого анализа на отечественном рынке? Ответ - в автоматическом варианте - нет, в автоматизированном варианте - нет, кроме нескольких узконаправленных решений, в не автоматизированном варианте - процессы человекомашинной аналитики ручные.
Надо ли реализовывать такие процессы? Да, надо. И опыт СВО это подтвердил. Враг не чурается внедрения агентов в отечественные компании.

Анонс следующих рекомендаций - что нужно сделать уже сейчас в связи с выходом 117 приказа ФСТЭК