CC BY
39DOI 10.24412/2076-1503-2021 -2-310-318 ГОРЕЛОВ Алексей Алексеевич,
аспирант кафедры системы информационной безопасности факультета информационных технологий Брянского государственного технического университета,
e-mail: GoralGod@yandex.ru
ЛЕКСИКОВ Евгений Вячеславович
старший преподаватель кафедры системы информационной безопасности факультета информационных технологий Брянского государственного технического университета,
e-mail: jl32@yandex.ru
КАЛАШНИКОВ Руслан Юрьевич,
aспирант кафедры системы информационной безопасности факультета информационных технологий Брянского государственного технического университета,
e-mail: kalashnikov.r@protonmail.com
ВЛИЯНИЕ УРОВНЯ ПОДГОТОВКИ СОТРУДНИКОВ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ИХ СПОСОБНОСТЬ ПРОТИВОСТОЯТЬ УГРОЗАМ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
Аннотация. Целью работы является исследование как личных, так и организационных обстоятельств, оказывающих большое влияние на осведомленность сотрудников об информационной безопасности и как это приводит к намерению противодействовать атакам социальной инженерии. Предложенная модель исследования апробирована на данных опроса 266 сотрудников. Эмпирические результаты показывают, что лидерство и склонность к рискованному поведению влияют на осведомленность сотрудников в области информационной безопасности. Осведомленность об информационной безопасности была подтверждена как центральный фактор информационной безопасности, в соответствии с которым повышение осведомленности об информационной безопасности указывается как важный аспект защиты компании от потенциальных атак. Влияние осознания информационной безопасности на отношение, воспринимаемый контроль поведения и субъективную норму в дополнение к косвенному влиянию на намерение противостоять социальной инженерии подчеркивают важность этого фактора.
Ключевые слова: социальная инженерия, информационная безопасность, взлом, курсы ознакомления, финансовые потери.
GORELOV Alexey Alexeevich,
Post-graduate Student, Department of Information Security Systems, Faculty of Information Technologies Bryansk State Technical University
LEKSIKOV Evgeny Vyacheslavovich,
Senior lecturer Student, Department of Information Security Systems, Faculty of Information Technologies Bryansk State Technical University
KALASHNIKOV Ruslan Yuryevich,
Post-graduate Student, Department of Information Security Systems, Faculty of Information Technologies Bryansk State Technical University
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
DEVELOPMENT OF THE EDUCATION SYSTEM IN RURAL AREAS:
PROBLEMS AND PROSPECTS
Annotation. The purpose of this work is to investigate both personal and organizational conditions that have a significant effect on employee awareness of information security and how this leads to the intention to overcome social engineering attacks. The proposed research model has been tested on survey data of 266 employees. Empirical results show that the leadership and risk-taking behaviors influence employee information security awareness. Information security awareness has been certified as a center of factors of information security, according to the increasing information security awareness described as important aspects of protecting a company from potential attack. The impact of information security awareness on attitude, perceived control of behavior, and subjective normal, in addition to indirectly influence the intention to resist social engineering, highlighting the importance of this factor.
Key words: social engineering, information security, hacking, familiarization courses, financial losses.
Введение. Социальная инженерия — это форма атаки, пытающаяся манипулировать сотрудниками, чтобы заставить их раскрыть конфиденциальную информацию или совершить действия, угрожающие безопасности организаций. Целью данной работы является изучение как индивидуальных, так и организационных факторов, влияющих на осведомленность сотрудников об информационной безопасности и как это приводит к намерению противостоять атакам социальной инженерии. Предложенная модель исследования апробирована на данных опроса 300 сотрудников. Эмпирические результаты свидетельствуют о том, что лидерство и тенденция к рискованному поведению относятся факторы, влияющие на осведомленность сотрудников об информационной безопасности. Осведомленность об информационной безопасности была подтверждена как центральный фактор информационной безопасности, в соответствии с которым повышение осведомленности об информационной безопасности указывается как важный аспект защиты компании от потенциальных атак. Влияние осознания информационной безопасности на отношение, воспринимаемый контроль поведения и субъективную норму в дополнение к косвенному влиянию на намерение противостоять социальной инженерии подчеркивают важность этого фактора.
Растущее значение цифровой информации создает не только возможности, но и риски для безопасности [2; 3]. Распространение платформ социальных сетей позволяет злоумышленникам собирать персональные данные сотрудников через их онлайн-следы.
Полученная таким образом информация затем может быть использована для облегчения атак на организацию [1; 4]. Поскольку человек принимает решения и несет ответственность, человеческий фактор вносит важный вклад в аспект информационной безопасности. Даже
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
самые сильные технические защитные меры бесполезны, если злоумышленник может успешно воздействовать сотрудники. Социальная инжене-рия-это форма атаки, при которой людьми намеренно манипулируют с целью разглашения конфиденциальной информации или выполнения желаемых злоумышленником действий, угрожающих безопасности человека или компании.
Атаки социальной инженерии включают физические, социальные и технические аспекты, которые используются на различных этапах атаки. Даже если такая атака изначально неудачна, любое понимание индивидуальных и организационных процессов безопасности может быть использовано для будущих атак. Это явление называется сбором урожая. Социальные инженеры используют такие методы, как фишинг , предлог , погружение в мусорный контейнер, плечевой серфинг, обратный (социальный) инжиниринг, травля или олицетворение персонала для получения доступа к личным данным или защищенным системам. Сотрудники, не знающие о таких рисках безопасности, являются одними из самых больших рисков в компании. Для обеспечения информационной безопасности необходимы меры по повышению осведомленности сотрудников об информационной безопасности.
Основная часть. Анализ теорий, использованных в смежных работах, показал, что часто используется теория мотивированного действия (ТРА) и/или ее расширенная теория планируемого поведения (ТПБ). TPB - это широко используемая внутриличностная теория для прогнозирования поведенческих намерений и фактического поведения. Согласно ТПБ, поведенческая интенция человека определяется тремя независимыми факторами: (0 отношением к поведению, (И) субъективной нормой и (ш) уровнем воспринимаемого поведенческого контроля. В контексте политики информационной безопасности поведенческое намерение-это дискреционный вопрос о том, как
человек будет вести себя с точки зрения соблюдения политики информационной безопасности [8]. При рассмотрении с точки зрения социальной инженерии детерминанты влияют на намерение противостоять атакам социальной инженерии и, следовательно, на фактическое сопротивление атаке. Гуленко использовал TPB в качестве теоретической основы для разработки приложения, повышающего осведомленность о проблемах безопасности в Facebook . Rocha Flores & Ekstedt показали, что трансформационное лидерство, культура информационной безопасности и осведомленность являются детерминантами, формирующими намерение сопротивляйтесь социальной инженерии. Саридакис и др. исследуют поведение отдельных пользователей социальных сетей, становящихся жертвами киберпреступно-сти. Siponen et al, использовали модель, основанную на нескольких теориях, для оценки факторов, влияющих на намерение соблюдать политику информационной безопасности [6].
ТПБ была выбрана в качестве теоретической основы для настоящей работы из-за ее применимости по отношению к теме исследования. Поскольку исследования сосредоточены на осведомленности сотрудников об информационной безопасности, необходимо расширить существующие исследования путем выявления факторов, влияющих на поведенческое намерение человека противостоять атакам социальной инженерии. Таким образом, новизна данного исследования заключается в разработке инновационной модели, включающей соответствующие индивидуальные и организационные факторы, влияющие на осознание информационной безопасности и намерение противостоять атакам социальной инженерии. Осведомленность об информационной безопасности (ISA) определяется как индивидуальное восприятие сотрудником своих общих знаний об информационной безопасности и его осведомленность о политике информационной безопасности
своей организации. Конструктивное намерение определяется как намерение работника противостоять социальной инженерии [12].
Далее из литературы выводится несколько гипотез. Обзор представлен в таблице 1.
В качестве организационного фактора, влияющего на ISA, в литературе обсуждается влияние лидерства. В этом контексте лидерство определяется как действия лидера, направленные на повышение осведомленности и мотивацию сотрудников изменить свое поведение в области информационной безопасности, чтобы все сотрудники могли легко и ясно понять цели информационной безопасности усилия в организации. Юрина Кон-нолли и др. пришли к выводу, что сотрудникам и руководителям важно делиться общие ценности и чувство личной ответственности за успех своей организации. Rocha Flores & Ekstedt показывают, что поведение руководителей службы безопасности оказывает положительное влияние на сотрудников Таким образом, гипотеза Н1 предполагает, что лидерство оказывает положительное влияние на ISA сотрудников [10, p. 47].
Еще одной возможностью продвижения ISA и мотивации сотрудников действовать вне своих собственных интересов в интересах группы является декларация политики информационной безопасности. Цель такой директивы состоит в том, чтобы все сотрудники могли четко и легко понять назначение мер информационной безопасности в компании. Юрий Коннолли и др. установлено, что установление политик информационной безопасности влияет на действия сотрудников опосредованно через осведомленность об информационной безопасности. Это означает, что осведомленность сотрудников о требованиях организационной информационной безопасности, угрозы и последствия незаконной деятельности, в свою очередь, могут способствовать совместному поведению. Это приводит к гипотезе H2.
Таблица 1
№ Гипотеза
H1 Лидерство положительно влияет на осведомленность сотрудников об информационной безопасности.
H2 Политика безопасности оказывает положительное влияние на осведомленность сотрудников об информационной безопасности.
H3 Программы SETA положительно влияют на осведомленность сотрудников в области информационной безопасности.
H4 Тенденция к высокому доверию негативно влияет на осведомленность сотрудников в области информационной безопасности.
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
Предлагаемые Гипотезы
H5 Тенденция к меньшему риску положительно влияет на осведомленность сотрудников в области информационной безопасности.
H6 Осведомленность сотрудников об информационной безопасности положительно влияет на их отношение к сопротивлению социальной инженерии.
H7 Осведомленность сотрудников об информационной безопасности положительно влияет на воспринимаемый поведенческий контроль.
H8 Осведомленность сотрудников об информационной безопасности положительно влияет на воспринимаемую субъективную норму.
H9 Осведомленность сотрудников об информационной безопасности положительно влияет на намерение противостоять социальной инженерии.
H10 Отношение сотрудников положительно влияет на их намерение противостоять атакам социальной инженерии.
H11 Воспринимаемый поведенческий контроль сотрудников положительно влияет на их намерение противостоять атакам социальной инженерии.
H12 Субъективные нормы сотрудников положительно влияют на их намерение противостоять атакам социальной инженерии.
Д'Арси и др. утверждают, что программы обучения безопасности, обучения и повышения осведомленности необходимы для предотвращения неправильного использования информационных систем. Смит и др. объясните, что этот метод защиты не только дает пользователям знать о результатах или атаках, которые стали известны, но и помогает им развить более глубокое понимание лежащих в основе принципов. Имея возможность распознавать атаки как таковые с помощью определенных характеристик, сотрудники с большей вероятностью идентифицируют угрозу. Соответствующие исследования также делают вывод о том, что эффективный способ предотвращения социальных инженерные атаки — это обучение сотрудников. Эти выводы приводят к формулировке гипотезы Н3.
Как уже упоминалось ранее, индивидуальные факторы также оказывают влияние на ИСУ сотрудников. Уоркмен обсуждает подход социальных инженерных атак, при котором потенциальную жертву заставляют сочувствовать нападающему и доверять ему, выстраивая отношения [13]. Социальные инженеры используют паттерн доверия, эксплуатируя потребность в дружбе, создавая чувство сходства с потенциальной жертвой, симулируя личные связи или даже притворяясь известным человеком. Язык и знание ситуативных фактов создают доверие и уверенность, чтобы обмануть потенциальных жертв. Доверие в онлайн-среде можно рассматривать как готовность полагаться на других в выполнении их обещаний и обязательств, убежденность в том, что другие используют любую личную информацию этическим образом, или восприятие того, что
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
любое общение с другой стороной безопасно. Юрина Коннолли и др. также рассматривают доверие в контексте информации организаций безопасность. Они утверждают, что высокая степень социальной совместимости приводит к особой связи между сотрудниками, благодаря которой они доверяют друг другу. Поэтому была выведена гипотеза Н4.
Доверие тесно связано с понятием риска. Поэтому второй индивидуальный фактор, представляющий интерес для данного исследования, — это склонность поведения сотрудника к риску. Воспринимаемый риск-это фактор, который помогает предсказать вероятность принятия человеком риска в неопределенной ситуации . В то время как восприятие риска отличается в отдельных ситуациях отношение к воспринимаемому риску остается относительно стабильным. В организационном контексте сотрудники берут на себя риски, такие как общение с незнакомыми людьми в Интернете или обмен личной информацией, что может увеличить вероятность атаки социальной инженерии. Что касается личности, то было обнаружено, что более добросовестные, сочувствующие и непредубежденные люди, а также те, кто склонен идти на меньший риск, обладают более высокой осведомленностью в области информационной безопасность. Поэтому предлагается гипотеза H5 [14].
Влияние ISA рассматривается как центральный фактор информационной безопасности [7]. Цель создания такой осведомленности состоит в том, чтобы расширить возможности сотрудников в отношении рисков информационной безопасности и обучить их своим ролям и обязанностям.
Основываясь на теории планового поведения (ТПБ), считается, что осознание информационной безопасности влияет не только на представления сотрудников о результатах, но и непосредственно влияет на отношение сотрудника к соблюдению требований информационной безопасности. Отношение в этом контексте определяется как степень, в которой эффективность поведения информационной безопасности положительно оценивается. Кроме того, было показано, что повышение ISA положительно влияет на отношение, так как помогает сотрудникам лучше понять важность мер информационной безопасности. Кроме того, в отношении фактора воспринимаемого поведенческого контроля крайне важно, чтобы сотрудники были осведомлены об угрозах информационной безопасности для того, чтобы иметь возможность идентифицировать общие методы социальной инженерии и реагировать на них. Воспринимаемый поведенческий контроль здесь рассматривается как степень контроля, который, по мнению человека, он имеет над сопротивлением социальной инженерии. По мнению экспертов, ISA является решающим фактором в повышении воспринимаемого поведенческого контроля сотрудников. Далее в литературе обсуждается влияние субъективных норм на поведение людей. Таким образом, люди ориентируют свое поведение на поведение своего социального круга. Согласно этому понятию, человек будет вести себя более осознанно, когда социальные изменения окружающей среды. На основе вышеизложенного исследования рассматриваются гипотезы Н6, Н7 и Н8 [11].
Юрина Корноли представляет ISA как важный фактор поощрения уступчивого поведения. Результаты их исследования показывают, что сотрудники с большей вероятностью используют безопасные методы, когда они понимают, что есть причина для определенных правил. Кормак. показал, что знание потенциальных угроз и защитных мер влияет не только на отношение, но и приводит к уступчивому поведению. Как сбор данных о реальном поведении остается сложной задачей, особенно в области информационной безопасности, а поскольку, согласно теории планируемого поведения, намерение является непосредственным предшественником фактического поведения, данное исследование фокусируется на фиксации намерения сотрудников и рассматривает гипотезу Н9 [9].
Центральным фактором ТПБ является намерение индивида совершить то или иное поведение. Чем сильнее намерение в направлении реального поведения, тем больше вероятность того, что поведение будет действительно осуществлено. Вариации в намерениях объясняются
отношением, воспринимаемым поведенческим контролем и субъективными нормами. Роша Фло-рерс нашли подтверждение тому , что эти три внутренних фактора непосредственно влияют на намерение противостоять атакам социальной инженерии. Сипонен и др. Также было показано положительное влияние трех факторов на намерение сотрудников соблюдать политику информационной безопасности.
Основываясь на предложенных гипотезах, данная глава посвящена эмпирическому исследованию. Описываются дизайн исследования и его реализация. Затем собранные данные представляются и анализируются основные результаты.
Была проанализирована работа, собранная из обзора литературы в предыдущем разделе, и выявлены элементы, использованные в соответствующих исследованиях по используемым конструктам. Конструкции были адаптированы из другой литературы, и некоторые вопросы были слегка изменены, чтобы соответствовать контексте данного исследования Перечень вопросов, имеющих отношение к настоящему исследованию и фактических дизайн анкеты можно получить у авторов по электронной почте. В качестве ответа на вопросы использовалась 5-балльная шкала ("полностью согласен", "отчасти согласен", "нейтрален", "отчасти не согласен", "решительно не согласен"). Кроме того, в исследовании были заданы вопросы, касающиеся демографии (т. е. пол, года рождения, размер компании, отрасли и профессионального образования). Данное исследование носит исследовательский характер, поскольку предыдущие исследования не рассматривали все ранее упомянутые индивидуальные и организационные факторы, влияющие на осведомленность сотрудников об информационной безопасности в рамках одного исследования.
Для проверки конструкции вопросника на понятность и синтаксическую корректность был проведен предварительный тест с 15тестируюми лицами разного возраста и профессионального происхождения. В рамках предварительного тестирования респондентам предлагалось дать комментарии по каждому вопросу. На основе замечаний и результатов предварительного тестирования формулировка и расположение вопросов были немного пересмотрены. Данные были собраны с помощью программного обеспечения онлайн-опроса в период с 22.07.2020 г. по 17.08.2020 г.
Анкета распространялась по различным онлайн-каналам, включая Telegram и Whatsapp, через собственную профессиональную и частную сеть. Всего в опросе400 приняли участие люди. Затем данные проверялись на полноту и адекватность содержания. Из-за неполных ответов было
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
удалено 130 записей, а еще 4 записи были исключены из результатов из-за неправильных ответов. Наконец, для анализа данных было использо-вано266 полных и правильных ответов.
Выборка разделена на 49,3% женщин и 50,7% мужчин. Большая часть выборки приходится на возрастную группу 25-34 года (42%). Возрастные группы 35-44 и 45-54 лет представлены в выборке в одинаковой пропорции (18%). Аналогичное значение относится и к возрастной группе 15-24 года (17%). Остальные 6 респондентов относятся к возрастной группе 55+ (4%). Почти половина опрошенных работают в компаниях с численностью сотрудников более 250 человек (46,7%). Другие группы размера компании показывают аналогичное распределение: 17,8% для группы из 50-249 сотрудников, 20,7% для группы из 10-249 сотрудников работников, а 14,8% - для группы компаний с численностью работников менее 10 человек. Выборка находится в пределах германоязычного региона и включает различные секторы деятельности (1Т: 26,9%, производство/
промышленность: 26,9%, маркетинг/коммуникация: 11,2%, сфера услуг: 8,2%, здравоохранение: 6%, все остальные ниже 3%). Что касается должности, то здесь наблюдается хороший разброс по индивидуальным характеристикам: новички на рынке труда (25,7%), респонденты, имеющие многолетний профессиональный опыт (36,8%), респонденты, работающие в среднем звене (11,8%) и топ-менеджмент (20,6%), а также самозанятые (5,1%) [5].
Для анализа структурной модели и оценки гипотез был выбран подход PLS-SEM. PLS-SEM-это подход причинного моделирования, направленный на максимизацию уточненной дисперсии зависимых латентных конструкций. Был использован дисперсионный PLS-SEM, так как он также подходит для меньшего размера выборки. На первом этапе измерительная модель была оценена и пересмотрена до того, как были рассчитаны коэффициенты траектории для структурной модели. Подробности этих шагов приведены ниже.
Таблица 2.
Конечное количество элементов в конструкции, Пределы факторной нагрузки, Альфа Кронбаха, Композитная надежность и Средняя дисперсия
Конструкция № Факторные нагрузки: мин Факторные нагрузки: макс Кронбаха Альфа Составной Надежность Средняя Дисперсия Извлеченный
Отношение (ATT) 3 0.752 0.896 0.794 0.876 0.704
Намерение (INT) 6 0.608 0.869 0.872 0.904 0.614
Осведомленность об информационной безопасности (ISA) 5 0.689 0.807 0.810 0.866 0.565
Обучение информационной безопасности (ISP) 5 0.777 0.837 0.864 0.902 0.647
Лидерство (LEAD) 5 0.707 0.897 0.854 0.895 0.631
Воспринимаемый поведенческий контроль (PERC) 5 0.676 0.818 0.791 0.850 0.533
Риск (RISK) 3 0.686 0.748 0.537 0.758 0.511
Обучение информационной безопасности (SETA) 5 0.755 0.873 0.857 0.897 0.636
Субъективная норма (SUBN) 4 0.753 0.844 0.813 0.876 0.639
Доверие (TRST) 2 0.808 0.865 0.576 0.824 0.701
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
Модель рефлексивного измерения была смоделирована с использованием SmartPLS, поскольку считается, что индикаторы (т. е. элементы) латентных конструкций вызваны этим фактором (т. е. конструкцией). Для оценки внешней модели сначала были рассмотрены сходимость и факторные нагрузки. Анализ факторных нагрузок на уровне индикаторов дает информацию о том, насколько хорошо индикаторы подходят в качестве меры латентного конструкта. Значение, превышающее или близкое к 0,7, является приемлемым для надежности индикатора. Из результатов первой оценки было выделено несколько пунктов упал, так как значения были ниже порога. Кроме того, рассматривались перекрестные нагрузки, и один дополнительный элемент был отброшен, поскольку он аналогично загружался в другую конструкцию со значением выше 0,6. С другой стороны, другой факторов со значениями выше 0,6 были сохранены для анализа, так как они не пересекались с другими конструкциями. С этим адаптация, сходимость была достигнута за восемь итераций. Обзор оставшегося количества изделий и пределов факторной загрузки (т. е. минимального и максимального значения факторной загрузки изделий) можно найти в таблице 2.
Затем была проведена оценка надежности и валидности конструкций. Таблица 2 также содержит обзор результатов Альфа-анализа Кронбаха (CA), композитной надежности (CR) и средней дисперсии (AVE). CA указывает, обладают ли показатели латентной переменной конвергентной валидностью и, следовательно, демонстрируют надежность. Так как CA может недооценивая надежность шкалы, CR обычно используется в качестве альтернативы для проверки конвергентной валидности. В исследовательских исследованиях значения выше 0,6 считаются удовлетворительными для CR. AVE указывает процент дисперсии, захваченной конструкцией В адекватной модели факторы должны объяснять не менее половины дисперсии соответствующих им показателей (то есть АВЕ должна быть выше 0,5). Как показано в таблице 2, значения CA для рискового поведения (RISK) и доверия (TRST) находятся чуть ниже рекомендуемого предела 0,6 для поисковых исследований. Однако, поскольку значения как для CR, так и для AVE эти две конструкции были приняты во внимание при дальнейшем анализе данных [9].
Внутренняя модель была сначала оценена с завязанными глазами путем анализа значения Q2 Стоуна-Гейссера. Q2 значения находились в диапазоне от 0,1 до 0,213 (т. е. все выше 0), что подтверждает прогностическую значимость структурной модели. Затем модель проверялась методом
начальной загрузки для оценки значимости коэффициентов пути. Процедура была выполнена с 5000 подвыборками и уровнем значимости 0,1. Критические t-значения для двухэтапного теста составляют 1,65 (уровень значимости р < 10%) , 1,96 (р < 5%) и 2,58 (р < 1%). Размер эффекта используется для определения влияния на эндогенную латентную переменную. Значение выше отсечек 0,35, 0,15 и 0,02 считается "высоким", "умеренным" и "низким" соответственно. Коэффициенты пути указывают на силу связей между латентными переменными.
Пути, которые не показывают никакой связи или контекста против гипотетического направления, не поддерживают постулируемые гипотезы. Такие значения приводят к отклонению соответствующей гипотезы.
Основываясь на значимых коэффициентах пути и других результатах, пять гипотез H5, H6, H7, H8 и H10 получили сильную поддержку (p < 0,01), гипотеза H1 показала слабую поддержку (p < 0,1), а шесть гипотез были отвергнуты (H2, H3, H4, H9, H11, H12). Примерно 41,3% дисперсии было объяснено намерением противостоять социальной инженерии.
Полученные данные показывают, что на ISA влияет склонность к рискованному поведению. Хотя предыдущие исследования рассматривали риск как личностный фактор, связанный с ISA, ни одно из исследований не показало такого сильного влияния этого фактора. В соответствии с Кор-маков. эти результаты свидетельствуют о том, что более добросовестные, отзывчивые и непредубежденные люди и те, кто склонен идти на меньший риск, имеют более высокий уровень ISA. С другой стороны, не было подтверждено, что второй индивидуальный фактор "доверие" оказывает влияние на ISA.
Из трех организационных факторов, влияющих на ISA, можно доказать лишь слабую связь между лидерством и ISA . В отличие от других исследований, результаты показывают лишь небольшой размер эффекта без значительного пути между ними. безопасности и ISA. То же самое относится к мерам SETA и ISA. Хотя другие исследования показывают, что особенно политика безопасности и обучение повысили осведомленность об информационной безопасности, она не была поддержана этим исследованием. Роша Флоренц обнаружила значительную корреляцию между лидерством и ISA. Ее исследование было сосредоточено на взаимосвязи между лидерством и вовлеченностью сотрудников в противодействие атакам социальной инженерии, но полностью объяснить это можно было только через культуру информационной безопасности. Таким образом, менее значимый результат настоящего исследо-
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
вания может быть объяснен отсутствием учета культуры информационной безопасности в организации. Предлагаемое воздействие ИСА последовательно подтверждается данным исследованием, за исключением прямого воздействия на намерение противостоять нападению. Это подтверждает результаты других исследований, таких как исследование Роши Фроренц с аналогичными факторами, а также применимость теории планового поведения в контексте темы исследования.
Таким образом, ISA можно определить как решающий фактор, влияющий на ATT, PERC и SUBN. Кроме того, сильная связь между отношением и намерением противостоять атакам социальной инженерии может быть идентифицированный. Это также было подтверждено исследованиями Юрины Корнели и др
Заключение. В центре исследования - роль ISA сотрудников и их намерение противостоять атакам социальной инженерии. С теоретической точки зрения результаты показывают применимость теории планового поведения в контексте социальной инженерии. Полученные результаты также показывают, что организациям важно понимать, что одних технических мер недостаточно для обеспечения информационной безопасности. С управленческой точки зрения продвижение МСА должно занимать центральное место в разработке мер защиты информационной безопасности. Как показано, лидерство и склонность к рискованному поведение можно рассматривать как важные факторы, влияющие на ISA. Поэтому для организаций рекомендуется оценка склонности к рискованному поведению, тренинги и семинары, связанные с информационно-просветительской деятельностью. С другой стороны, были отвергнуты шесть гипотез, таких как, например, что политика информационной безопасности и меры SETA не имеют существенной корреляции с ISA. Точно так же не было никакой существенной корреляции между воспринимаемым поведенческим контролем и субъективной нормой с намерением противостоять атакам социальной инженерии.
Как и большинство эмпирических исследований, важно учитывать ограничения представленного исследования. Результаты этого исследовательского исследования основаны на относительно небольшой выборке. Поэтому проведение опроса с более широкой выборкой и с конкретными целевыми группами было бы полезно, например, для сравнения стран или отраслей, или выявления различий в позициях сотрудников. Другим ограничением является использование намерения вместо реального поведения. Хотя предыдущая литература показала поддержку использования намерения в качестве предиктора
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
фактического поведения, нет никакой гарантии, что сотрудники будут вести себя так, как они указали. Поэтому следует проводить дополнительные исследования, в которых контрольная группа используется для манипулирования определенными факторами и измерения фактического поведения пользователя в экспериментальном проекте.
Список литературы:
[1] Рыжов, В.Б. Информационная безопасность в государствах Европейского союза: к постановке проблемы // Представительная власть - XXI век. 2018. № 4 (163). - С. 8-12.
[2] Соловьёва, Т.В. Проблемы информационной безопасности в условиях цифровой трансформации общества // Вестник Хакасского государственного университета имени Н.Ф. Катанова. 2019. № 1 (27). - С. 28-30.
[3] Удалов, Д.В. Угрозы и вызовы цифровой экономики // Экономическая безопасность и качество. 2018. № 1 (30). - С. 12-18.
[4] Шинкарецкая, Г.Г. Взаимодействие законодательства различных государств в процессе цифровизации государственного управления // Образование и право. 2021. № 1. - С. 32-39.
[5] Boonstra, Albert. Interpreting an ERPimplementation project from a stakeholder perspective // Int. J. Proj. Manag. 2006. № 24 (1). - Р 38-52.
[6] Bosse, Douglas A., Phillips, Robert A. (2016) Agency theory and bounded self-interest // Acad. Manag. Rev. 2016. № 41 (2). - Р. 276-297.
[7] Cardinal, Laura. B., Kreutzer, Markus, Miller, Chet C. An Aspirational View of Organizational Control Research: Re-Invigorating Empirical Work to Better Meet the Challenges of 21st Century Organizations // Acad. Manag. Ann. 2017. № 11 (2). - Р. 559-592.
[8] Charmaz, Kathy. Constructing grounded theory: a practical guide through qualitative analysis. Sage. - London, 2006.
[9] Chua, Cecil Eng Huang., Myers, Michael D. Social control in information systems development: a negotiated order perspective // J. Inf. Technol. 2018. № 33 (3). - P. 173-187.
[10] Connelly, Brian L., Certo, Trevis S, Ireland, Douane R., Reutzel, Chirstopher R. Signaling theory: A review and assessment. // J. Manage. 2011. № 37 (1). - Р. 39-67.
[11] Cram, Alec W. Information Systems Control: A Review and Synthesis of the Literature. In: AMCIS 2011 Proceedings - All. - Submissions, 2011.
[12] Cram, Alec W, Brohman, Kathryn, Gallupe, Brent R. Hitting a moving target: A process model of information systems control change // Inf. Syst. J. 2016. № 26 (3). - Р. 195-226.
[13] Cram, Alec W., Brohman, Kathryn, Gallupe, Brent R. Information Systems Control: A Review and Framework for Emerging Information Systems Processes // J. Assoc. Inf. Syst. 2016. № 17 (4). - P. 216-266.
[14] Cram, Alec W., Wiener, Martin. (2018) Perceptions of control legitimacy in information systems development // Inf. Technol. People. 2018. № 31 (3). - P. 712-740.
Spisok literatury:
[1] Ryzhov, V.B. Informacionnaya bezopasnost' v gosudarstvah Evropejskogo soyuza: k postanovke problemy // Predstavitel'naya vlast' - XXI vek. 2018. № 4 (163). - S. 8-12.
[2] Solov'yova, T.V. Problemy informacionnoj bezopasnosti v usloviyah cifrovoj transformacii obsh-chestva // Vestnik Hakasskogo gosudarstvennogo universiteta imeni N.F. Katanova. 2019. № 1 (27). -S.28-30.
[3] Udalov, D.V. Ugrozy i vyzovy cifrovoj ekono-miki // Ekonomicheskaya bezopasnost' i kachestvo. 2018. № 1 (30). - S. 12-18.
[4] Shinkareckaya, G.G. Vzaimodejstvie zakonodatel'stva razlichnyh gosudarstv v processe cifrovizacii gosudarstvennogo upravleniya // Obra-zovanie i pravo. 2021. № 1. - S. 32-39.
[5] Boonstra, Albert. Interpreting an ERP-implementation project from a stakeholder perspective // Int. J. Proj. Manag. 2006. № 24 (1). - R. 38-52.
[6] Bosse, Douglas A., Phillips, Robert A. (2016) Agency theory and bounded self-interest // Acad. Manag. Rev. 2016. № 41 (2). - R. 276-297.
[7] Cardinal, Laura. B., Kreutzer, Markus, Miller, Chet C. An Aspirational View of Organizational Control Research: Re-Invigorating Empirical Work to Better Meet the Challenges of 21st Century Organizations // Acad. Manag. Ann. 2017. № 11 (2). - R. 559592.
[8] Charmaz, Kathy. Constructing grounded theory: a practical guide through qualitative analysis. Sage. - London, 2006.
[9] Chua, Cecil Eng Huang., Myers, Michael D. Social control in information systems development: a negotiated order perspective // J. Inf. Technol. 2018. № 33 (3). - P. 173-187.
[10] Connelly, Brian L., Certo, Trevis S, Ireland, Douane R., Reutzel, Chirstopher R. Signaling theory: A review and assessment. // J. Manage. 2011. № 37 (1). - R. 39-67.
[11] Cram, Alec W. Information Systems Control: A Review and Synthesis of the Literature. In: AMCIS 2011 Proceedings - All. - Submissions, 2011.
[12] Cram, Alec W, Brohman, Kathryn, Gallupe, Brent R. Hitting a moving target: A process model of information systems control change // Inf. Syst. J. 2016. № 26 (3). - R. 195-226.
[13] Cram, Alec W., Brohman, Kathryn, Gallupe, Brent R. Information Systems Control: A Review and Framework for Emerging Information Systems Processes // J. Assoc. Inf. Syst. 2016. № 17 (4). - R. 216-266.
[14] Cram, Alec W., Wiener, Martin. (2018)Per-ceptions of control legitimacy in information systems development // Inf. Technol. People. 2018. № 31 (3). - R.712-740.
V
ЮРКОМПАНИ
www. law-books, ru
Юридическое издательство
«ЮРКОМПАНИ»
Издание учебников, учебных и методических пособий, монографий, научных статей.
Профессионально.
В максимально короткие сроки.
Размещаем в РИНЦ, Е-ЫЬгагу.
ОБРАЗОВАНИЕ И ПРАВО № 2 • 2021
