Любая нестабильная ситуация в обществе порождает массу возможностей для киберпреступников. Подобное мы видели в период пандемии с переходом на гибридный режим работы, это же наблюдаем и сейчас. В нынешних реалиях информационная безопасность из "абстрактной науки для избранных" молниеносно превращается в массовую насущную потребность. Низкая осведомленность сотрудников компаний в области кибербезопасности приводит к катастрофическим последствиям: остановка важных для бизнеса процессов, утечки данных, финансовый и репутационный ущербы. Почти 90% организаций, опрошенных экспертами "Ростелеком-Солар", отмечали, что за 2021 год значительно увеличилось число случаев, связанных с нарушением прав доступа в корпоративные сети. И сегодня, несмотря на растущую угрозу, многие компании по-прежнему недооценивают риски, связанные с человеческим фактором. В этой статье мы поговорим о том, как выработать у сотрудников практические навыки кибергигиены.
Большинство организаций начинают свой путь к информационной безопасности с разработки регламентов и попыток заставить сотрудников им следовать. Они создают политики, направляют работников на ежегодные обучения и, наконец, вводят штрафы за нарушение ИБ.
Эта тактика ведет к культуре "обязательного". Политики ИБ становятся достаточным фундаментальным стандартом, но, когда дело доходит до реализации, культура "обязательного" не встречает отклика у сотрудников. А значит, существующий в компании регламент не гарантирует необходимого уровня киберграмотности персонала. Такие документы люди читают в лучшем случае один раз, а чаще всего просто подписывают не глядя.
Где "человеческий файервол" действительно работает, так это в организациях, где смогли перейти к осознанности в понимании ИБ, когда сотрудники понимают, что могут стать легкой добычей для хакеров, и от их действий возможно пострадают коллеги, бизнес компании и они сами.
Проблема заключается не только в незнании или нежелании знать политики безопасности, но и непонимании, зачем это нужно. Например, пароли - головная боль всех ибэшников. Как объяснить сотрудникам, что периодически пароль надо менять полностью, а не только заменять последнюю цифру в нем? Или убедить, что кибербезопасность стоит того, чтобы запомнить сложную комбинацию, а не записать ее на стикер на рабочем столе? Но пароль может отвечать всем требованиям парольной политики, но все еще быть слабым, поскольку присутствует в публичных словарях.
В итоге, по данным "Ростелеком-Солар", 40% нарушений, связанных с доступом, вызваны передачей сотрудниками своих логинов-паролей от внутренних систем компании коллегам, подрядчикам, друзьям. В 30% случаев персонал использует ненадежные пароли и еще в 23% - небезопасно их хранит.
Поэтому коммуникация о безопасном поведении не должна быть вещью в себе или прихотью ИТ- или ИБ-департамента. Надо объяснить сотрудникам, как их повседневное поведение может защищать или угрожать корпоративным данным. Злоумышленникам достаточно одного зараженного компьютера, чтобы проникнуть в корпоративную сеть компании. Поэтому даже если сотрудник не имеет доступ к закрытым сегментам внутренней сети, он все равно должен понимать, что его машина является частью корпоративной инфраструктуры.
Об этом надо говорить регулярно и через каналы, которые подходят для конкретной компании и привычны ее сотрудникам. Где-то принято читать еженедельные дайджесты, где-то основным источником новостей является корпоративный телеграм-канал, а где-то самым эффективным способом достучаться до работников будет личный пример и выступление топ-менеджмента.
Тот факт, что далеко не все компании это осознают, удручает. Это тревожный звоночек, особенно, если наблюдать за статистикой фишинговых атак. По данным "Ростелеком-Солар", 75% кибератак начинаются с фишинговых писем, которые содержат вложения с ВПО и вредоносные ссылки. При этом рассылки хакеров с каждым годом становятся более таргетированными и продуманными. Высокий уровень угрозы доказывают и международные аналитики. Например, "Security Magazine" опубликовал исследование, в котором 46% процентов респондентов столкнулись "по крайней мере с одним инцидентом безопасности" с начала пандемии. Более половины (51%) стали жертвами фишинговых атак по электронной почте. Фишинговые кампании, посвященные COVID-19, выдавали себя за бренды с высокой степенью доверия, такие как "Netflix", "Microsoft" и "CDC".
Даже базовые принципы психологии работают против кибербезопасности. Закон забывания Эббингауза гласит, что полученные знания сохраняются на высоком уровне примерно три дня, а затем 90% материала забывается, если он не закреплен на практике.
Поэтому важно понимать, что редкие тестовые фишинговые рассылки по компании не позволяют сформировать у сотрудников навыки безопасного поведения. Единственное, что они могут - это продемонстрировать изменения в поведении пользователей за определенный период. При этом мы советует нашим клиентам чаще проверять специалистов, имеющих доступ к ключевым информационным системам. Чуть реже можно проводить массовые проверочные рассылки. Их темами могут быть купоны на скидки в различных магазинах, в службах доставки, а также письма с заголовками, содержащими информацию об актуальных событиях. Также мы советуем нашим клиентам всегда отдельно проверять новых сотрудников, которые только пришли в компанию, чтобы понять уровень их ИБ-навыков.
Сформированная культура информационной безопасности в компании позволяет защищать коммерческую тайну, чувствительные данные сотрудников и клиентов. Поэтому повышение киберграмотности так же важно, как и приобретение или настройка различных ИБ-систем и сервисов. Для формирования безопасного поведения существует класс решений повышения осведомленности по вопросам кибербезопасности (Security Awareness, SA).
Подходы к обучению могут быть совершенно разными:
1. Технологические решения, интегрированные в бизнес-процессы. Это системы, которые мониторят поведение сотрудников (использование повторяющихся паролей, переход по подозрительным ссылкам и т.п.), и на основе этих данных выстраивают индивидуальные подходы к повышению осведомленности. Это проактивный подход, но не все компании готовы внедрять такие решения, так как они требуют доступа к чувствительной корпоративной информации.
2. Системы обучения с различными образовательными форматами. Сейчас ИБ-компании предлагают множество вариантов: от брошюр до интерактивных видеороликов. Это не требует технических внедрений в сеть компании, но невозможно гарантировать, что сотрудники запомнят и воспримут эту информацию.
3. Методологические решения. Речь идет о методологии обучения, которые специальные компании пишут под конкретного клиента. Они составляют календарь с разными активностями (лекции, рассылка материалов, фишинговое рассылки, информативные скринсейверы и т.п.). Однако заполнение этого плана контентом - это дополнительная и достаточно дорогая услуга. Если у организации есть компетентные специалисты, они могут самостоятельно наполнить эту методологию содержанием.
4. Управляемые сервисы кибербезопасности. Они объединяют в себе и технологии, и методологию, и экспертное сопровождение. Этот подход не требует от компании никаких усилий: все материалы подготовит сервис провайдер, он же проведет тестирование. Но пока таких сервисов в России единицы. Регулярно оценивая осведомленность сотрудников, их поведение и культуру, компании могут адаптировать свои политики и программы обучения к постоянно меняющимся ландшафту угроз и векторам атак.
Программы по повышению киберграмотности сотрудников должны работать в двух направлениях. Во-первых, давать знания по кибербезопасности. Это значит, что работников надо познакомить с базовыми правилами ИБ, схемами возможных цифровых атак, а также пояснить роль каждого работника в защите ИТ-периметра и данных компании. Это можно сделать с помощью курсов, которые должны включать в себя следующие темы:
* Безопасность ИТ-активов организации и работа с конфиденциальной информацией;
* Безопасная работа с электронной почтой;
* Работа с паролями, безопасный доступ в информационные системы;
* Безопасная удаленная работа;
* Защита от социальной инженерии;
* Безопасность мобильных устройств;
* Безопасная работа в офисе;
* Реагирование на киберинциденты;
* Возможные последствия атак и важность сотрудничества каждого работника в обеспечении ИБ.
Вторая составляющая обучения - это тренировка навыков безопасной работы. Именно это определяет, как будет действовать сотрудник в случае реальной компьютерной атаки. Привычка безопасного поведения формируется за счет периодических имитированных фишинговых рассылок. Их эффективность зависит от многих факторов: профиля сотрудника, темы и содержания учебного фишингового письма и даже времени рассылки.
Цель тренировки - научить сотрудников не открывать подозрительные вложения, не переходить по подозрительным ссылкам, и, самое главное, - вовремя сообщать в ИТ- и ИБ-отделы о возможном инциденте.
На примере компаний, которые используют наш сервис SA, мы видим, что многие сотрудники не сообщают об инцидентах, потому что боятся, что за этим последуют выговоры, лишение премий или еще что похуже. Однако безопасник никогда не сделает выговор за сообщение о подозрительной активности на компьютере или странном письме. Напротив, именно такие обращения со стороны сотрудников позволяют оперативно среагировать на инцидент и пресечь кибератаку, не доведя до реального ущерба.
Выходит, что формирование безопасного поведения и культуры киберграмотности - это постоянный и непрерывный процесс, который требует повторения и закрепления. Лучше всего строить образовательный процесс так: проверка-обучение-тест-повторная проверка-дообучение. А если формирование списков и графиков учебной рассылки, расписания курсов, анализ результатов вызывает трудности, лучше обратиться к сервис-провайдеру, который самостоятельно сформирует подходящий компании образовательный процесс.