Знание ИТ – сила

Кто из сотрудников самое слабое звено при кибератаках и как повысить киберграмотность

Почти в половине всех атак, которые организуют киберпреступники, используется так называемый человеческий фактор. Как бороться с этим слабым звеном в цепочке процессов информбезопасности современной компании путем обучения персонала, читателям RSpectr рассказал руководитель направления импортозамещения компании MONT Владимир Шоболов.

НАВЫКИ КРИТИЧЕСКОЙ ВАЖНОСТИ

В 43% атак на организации хакеры используют методы социальной инженерии – такие данные содержатся в отчете компании Positive Technologies за II квартал 2022 года. Чаще всего в таких атаках злоумышленники задействуют электронную почту. Среди других распространенных инструментов – фишинговые сайты и социальные сети.

Спрос на продукты, предназначенные для повышения уровня киберграмотности сотрудников, в последнее время резко вырос. Недостаточность принимавшихся прежде мер стала особенно очевидной при переходе на удаленную работу.

Теперь бизнесу приходится заниматься комплексным решением проблем, которым раньше уделялось значительно меньше внимания

В том числе – подготовкой персонала в области информационной безопасности.

Можно выделить два ключевых фактора. Первый – это умение сотрудников распознать фишинговые письма, фальшивые сайты, звонки мошенников. Персонал компании должен хорошо изучить методы социальной инженерии – приемы, которые используют киберпреступники, чтобы побудить пользователя открыть ту или иную критически важную информацию. Второй – четкое понимание, что делать и к кому идти в случае возникновения киберинцидентов.

Кроме того, сотрудникам компании необходимы знания о том, какие именно темы они могут обсуждать вне цифрового пространства – в разговорах даже с хорошо знакомыми им людьми. А также правила использования личных, в том числе мобильных, устройств, с которых им предоставлен доступ к корпоративной информации. В частности, у сотрудников должна быть четкая инструкция, что делать в случае потери гаджета.

Объясняя персоналу эту информацию, крайне важно правильно выстроить коммуникацию, рассказывать о возможных последствиях неправильного поведения, а не о наказании за него. Сотрудник должен не бояться того, что может совершить ошибку, а представлять себе риски и вероятные потери: самой компании и свои личные.

КОГО УЧИТЬ?

Конечно, развивать такие навыки нужно у всех сотрудников компании. Но есть отдельные категории, которые необходимо обучать в первую очередь.

Прежде всего к ним относятся возрастные специалисты. Они не столь глубоко погружены в цифровые технологии, как представители молодого поколения, ИТ-сфера не столь широко представлена в их повседневном обиходе.

Возрастные сотрудники чаще имеют доступ к критически важным данным или имеют функциональные обязанности, связанные с особенно чувствительными бизнес-процессами

Это может быть, например, работа с финансовыми документами или данными о клиентах.

Известны случаи, когда киберпреступники, получив при помощи все той же социальной инженерии доступ к почтовым ящикам таких сотрудников, просто контролировали их служебную переписку, получая конфиденциальную информацию о работе компании и взаимоотношениях с поставщиками. Причем результатом такого контроля был перехват письма со счетом и подмена реквизитов во вложенном документе – в итоге значительные средства были переведены на счет злоумышленников.

Высока вероятность мошеннической переписки, когда через почтовые вложения на компьютеры сотрудников поступают вирусы-шифровальщики

Часто жертвами такой атаки могут становиться сотрудники организации, которые заняты монотонной работой, обработкой большого объема входящих документов. Им трудно выделить в общем потоке фишинговые письма. Особенно много таких специалистов в бухгалтерских или логистических подразделениях компаний.

Топ-менеджмент организаций в большинстве случаев хорошо осведомлен о правилах информационной безопасности. Но это не исключает вероятности использования и руководителей в мошеннических целях.

В общем, развивать навыки киберграмотности необходимо как у руководителей, так и у их подчиненных.

КОНТРОЛЬНАЯ ПО ИНФОРМБЕЗОПАСНОСТИ

Крайне важна роль ИБ-руководителей в развитии навыков у сотрудников компании. Они не являются непосредственными начальниками линейных специалистов и должны выступать своего рода неформальными лидерами, которые могут в любое время дать консультацию и принять решение по вопросам, связанным с кибербезопасностью.

ИБ-специалист должен корректировать содержание киберподготовки персонала в соответствии с текущей ситуацией в области безопасности

Именно он определяет актуальные угрозы, выбирает наиболее уязвимые для них категории сотрудников, определяет содержание дополнительных тренингов, проводит тестирование.

Для проведения тестирования персонала лучше всего использовать специальные программные решения, которые позволяют контролировать уровень знаний и результативность обучения. С их помощью ведется учет инцидентов, числа сотрудников, которые стали их участниками, количества прошедших обучение, данных о том, как они усвоили материал тренинга.

Что касается самого тестирования и всего процесса обучения в целом, стоит отметить, что практика геймификации, которая получила распространение в последнее время, далеко не всегда себя оправдывает. Она плохо развивает практические навыки и не доносит в полной мере знания о порядке поведения в случае киберинцидентов.

Имитация кибератак – куда более действенный вид тренинга. Она позволяет сотрудникам компании и ощутить их опасность, и усвоить порядок действий в экстренной ситуации

Кроме того, такие «киберучения» наглядно демонстрируют роль каждого сотрудника компании в отражении киберугрозы.

Сценариев внезапных проверок может быть много. Иногда ИБ-специалисты или руководители подразделений требуют от сотрудника сообщить коды и пароли, которые не подлежат оглашению. В других случаях сотрудников «атакуют» при помощи фейковых аккаунтов в социальных сетях, рассылая через специально созданных аватаров фишинговые сообщения. Возможно использование электронной почты и других инструментов, которые обычно есть в арсенале киберпреступников.

Результаты такого тестирования нуждаются в тщательном анализе. Ценность представляет информация не только о том, как реагируют сотрудники на киберугрозы (и замечают ли они их вообще), но и о том, к каким последствиям приводят учебные кибератаки.

Персоналу необходимо демонстрировать результаты тестирования, разбирать нюансы поведения и действий, которые сопровождали «атаку». Это позволяет вовлекать сотрудников в практическое обеспечение информационной безопасности и в конечном счете нивелировать «человеческий фактор».

КТО В ОТВЕТЕ

Организация подобного обучения персонала, на первый взгляд, – обязанность ИБ-службы предприятия. Однако такой подход может оказаться неэффективным. Связано это с тем, что часто ИБ-специалисты, хорошо разбираясь в нюансах ИТ и кибербезопасности, не очень хорошо владеют навыками коммуникации.

Поэтому к организации ИБ-обучения и тренингов обязательно стоит привлекать профильных специалистов по работе с персоналом

Они должны становиться непосредственными организаторами (и участниками) процесса обучения персонала. Роль же ИБ-департамента – выбор специализированных решений, подготовка содержания тренинга, оценка результатов, принятие соответствующих организационных решений на уровне руководства организации.

При таком подходе шансы на успешную защиту от внешних угроз значительно возрастают.