Осведомленность. Как снизить влияние человеческого фактора на кибербезопасность
- Невысокий уровень киберграмотности у сотрудников и контрагентов повышает риски безопасности и может привести к остановке бизнес‑процессов.
- Обучение сотрудников основам кибергигиены заметно сокращает ущерб от человеческого фактора. Например, устойчивость к фишингу увеличивается в 9 раз.
- Анализ воздействия на бизнес (business impact analysis, BIA) помогает:
- понять цифровые риски, связанные с человеческим фактором;
- оценить, к чему может привести реализация этих рисков;
- определить группы лиц, которые на риски влияют, — сотрудники разных бизнес-подразделений, контрагенты, подрядчики.
- В зависимости от рисков и специфики работы сотрудников, компании нужны разные подходы: очные и онлайн‑курсы, информационные рассылки, киберучения. При этом важно сохранять комплексный подход: обучение, тестирование знаний, учебные атаки.
Бухгалтер хранил пароль от рабочего компьютера в заметках на телефоне. Хакеры взломали привязанный к телефону аккаунт и слили в сеть сведения о счетах компании.
Сотрудник банка отправлял конфиденциальные файлы через общедоступное облако. Облачный провайдер не позаботился должным образом о безопасности, и файлы попали в руки злоумышленников.
Офис‑менеджеру в выходной день поступил звонок якобы от специалиста IT‑службы. Тот сказал, что проводит срочные работы и менеджеру нужно авторизоваться на рабочем компьютере. Чтобы не ехать для этого в офис, «специалист» предложил сотруднику поделиться паролем по телефону. Так мошенники получили доступ в системы компании.
Все эти примеры объединяет одно: компании оказались скомпрометированы из‑за ошибки сотрудника. Самые продвинутые технологии не помогут, если не учесть влияния человеческого фактора на процессы безопасности. Последствия могут быть самыми разными, вплоть до полной остановки бизнеса.
- утечки корпоративных данных,
- разглашение конфиденциальной информации,
- кража интеллектуальной собственности,
- нарушение или полное удаление критически важных данных,
- недоступность внутренних IT‑систем и пользовательских сервисов,
- финансовые и репутационные потери,
- штрафы и санкции регуляторов.
Из этого руководства вы узнаете, какие инструменты помогут планомерно повысить киберграмотность персонала, какова роль топ‑менеджмента в этом процессе и чем обучение киберграмотности IT‑специалиста отличается от курса для менеджера по продажам.
А начнем с того, почему российским компаниям сейчас особенно важно, чтобы их сотрудники умели реагировать на киберугрозы.
По статистике учебных фишинговых атак, которые мы проводим у клиентов, 7 из 10 специалистов по продажам открывают вредоносные письма, а каждый седьмой бухгалтер переходит по фишинговой ссылке.
C каждым годом количество атак на российские компании через сотрудников растет. Низкий уровень осведомленности в сфере кибербезопасности — одна из причин этого явления. Хакеры знают, что у них есть возможность обойти защитные системы через сотрудников, и не прекращают такие попытки.
Как человеческий фактор снижает эффективность киберзащиты
-
Компания может не уделять достаточно внимания рискам, связанным с сотрудниками. Например, делать акцент на технологиях защиты и забывать про правила кибербезопасности. В результате сотрудники могут использовать пароли, которые легко взломать, потому что в организации нет парольной политики. При этом примерно каждый третий руководитель считает, что его сотрудникам не требуется дополнительное обучение по кибербезопасности.
-
Если в компании все же есть регламенты кибербезопасности, они могут быть сформулированы слишком сложным языком. Тогда сотрудники будут видеть в них бюрократию ради галочки, которую можно игнорировать. Стоит отметить, что если топ‑менеджмент компании на личном примере показывает, как важно соблюдать требования кибербезопасности, то и сотрудники охотнее им следуют.
-
Очень важно, выполняет ли человек правила безопасности в нерабочее время, ведь скомпрометировать служебную учетную запись можно и с собственного смартфона. К примеру, важно не только в офисе, но и дома проверять, куда в действительности ведут ссылки в электронной почте. А к общедоступным Wi‑Fi‑сетям лучше не подключаться ни с корпоративного, ни с личного устройства.
С недавнего времени к этим факторам риска добавилась необходимость срочно перейти на отечественное ПО. Сотрудники могут попросту не знать, как безопасно использовать новые для них IT‑продукты и как выставить правильные настройки.
Именно поэтому мы рекомендуем нашим клиентам как можно скорее задуматься над тем, как их процессы безопасности учитывают человеческий фактор. Первый шаг к этой цели — выделить события, которые больше всего повлияют на бизнес.
Анализ воздействия на бизнес (business impact analysis, BIA) помогает осознать весь спектр внешних и внутренних угроз, оценить прямые и косвенные убытки от инцидентов: материальный ущерб, деградацию качества услуг, ухудшение рыночных позиций.
- Выделить основные и поддерживающие бизнес‑процессы, определить внутри них критические операции, которые может нарушить человеческая ошибка.
- Понять возможный масштаб последствий, если инцидент все же произойдет.
- Определить сотрудников, участвующих в этих процессах, и разделить их на целевые группы по ключевым факторам:
- характеру деятельности;
- методам и механикам злоумышленников, которые они могут применять при атаках на ту или иную группу;
- масштабу возможных последствий такого воздействия.
Например, в одной компании самый ощутимый ущерб при атаке на большую часть сотрудников принесет утечка доменного пароля, в другой — заражение устройства шифровальщиком.
- Спланировать для каждой группы мероприятия для повышения осведомленности, подготовить инструкции на случай кибератаки.
В зависимости от ущерба и характера возможных атак на разные группы сотрудников можно принимать решения: кому точно потребуется дополнительное обучение, а кому будет достаточно внутренних инструктажей и рассылок о правилах безопасности. Наименее уязвимой категории сотрудников — скажем, работникам службы кибербезопасности, у которых уровень киберкультуры достаточно высокий, — дополнительное обучение может не потребоваться, тратить на это лишние средства необязательно. А бухгалтерам, возможно, наоборот — понадобятся киберучения с моделированием фишинговой атаки или отработка навыков в формате игры.
По результатам BIA вы определите нужный объем обучающих курсов, периодичность обучения и тестирования для разных категорий сотрудников. План будет учитывать уровни доступа этих людей к информационным активам и системам. Например, системных администраторов, обладающих всеми доступами, нужно обучать и контролировать почаще, раз в квартал. А пользователей, которые не работают с критически важными IT‑активами, — раз в год.
Когда вы сформировали представление о возможном ущербе, разобрались, кому и как нужно работать над киберосведомленностью, можно выработать программу обучения, которая будет подходить под запросы именно вашей компании.
Мероприятия курса помогут сотрудникам понять:
- ущерб, с которым может столкнуться бизнес, если из‑за сотрудника произойдет инцидент;
- методы, которые злоумышленники могут использовать против сотрудников;
- важность постоянного обучения и проверки знаний, а также правильных действий в случае инцидента.
В зависимости от цели меняется набор обучающих мероприятий:
| Что сюда входит | Что это даст | |
|---|---|---|
| Показать последствия инцидентов для бизнеса |
Серия внутренних инструктажей для целевых групп (бухгалтеры, экономисты, логисты, IT‑специалисты и т. д.). Для каждой группы — свой набор инструкций в зависимости от выполняемой работы и возможных последствий инцидента |
Сотрудники наглядно осознают влияние атаки на бизнес и получат стимул не стать виновниками инцидента |
| Рассказать о методах предотвращения последствий |
Обучающие курсы, тренинги для целевых групп сотрудников. Мероприятия должны учитывать наиболее серьезные с точки зрения ущерба методы атак на конкретную группу: фишинг для отдела продаж, направленные атаки на финансистов и т. д. |
У сотрудников появятся практические знания о механиках кибератак |
| Контролировать уровень знаний по кибербезопасности |
Тесты, учебные атаки с отработкой процедур реагирования, регулярные фишинговые рассылки. Схема и периодичность зависят от конкретной группы |
Вы получите отчет об эффективности обучения и сможете спланировать дальнейшие мероприятия |
Для каждой группы мы рекомендуем сформировать собственный план мероприятий. Так будет проще сделать выводы о подходящем порядке обучения.
Например, одна группа может начать с обучающего курса, затем проверить знания на тесте и отработать навыки в обучающих атаках. Другая, наоборот, начнет с моделирования инцидентов, а затем пройдет курс. После каждой учебной атаки важно собрать статистику и проанализировать действия всех участников. К примеру, если большинство сотрудников в группе не справились с испытанием, то перед следующим мероприятием нужно провести для них дополнительный курс.
Если внешние специалисты имеют доступ к инфраструктуре компании, их также стоит поделить на группы риска и ранжировать по критичности влияния. Так можно будет определить, нужно ли выделять бюджет на их обучение, и оценить, нужны ли дополнительные организационные меры со стороны компании. Например, в договоре можно будет прописать, что сторонние пользователи получают доступ к ресурсам компании только после обучения и участия в учебных атаках.
С помощью нашей платформы для повышения киберграмотности мы проанализировали и выявили категории наиболее уязвимых работников по подразделениям. Чаще всего небезопасные действия совершают сотрудники, которые не являются IT‑специалистами. Например, в отделе маркетинга и в секретариате почти половина сотрудников открыла вредоносное письмо.
Как разные сотрудники справляются с фишингом
1. Объясняйте принципы безопасной работы в офисе и удаленно
При этом содержание обучающих материалов и тестов необходимо регулярно обновлять, чтобы оставаться в курсе новых киберугроз, технологий и практик безопасности. А после каждого курса и тренинга — проверять тестами, как усвоилась информация.
2. Создайте канал связи для информирования о событиях безопасности
Так у работников будет возможность сообщить о подозрениях на инцидент, задать вопрос специалисту по кибербезопасности.
3. Обучайте действиям при подозрении на инцидент
Это нужно, чтобы сотрудник мог с первых шагов правильно среагировать на атаку. Например, важно не перезагружать компьютер, сделать скриншоты для службы безопасности и сразу сообщить о проблемах IT‑специалистам.
4. Регулярно проводите имитированные фишинговые атаки
Они помогут подготовить работников к реальным инцидентам и снизят вероятность, что хакеры добьются успеха. Учебные атаки должны охватывать всю компанию, начиная с рядовых производственных сотрудников и заканчивая топ-менеджментом. Отчет по итогам учений даст реальное представление о готовности разных подразделений к киберинцидентам, практической культуре кибербезопасности у ваших сотрудников.
5. Создайте регулярные информационные рассылки для всей компании
Это удобный способ, чтобы распространять рекомендации по кибербезопасности, показать правильные настройки программного обеспечения и новые техники безопасности, предупредить работников о киберугрозах.
6. Не оставляйте без внимания нарушения правил кибербезопасности
Для таких случаев потребуются санкции и дисциплинарные взыскания, например лишение премий и бонусов. Сотрудники должны чувствовать персональную ответственность за несоблюдение правил. При этом процесс привлечения к ответственности должен быть максимально прозрачным.
7. Используйте готовые сервисы для обучения
Это могут быть IT‑решения класса security awareness — составленные экспертами программы тренингов в области кибербезопасности, которые помогут организовать непрерывный, контролируемый цикл обучения и повышения навыков.
Своим клиентам мы предлагаем комплексное решение для противодействия социотехническим атакам — BI.ZONE Security Fitness. Оно объединяет учебные курсы, тренировки и отслеживание реальных атак злоумышленников.
Компания — владелец электронной платежной системы — регулярно сталкивалась с атаками на сотрудников. Мы запустили рассылку об участившихся фишинговых сообщениях, описали их признаки и поделились техниками реагирования. Этого оказалось недостаточно: работники все равно открывали письма из любопытства или по невнимательности. А часть пользователей просто проигнорировала нашу рассылку из-за низкой вовлеченности в процесс.
Выяснилось, что компания никогда не обучала работников определению мошеннических писем. Система повышения знаний о кибербезопасности фактически отсутствовала.
- Выделили целевые группы по уровню доступа к критическим активам и по навыкам безопасной работы с информацией: «Финансы и бухгалтерия», «IT и кибербезопасность», «Операционисты», «Группа работников с низким уровнем риска».
- Составили расписание обучающих курсов и тренировочных атак для каждой группы. При этом мы учли специфику компании, самих групп, условия работы и уровень кибергигиены в каждой группе. В разработанных курсах упоминались специфические для заказчика активы, приложения, типы конфиденциальной информации. Кроме того, эксперты детализировали разделы по безопасности при работе с системами электронных платежей.
- Внедрили непрерывный процесс повышения осведомленности с помощью BI.ZONE Security Fitness. Он включил в себя цикл регулярного обучения работников, учебные атаки, доработки системы мотивации.
- За полгода число уязвимых сотрудников снизилось на 30%.
- Программа мотивации Security Champion повысила вовлеченность работников в соблюдение требований кибербезопасности и укрепила их лояльность.
- Дополнены психологические профили работников.
Чтобы оградить бизнес от рисков, связанных с атаками на сотрудников, нужно обучать персонал безопасной работе в цифровой среде — комплексно и непрерывно. По возможности мероприятия должны охватывать каждого человека в компании, вплоть до руководящего состава.
Обучение можно проводить своими силами: установить специальное программное обеспечение, придумать письма и сценарии, создать фишинговые вложения и страницы. Но эффективнее использовать готовые решения, которые учитывают новейшие механики противодействия кибератакам. Это возможность создать ситуацию, максимально приближенную к реальным условиям. Также с помощью автоматизированных сервисов удобно собирать статистику и анализировать прогресс сотрудников.
За имитацией кризисных ситуаций можно обратиться к экспертной компании. Специалисты смоделируют нападение злоумышленника, соберут аналитику и дадут рекомендации, как повысить устойчивость сотрудников перед цифровыми угрозами.