Для современных организаций опасность таится не только в изощренных внешних кибератаках, но и внутри собственных стен. Добропорядочные, но неосведомленные сотрудники все чаще становятся причиной утечки данных и сбоев в работе систем, совершая порой примитивные ошибки. Более 50% утечек данных у российских компаний происходит по вине действующих сотрудников.
Фишинговые уловки обманывают даже опытных работников, заставляя их сдавать учетные данные. Неосторожный просмотр веб-страниц приводит к появлению вредоносных программ. Утечка конфиденциальной информации происходит через простые вложения в электронную почту.
Хотя традиционные средства ИБ-контроля, такие как брандмауэры и системы управления доступом, по-прежнему важны, слишком многие учреждения упускают из виду самую главную линию защиты от атак — собственный выбор персонала, взаимодействующего с технологиями.
Формирование культуры кибергигиены и осведомленности — важнейшие условие предотвращения, обнаружения и реагирования на инциденты в условиях современного растущего ландшафта угроз.
В этой статье мы рассмотрим лучшие практики оценки и повышения уровня кибербезопасности сотрудников с помощью политик, образовательных программ, инициатив по обеспечению прозрачности и позитивных структур поддержки.
Ситуация на сегодняшний день
Каждый год в интернет выкладывают персональные данные пользователей, потому что работники компаний нарушают протоколы безопасности. Например, открывают фишинговые ссылки и вводят там логины и пароли. Только с начала 2024 года в сеть утекло порядка 116 млн строк данных россиян общим объемом 5 терабайт. Наибольшее количество утечек данных было зафиксировано в финансовом секторе.
Согласно исследованию InfoWatch, наиболее значительные утечки данных касались коммерческой тайны, ноу-хау и персональных данных. Большинство организаций, задействованных в исследовании, не предоставили точные цифры о понесенных убытках. В основном оценку ущерба проводили крупные и средние компании, а также финансовые учреждения.
Из тех случаев, где ущерб был оценен, 14% составили суммы свыше 1 миллиона рублей. Примером такого ущерба стал случай, связанный с ошибкой топ-менеджера, который потерял съемный носитель с коммерческой тайной, что обошлось организации в более 1 миллион рублей.
Подобные инциденты также возникали в результате следующих ситуаций:
- Копирование сотрудником секретов производства на съемный носитель.
- Умышленные действия подрядчика, приведшие к утечке персональных данных, банковской и служебной тайны.
- Умышленные действия сотрудника, приведшие к утечке коммерческой, служебной тайны и персональных данных через корпоративную электронную почту.
В половине случаев ущерб оценивался в диапазоне от 100 до 500 тысяч рублей, причем такие утечки данных часто происходили одновременно с нарушением коммерческой тайны.
Выявление пробелов
Прежде чем разрабатывать стратегию совершенствования культуры ИБ, руководителям служб безопасности необходимо получить информацию о слабых местах в работе сотрудников. Основная диагностика должна включать в себя:
Опросы на предмет осведомленности о кибербезопасности
Анонимные опросы выявляют текущий уровень знаний сотрудников в области ИБ, их привычки работы в Интернете на корпоративных устройствах и отношение к ИБ-политике. Выявленная статистика отмечается для дальнейшего обучения.
Имитация инцидентов
Методы этичного взлома (пентеста) напрямую проверяют восприимчивость сотрудников к распространенным ловушкам социальной инженерии путем развертывания поддельных фишинговых писем, имитирующих ссылки на вредоносные программы или запросы на извлечение данных.
Обзор данных об инцидентах
И наконец, обобщите показатели, полученные из опросов, пентестов и данных оперативного центра безопасности, и определите количественные параметры предыдущих компрометаций, которые можно отнести к внутренним человеческим ошибкам. Установите измеримые базовые показатели.
Не поддавайтесь предположениям о компетентности сотрудников в области ИБ и не фокусируйтесь только на технологиях защиты. Продуманные системы оценки рисков позволяют направить меры по повышению культуры безопасности. Рассматривайте диагностику как шанс укрепить первую линию обороны за счет более информированной поддержки и обучения.
Политика и обучение основам кибербезопасности
Когда уязвимости раскрыты, работа по их укреплению начинается с пересмотра основ политики безопасности и привлечения персонала с помощью внутреннего обучения. Ключевые инициативы должны привести протоколы в соответствие с ролями.
Четко сформулированные рекомендации диктуют требуемые и запрещенные модели цифрового поведения для разных типов сотрудников, устройств и уровней доступа к данным. Политики должны обновляться в соответствии с модернизацией системы.
Создайте положительную динамику с помощью прозрачного управления политикой и динамичных моделей обучения. Последовательное обучение избавляет от небезопасных цифровых привычек.
Освещая оборону: прозрачность и ответственность
После разработки политики и проведения обучения изменения в культуре зависят от расширения возможностей сотрудников с помощью открытых коммуникаций по вопросам безопасности и личной ответственности. Основные инициативы для мотивации включают:
Доступ к информации о безопасности
ИБ-отделы делятся статистикой киберрисков, новостями о пресеченных попытках проникновения и новыми средствами защиты систем.
Каналы диалога по инцидентам
Предоставьте сотрудникам конфиденциальные каналы, по которым они могут высказать свои опасения по поводу кибербезопасности. Поощрение обратной связи побуждает сотрудников открыто сообщать о странных действиях, не опасаясь наказаний, чтобы обеспечить раннее реагирование.
Индивидуальная ответственность
Усильте обязательства конечных пользователей по защите учетных записей и данных с помощью ежегодно пересматриваемых соглашений. Маленькие повседневные решения предотвращают катастрофу.
Регулярно обновляйте средства защиты
Обновляйте технические средства защиты информации и обучающие материалы с учетом новых методов атак. Поддерживайте динамическую готовность, опережая развивающиеся тактики противника.
Избегайте непрозрачности в вопросах кибербезопасности, поскольку незнание порождает страх или апатию. Напротив, прозрачная информация об угрозах способствует поддержанию нужного уровня культуры безопасности внутри организации.
Формирование устойчивой культуры кибербезопасности
В эпоху, когда кибератаки становятся все более изощренными, внедрение чисто технических средств защиты оказывается бесполезным, если не развивать мышление и взаимодействия в коллективе, защищающие организацию изнутри. Оценив уязвимые места и честно рассказав о них, а затем активно обучая и поощряя безопасные цифровые привычки, руководители превращают сотрудников из источника риска в жизненно важную силу.
Формирование культуры кибербезопасности — это непрерывный процесс. Но каждодневная поддержка осведомленности сотрудников становится еще одним гарантом информационной безопасности вашей организации.
Оригинал публикации на сайте CISOCLUB: "Психологические аспекты кибербезопасности: как формировать культуру безопасности среди сотрудников".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
