Для интернет-мошенников ваши сотрудники не просто люди — они возможность добраться до информационных активов вашего бизнеса. В этом материале мы расскажем, как сохранить конфиденциальность и целостность бизнес-данных, защищая сотрудников от киберпреступников.
Подавляющее число компаний сосредоточены на совершенствовании программных и технических средств информационной защиты, но не уделяют внимание информационной защите сотрудников.
Так, каждый четвертый пользователь, подвергшийся фишинговой атаке, перейдет по ссылке и даже начнет переписку с киберпреступником. Это позволяет утверждать, что рано или поздно каждая компания столкнется с угрозой утечки конфиденциальной информации из-за человеческого фактора.
Подробнее о фишинге читайте в нашем материале.
Статистика неутешительна: до 30 % конфиденциальных данных утекает по вине сотрудников. И если от скачивания вредоносного ПО есть возможность защититься с помощью антивирусов и брандмауэра, то от добровольной передачи конфиденциальных данных сотрудником не застраховано ни одно предприятие.
Какие действия сотрудников приводят к утечкам информации?
- Переход по фишинговым ссылкам.
- Намеренная или непреднамеренная передача конфиденциальной информации третьим лицам.
- Некорректное использование съемных носителей.
- Подключение к общедоступным Wi-Fi.
- Публикации чувствительной информации в социальных сетях.
- Передача данных для авторизации третьим лицам.
- Использование личных устройств для доступа к корпоративным сервисам.
Примеры утечек конфиденциальных данных по вине сотрудников
Так, в октябре 2021 года Shinsei Bank случайно обнародовал персональные данные 8000 клиентов. Сотрудник должен был передать подрядчику информацию для аналитики рекламных кампаний, но случайно отправил конфиденциальные данные клиентов. Как показала проверка, банальная утечка по вине сотрудника привела к тому, что информация попала к конкурентам.
Еще один пример — в 2014 киберпреступники из группировки Darkhotel проникали в беспроводные сети отелей через взлом провайдеров. Когда посетители отелей подключались к таким сетям, хакеры выборочно предлагали обновить ПО, и вместе с обновлением на компьютеры проникал троян, передавая управление устройства злоумышленникам.
Третий громкий пример — массивная фишинговая атака на посетителей booking.com в октябре 2023 года. Хакеры похищали данные для авторизации на аккаунтах агрегатора с помощью стилера паролей и вступали в переписку с потенциальными гостями от имени представителей.
Что такое Security Awareness?
Security Awareness — это практика, которую внедряют в компании для повышения осведомленности сотрудников в вопросах кибербезопасности.
Сотрудники предприятия — все еще самое уязвимое звено в системах информационной безопасности компаний. Согласно данным sberbank.ru, 52 % всех организаций считают отсутствие навыков кибергигиены у специалистов главной проблемой в обеспечении ИБ.
Security Awareness направлена на повышение уровня осведомленности коллектива в вопросах информационной безопасности. В рамках программы сотрудники изучают:
- основные виды киберугроз, в том числе социальная инженерия, фишинг, потенциально опасное ПО;
- правила кибергигиены, безопасное поведение в сети, сложные пароли, двухфакторная аутентификация и проч.;
- правила поведения и реагирования при обнаружении угроз ИБ;
- ограничение физического доступа к носителям информации, безопасные хранение и утилизация информации.
Почему важно внедрять Security Awareness?
Первая и самая главная причина — результат внедрения можно практически сразу увидеть и оценить: обученные сотрудники способны распознавать фишинговые атаки и вредоносное ПО, соблюдают правила ИБ, что в конечном итоге очень существенно снижает риски утечки охраняемой информации.
Вторая причина — обучение сотрудников помогает соответствовать нормативно-правовым актам в области обработки и защиты данных: ФЗ-152, приказы ФСТЭК №239 и проч.
Третья причина — навыки кибергигиены полезны вашим сотрудникам не только в рабочее, но и в личное время. Отработанная теория в области информационной безопасности минимизирует риски стать жертвой интернет-мошенников.
Как внедрять Security Awareness?
Важно понимать: Security Awareness — это не одна лекция по информационной безопасности, это растянутый во времени процесс. Чтобы реализовать систему внутри предприятия, необходимо использовать комплекс из инструментов и методов.
Внедряйте мероприятия
Правила кибергигиены можно оформить документально и предоставлять специалистам доступ для ознакомления. При этом, как показала практика, такой подход несостоятелен — информация, бегло изученная один раз без подкрепления практикой, быстро забывается.
Компании могут внедрять различные мероприятия для повышения осведомленности сотрудников в области информационной безопасности и кибергигиены. Проводить такие мероприятия нужно для всех специалистов компании, вне зависимости от должности и направления деятельности.
Можно использовать следующие мероприятия для внедрения Security Awareness:
Обновляйте базу
Ежедневно появляется все большее количество угроз в сфере информационной безопасности. Регулярно обновляйте базу знаний и сообщайте сотрудникам о новых случаях атак злоумышленников через рассылки или любым удобным вам методом.
Проводите «учения»
Освоить большой объем теоретических данных без подкрепления практикой практически невозможно. Вы можете проводить симуляцию фишинговых атак, чтобы проверить реакцию вашей команды. Если какой-либо сотрудник нарушит правило безопасности по время симуляции, следует направить его на повторное прохождение курса.
Награждайте и поощряйте
Достаточно сложно донести сразу до всех сотрудников важность соблюдения правил информационной безопасности — не для всех очевидна опасность потенциальных киберугроз, не все могут представить масштаб последствий в случае утечки конфиденциальных данных.
Небольшие поощрения за успешное прохождение обучения или соблюдения правил безопасности могут стать дополнительным мотивирующим фактором. В качестве поощрения можно использовать:
- бонусы, премии;
- сертификаты о прохождении обучения;
- включение во внутренние рейтинги, вроде «самый внимательный/кибербезопасный сотрудник» и проч.
Оценивайте результаты обучения
По завершении основного курса обучения важно оценить степень усвоения пройденного материала.
Правила поведения в сети и кибергигиена — важная часть стратегии информационной безопасности любой компании. Security Awareness способствует укреплению периметра безопасности организации, воздействуя на его самое уязвимое звено — ваших сотрудников.
