Подавляющее большинство компаний сконцентрированы на развитии технических и программных средств обеспечения защиты, забывая о том, что необходимо с таким же вниманием защищать и своих сотрудников, ведь никто не отменял человеческий фактор, который активно используют злоумышленники, когда технические средства в значительно степени могут противостоять атаке.
Автор: Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
Чтобы выявить узкие места в ИБ, заказчики регулярно обращаются к профессиональным белым хакерам для проведения пентестов. В рамках проведения пентеста используются методы и тактики социотехнического тестирования, чтобы выявить уровень осведомленности сотрудников заказчика в ИБ. Таким образом, по статистике, сформированной командой пентестеров, за 2022 г. в среднем более 13% сотрудников переходит на вредоносные ссылки в фишинговых рассылках при социотехнических атаках. Среди более чем 10 протестированных организаций пользователи не отреагировали только лишь в одном случае, который был обусловлен крайне маленькой выборкой тестовой группы. Такая статистика говорит о том, что в среднем в каждой протестированной компании хотя бы один пользователь из группы рассылки не распознавал фишинговую рассылку и переходил по вредоносной ссылке, подвергая опасности инфраструктуру компании и личные данные. В 2023 г. статистика атак незначительно отличается в положительную сторону, общий процент снизился до 10% – многие организации все же приняли во внимание безопасность организации со стороны защищенности человеческих ресурсов.
Как злоумышленник может воздействовать на сотрудника?
Разберем, как именно злоумышленники производят атаки. Яркими примерами самых распространенных утечек информации по вине сотрудников являются:
- несанкционированное копирование и распространение конфиденциальной информации;
- передача паролей и другой аутентификационной информации третьим лицам;
- публикация чувствительной информации в общедоступных источниках (таких, как социальные сети или форумы);
- неправильное уничтожение или выбрасывание документов и носителей, содержащих конфиденциальные данные;
- некорректное использование общедоступных сетей Wi-Fi, приводящее к перехвату данных;
- оставление ноутбуков или других устройств с конфиденциальными данными без присмотра в общественных местах;
- использование общих компьютеров или принтеров для работы с конфиденциальной информацией;
- переход по вредоносным ссылкам.
Какие действия сотрудников могут привести к утечке?
Рассмотрим этот вопрос более детально, приведем примеры.
Пример 1. Сотрудник отходит от рабочего места, не блокируя при этом компьютер. Стоит ли говорить, что вся информация, включая почтовые сообщения, важные файлы и конфиденциальную информацию, остается как на ладони и без каких-либо усилий может быть моментально перенесена/скачана/удалена злоумышленником.
Пример 2. Сотрудник попался на фишинговую рассылку. По незнанию и невнимательности сотрудник открывает письмо злоумышленника, один в один схожее по оформлению и стилистике (а может, даже и по тематике) с письмами, которые он привык видеть при общении с коллегами, с различием лишь в доменном имени, далее переходит по вредоносной ссылке или ссылке на подменный сайт внутреннего сервиса, вводит доменные данные от учетки – и вот злоумышленник уже получил доступ к информации.
К утечкам также приводит:
- невнимательное использование съемных носителей (флешек, жестких дисков);
- использование внутренних корпоративных сервисов на личных устройствах, которые неподконтрольны службе ИБ и не обеспечивают необходимый уровень защищенности.
Что же такое Security Awareness?
Теперь давайте разберемся, как снизить риски успешной реализации кибератак и количество утечек по вине сотрудников. Тут на помощь приходит процесс, называемый Security Awareness, или процесс повышения осведомленности сотрудников в вопросах информационной безопасности.
Security Awareness – это комплексный процесс обучения сотрудников организации основам безопасного обращения с данными и информацией. Он включает в себя не только развитие у сотрудников навыков обнаружения потенциальных угроз, но и обучение правильным практикам реагирования для своевременной защиты важной информации. Стоит учесть, что результат внедрения данного процесса невозможно увидеть сразу, как, например, при внедрении программного средства защиты.
Почему Security Awareness – это важно?
Однозначного ответа на этот вопрос нет, а есть целый перечень следующих причин:
- дополнительная защита от угроз – обученные сотрудники способны распознавать фишинговые атаки, вредоносные программы и другие угрозы информационной безопасности, что снижает риск утечки данных и кибератак;
- соответствие текущему законодательству – обучение сотрудников помогает соблюдать нормативные и законодательные акты в области обработки и защиты данных, например, ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", приказы ФСТЭК России № 239, 17, 31 и т. д.;
- защита репутации компании – утечка данных или успешно осуществленные кибератаки могут серьезно подорвать репутацию организации. Сотрудники, которые понимают важность безопасности, помогают предотвращать такие инциденты, своевременно сообщая службам безопасности о подозрительных действиях;
- экономия ресурсов компании – потеря данных или восстановление после кибератаки может быть намного более дорогостоящим, чем выстраивание Security Awareness;
- сотрудник скажет руководству "спасибо!" – навыки, которые приобретает сотрудник в процессе обучения информационной безопасности, можно использовать в повседневной жизни.
Внедрение внутренних обучающих программ
Организации могут разрабатывать и внедрять обучающие программы по безопасности. Эти программы могут включать в себя интерактивные уроки, видеоматериалы, онлайн-курсы и тестирование знаний, обучение поведению пользователя в мессенджерах. Стоит отметить, что обучение должно производиться не только в общем порядке для всех сотрудников организации, но и точечно, для определенных групп пользователей в зависимости от направления их деятельности. Например, для сотрудников бухгалтерии и отдела продаж следует обратить особое внимание на обмен документацией с контрагентами, а для технических специалистов – на проверку получаемых файлов и порядок обмена информацией. В случае если сотрудник при тестировании внутри организации допускает ошибку, следует направлять его на точечное обучение повторно.
Постоянное обновление базы знаний
Угрозы в сфере информационной безопасности постоянно меняются, появляются все более изощренные способы атак с использованием социальной инженерии. Именно поэтому важно регулярно обновлять обучающие материалы и своевременно информировать сотрудников об актуальных угрозах.
Периодическая симуляция атак
Поскольку человек не способен усваивать голую теорию в полном объеме, обязательно следует закреплять полученные знания на практике. Таким образом, организации могут (и более того, им следует!) проводить симуляции фишинговых атак и других киберугроз, чтобы проверить реакцию сотрудников. Для этого могут использоваться услуги сторонних организаций (например, ИБ-интеграторов) или же существующие платформы. Такой подход позволит выявить, какой пул сотрудников представляет угрозу на текущий момент, и своевременно отправить его на обучение. На сегодняшний день Angara Security является одной из пула компаний, способных на профессионально высоком уровне реализовывать данную задачу.
Внедрение системы наград и поощрений
Поскольку не всем сотрудникам до конца понятна важность информационной безопасности, все по-разному воспринимают обучающие мероприятия. Поощрение сотрудников за активное участие в обучении по безопасности и развитии Security Awareness может быть мотивирующим фактором и повысит эффективность мероприятий. Это может включать в себя небольшие бонусы, сертификаты, включение в список "Самые безопасные сотрудники" или любые другие награды.
Создание культуры безопасности
Безопасность должна быть встроена в корпоративную культуру на всех уровнях. Топ-менеджмент должен поддерживать усилия по безопасности и подавать пример для остальных сотрудников. Сотрудники должны рассматривать ее как приоритет и понимать важность, используя в повседневной жизни. В этот пункт также можно добавить распространение плакатов-напоминалок в офисных помещениях для сотрудников.
Такие мероприятия предназначены не только для рядового сотрудника организации, они должны охватывать собой менеджмент. Примеры тем для мероприятий представлены в таблице с учетом должностных обязанностей.
Что стоит учитывать при построении Security Awareness?
Однозначно при построении эффективного комплексного процесса Security Awareness следует опираться на ключевые принципы, перечисленные ниже.
Регулярность – проведение обучающих мероприятий и информирование сотрудников о новых угрозах и методах защиты должно быть регулярным и систематическим.
Наглядность – информация о безопасности должна быть представлена в наглядной форме, чтобы сотрудники могли легко понять и запомнить ее. Она всегда должна быть перед глазами и напоминать о себе.
Актуальность – информация о безопасности должна обновляться и корректироваться в соответствии с новыми угрозами и изменениями в законодательстве.
Интерактивность – обучение безопасности должно быть интерактивным и включать в себя практические задания и упражнения, чтобы сотрудники могли применить полученные знания на практике.
Индивидуальный подход – обучение должно учитывать уровень знаний и навыков каждого сотрудника, а также его индивидуальные потребности в области безопасности.
Оценка результатов – после проведения обучения необходимо оценить его результаты и определить, насколько успешно сотрудники усвоили полученные знания и навыки.
Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.