В современном стремительно меняющемся цифровом ландшафте, где угрозы безопасности информации постоянно эволюционируют, информационная безопасность (далее – ИБ) перестала быть исключительно технической задачей. Высокотехнологичные системы защиты, надежные сетевые периметры и передовые средства обнаружения атак составляют лишь часть общей оборонительной стратегии организации. Ключевым и зачастую наиболее уязвимым звеном в этой цепи остается человек – сотрудник. Именно человеческий фактор, будь то неосторожность, незнание или ошибка, служит причиной большинства успешных компьютерных атак, включая те, что используют методы социальной инженерии и возможности искусственного интеллекта (далее – ИИ).
Актуальная статистика подтверждает приведенные выше тезисы. Так, по данным отчета Positive Technologies «Актуальные киберугрозы: III квартал 2024 года»[1], социальная инженерия по-прежнему является наиболее популярным методом для атак на организации (50%) и частных лиц (92%). Кроме того, в исследовании компании «Астерит»[2] за февраль-ноябрь 2024 года указывается, что инсайдерские действия (41%) входят в четверку самых опасных способов кибератак, а фишинг (42%) и ошибки персонала (22%) являются наиболее распространенными киберугрозами, с которыми сталкивались респонденты. Более того, 78% опрошенных сталкивались с инцидентами, связанными с ошибками персонала. Эти цифры убедительно демонстрируют, что, несмотря на инвестиции в технические средства защиты, без повышения осведомленности персонала организации остаются крайне уязвимыми.
Таким образом, повышение осведомленности в ИБ, в настоящее время, трансформировалось из второстепенной задачи в одну из основных. Автор уже рассматривал подходы к решению этой задачи в одной из предыдущих статей[KS1] , где охарактеризовал мероприятия по повышению осведомленности, которые применяет в своей практике. Схематично, перечень мероприятий можно представить в виде майндкарты на рисунке 1.
Рисунок 1. Система мероприятий по повышению осведомленности сотрудников в вопросах ИБ
Разработка системы мероприятий по повышению осведомленности в ИБ – это не набор случайных тренингов, а процесс, требующий системного подхода. Любая эффективная программа начинается с детального понимания текущего состояния и потребностей. Иными словами, необходимо провести своего рода внутренний аудит (он не должен быть формальным, как привычные для понимания аудиты). В рамках аудита оценивается:
1. Существующие политики и процедуры ИБ: внутренние документы, регламентирующие работу с информацией, доступом, инцидентами и т.д. Насколько они актуальны, понятны и применимы?
2. Пробелы в знаниях и поведении работников (пользователей):
- Изучение отчетов об инцидентах ИБ, связанных с человеческим фактором. Какие ошибки сотрудники совершают чаще всего? Какие подразделения наиболее уязвимы?
- Анализ результатов предыдущих симуляций (например, антифишинговых тренировок).
3. Определение специфических рисков. Каждая организация уникальна. Для финансовой компании это могут быть угрозы мошенничества, для производственной – нарушение работы автоматизированных систем управления, для медицинской – утечки персональных данных и т.п. Мероприятия должны быть адаптирована под специфические угрозы и контекст деятельности организации.
4. Определение целевых групп. Не все сотрудники нуждаются в одном и том же обучении. Программа должна быть дифференцирована по группам:
- Менеджмент - осведомленность о стратегических рисках, комплаенсе, реагировании на кризисные ситуации.
- Рядовые сотрудники: основы кибергигиены, распознавание фишинга, безопасное использование почты и интернета.
- IT-специалисты: глубокие знания о технических угрозах, безопасной разработке, администрировании.
- Новые сотрудники: введение в корпоративные политики ИБ с момента прихода в организацию.
Следующим этапом будет являться разработка содержания мероприятий по повышению осведомленности: разработка курсов, сценариев киберучений, антифишинговых тренировок. Очевидно, что их содержание во многом будет зависеть от специфики деятельности организации и базироваться на результатах проведенного аудита, поэтому вопросы, связанные с сутью (что должно быть) этих мероприятий я рассматривать не буду.
В рамках данного этапа хотелось бы обратить внимание на то, с помощью чего можно быстро и эффективно реализовать разработку мероприятий по повышению осведомленности. Речь идет о таком мощном помощнике в создании динамичного и увлекательного контента как сервисы (модели) искусственного интеллекта. Как конкретно ИИ может помочь?
1. Разработка курсов по ИБ:
- Разработка содержания курса с учетом специфики аудитории и/или деятельности организации.
- Разработка программ и сценариев внутренних мероприятий по ИБ: митапы, деловые игры, мини конференции и т.п.
- Генерация видео-инструкций - использование ИИ для создания коротких, динамичных видеороликов с использованием анимированных персонажей или «говорящих» аватаров.
- Персонализированные аудио-подкасты - ИИ может адаптировать аудио-контент, включая примеры, истории и даже интонации голоса, под предпочтения и уровень подготовки слушателя, делая обучение более релевантным.
- Быстрое создание инфографики и визуализаций - ИИ-модели могут мгновенно создавать привлекательные и понятные инфографики, диаграммы, иконки и иллюстрации. Это значительно сокращает время и ресурсы на создание визуальных материалов.
2. Интерактивные форматы, усиленные ИИ:
- ИИ-генерируемые фишинговые симуляции. Это один из наиболее мощных инструментов. Собственно, как вам наверняка известно, злоумышленники широко используют ИИ для генерации фишинговых писем, так почему бы не использовать этот инструмент и в рамках тренировок. ИИ, в частности большие языковые модели, могут генерировать реалистичные, персонализированные фишинговые письма и сценарии социальной инженерии. Они могут имитировать внутренние корпоративные письма (например, от HR, IT-отдела, бухгалтерии), учитывать последние новости компании или даже использовать данные из открытых источников для создания максимально убедительного контекста.
- Симуляция фишинга с использованием дипфейка руководителя, требующего срочных действий – это позволит сотрудникам на практике увидеть и понять, насколько убедительными могут быть подобные угрозы.
- Сценарии для командно-штабных учений. Большие языковые модели могут создавать сложные и многоступенчатые описания сценариев атак, имитирующие действия реальных хакерских групп, с учетом специфики организации (по описанию).
- Чат-боты на базе больших языковых моделей могут предоставить сотрудникам безопасную «песочницу» для практики. Например, сотрудник может «потренироваться» отвечать на подозрительный звонок или электронное письмо, а чат-бот, имитируя злоумышленника, будет вести диалог, пытаясь манипулировать. Чат-боты могут выступать в качестве «виртуальных экспертов» по ИБ. Сотрудники могут задавать им вопросы 24/7 (например, «Как отличить фишинг?», «Что делать, если я потерял корпоративный ноутбук?» и т.п.), получая мгновенные и точные ответы, соответствующие корпоративным политикам. Это значительно снижает нагрузку на команду ИБ и повышает оперативность получения информации сотрудниками. Однако, наиболее распространенным применением чат-ботов в настоящее время является процесс адаптации нового работника (т.н. «онбординг»). Чат-боты могут выступать в роли интерактивных помощников, отвечая на вопросы новичков по ИБ, корпоративным политикам и процедурам, связанным с безопасностью данных и систем.
Разработка контента – это полдела. Важно обеспечить его эффективную доставку и поддержание постоянного интереса сотрудников.
Эффективность программы осведомленности определяется не только качеством ее разработки, но и тем, насколько успешно она внедряется и поддерживается в динамично меняющейся среде.
В рамках этапа внедрения мероприятий хотелось бы обратить внимание на следующие моменты:
1. Проведение пилотных запусков - прежде чем масштабировать программу на всю организацию, рекомендуется провести пилотный запуск для небольшой группы сотрудников. Это позволит собрать первичную обратную связь и внести необходимые коррективы до полномасштабного внедрения.
2. Полномасштабное внедрение - после успешного пилота программа масштабируется на всех целевых сотрудников.
3. Обеспечение регулярности и постоянства. Осведомленность – это не однократный проект, а непрерывный процесс. Необходимо разработать график регулярных напоминаний, обновлений контента и повторных обучений. Угрозы и обстановка постоянно меняются, и знания сотрудников должны обновляться соответствующим образом.
4. Интеграция в онбординг. Вопросы ИБ должны быть включены в процесс адаптации новых сотрудников с первого дня их работы. Это формирует правильное понимание значимости ИБ с самого начала.
Итак, мероприятия разработаны и внедрены – что дальше? Как и в классическом PDCAнеобходим контроль и оценка их эффективности. С помощью каких метрик это можно делать?
1. Количественные метрики:
- Прохождение курсов и результаты тестов - базовые показатели, показывающие, сколько сотрудников прошли обучение и насколько хорошо они усвоили материал.
- Снижение количества успешных фишинговых атак - это одна из ключевых метрик. Регулярные тренировочные фишинговые кампании позволяют отслеживать динамику. Снижение этих показателей – прямой индикатор повышения осведомленности.
- Число зафиксированных инцидентов ИБ, связанных с человеческим фактором. Анализ инцидентов до и после внедрения программы позволяет оценить её влияние на реальные риски.
- Время реакции на инциденты. Насколько быстро сотрудники сообщают о подозрительных активностях?
- Соблюдение политик ИБ. Например, соблюдение политик паролей, корректная классификация документов.
2. Качественные метрики:
- Опросы удовлетворенности путем заполнения анкеты на внутреннем портале (или по электронной почте). При этом следует учитывать, что всегда имеются определенные работники, которые выступают с неконструктивной критикой.
- Анализ изменений в повседневном поведении. Этот показатель сложнее измерим, но крайне важен. Наблюдение за изменениями в привычках (например, блокировка экрана при отходе от рабочего места, более осторожное обращение с внешними накопителями) может подтвердить успех программы.
На основе собранных данных необходимо проводить регулярный анализ (не менее раза в год), выявлять области, требующие улучшения, и доносить эти результаты до всех заинтересованных сторон. Отчеты должны быть прозрачными и демонстрировать ценность программы как для бизнес-подразделений, так и для высшего руководства.
Программа повышения осведомленности не может быть статичной. Она должна постоянно адаптироваться к изменяющемуся ландшафту угроз, новым технологиям, изменениям в организационной структуре и, конечно, на основе полученной обратной связи и результатов оценки.
Материалы обучения следует регулярно обновлять, чтобы учитывать новые угрозы, изменения в корпоративных политиках или появление новых технологий.
Повышение осведомленности в ИБ – это не просто набор мероприятий, а выстроенный и непрерывный процесс, который лежит в основе эффективной защиты любой современной организации.
В условиях беспрецедентного роста угроз, где злоумышленники активно используют самые передовые технологии, включая искусственный интеллект, человеческий фактор, будучи главной уязвимостью, может и должен стать самым сильным активом компании, а ИИ мощным катализатором для внедрения и совершенствования данного процесса.
Сведения об авторе: Саматов Константин Михайлович, член Правления Ассоциации руководителей служб информационной безопасности
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!