Как избежать утечки информации и превратить сотрудников в союзников команды безопасности.
«Центр Корпоративных Решений» совместно с экспертами компании «Информзащита» внедрил Антифишинг — систему повышения осведомленности пользователей в области информационной безопасности. Система интегрирована с корпоративными средствами защиты и обеспечивает непрерывный процесс обучения, формирования необходимых навыков поведения в информационном пространстве и снижения числа инцидентов кибербезопасности, связанных с человеческим фактором.
Исследование Microsoft IT Cloud Security Survey, проведенное аналитической компанией IDC в шести странах Центральной и Восточной Европы (в том числе, России), показало, что одним из основных направлений развития компаний на ближайшие несколько лет является постоянное обучение как ИТ-специалистов, так и рядовых сотрудников в области ИБ. Социальная инженерия — атаки на сотрудников и небезопасные действия людей — остается наиболее успешным вектором, на долю которого приходится основное число проникновений в систему. Год пандемии тоже обнажил многочисленные проблемы кибербезопасности, поскольку компании были вынуждены срочно адаптироваться к «новой норме» удаленной и гибридной работы, что повлекло за собой расширение поверхности атаки и новые риски.
В современном цифровом мире работники во всех отраслях должны обладать знаниями не только в рамках своих компетенций, но и навыками, связанными с обеспечением информационной безопасности своего рабочего места. От этого зачастую зависит работоспособность всей инфраструктуры компании. Но ситуация, к сожалению, не меняется: по данным специалистов по пентестам (*тесты на проникновение) «Информзащиты», атаки с использованием методов социальной инженерии в 80% имеют успех. Это как раз говорит о невнимательности и неумении пользователей применить основные принципы обеспечения информационной безопасности. Даже если компания будет оснащена самыми современными и дорогими системами ИБ, невыполнение персоналом основных правил кибербезопасности будет подвергать угрозам всю инфраструктуру компании.
«Информационная безопасность — это не просто установленный антивирус на компьютере пользователя,» - говорит CISO «Центра Корпоративных Решений» Кузнецов Алексей. – «Даже при слаженной профессиональной работе службы информационной безопасности и установке всех современных автоматизированных систем мониторинга и предотвращения киберугроз мы не можем утверждать, что компания полностью защищена от всех угроз. У нас тысячи сотрудников, распределенная по всей стране филиальная сеть: для нас повышение осведомленности и формирование правильных привычек безопасного поведения наших сотрудников в цифровом пространстве – одно из приоритетных направлений в рамках обеспечения кибербезопасности всей компании».
На то, как и чему обучать персонал, влияют различные факторы: размер компании, задачи, поставленные руководством, бюджет и так далее. В связи с этим могут быть использованы и различные методы обучения – от самостоятельного прохождения учебного материала до интерактивных тренингов и тренировок на практике, в реалистичных условиях. Опросы пользователей показывают, что ряд существующих программ повышения осведомленности в сфере ИБ недостаточно эффективны: работникам скучно читать описание политик и техническую документацию, термины не всегда понятны и плохо усваиваются, описание атак вызывает недоверие. Упор делается на запреты, а не на понимание природы атаки и примеры правильных действий.
«Учебный процесс, по нашему мнению, должен быть непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках интерактивного обучения,» - говорит Алексей Сова, директор по маркетингу компании «Информзащита». – «Для реализации проекта в ООО «ЦКР» мы выбрали платформу «Антифишинг», которая входит в реестр российского программного обеспечения Минкомсвязи. Она обеспечивает дистанционное обучение сотрудников и непрерывную тренировку навыков по безопасности, а также интеграцию с IDM-системой и другими корпоративными средствами защиты».
Система включает в себя обучающие интерактивные материалы в виде курсов с соответствующим тестированием, и имитации атак, «подкидывает» пользователю фишинговые письма, содержащие подозрительные ссылки и «вредоносные» вложения. По результатам реагирования на такие атаки у сотрудника компании формируется рейтинг — объективная метрика, которая показывает уровень защищенности сотрудника, его подразделения и всей организации от угроз человеческого фактора. Отрицательный рейтинг означает, что в большинстве случаев сотрудник совершал небезопасные действия (открывал фишинговые письма, переходил по небезопасным ссылкам и т.д.). Это позволяет компании отследить, ухудшились или улучшились навыки сотрудника по информационной безопасности. Пользователи с низким рейтингом проходят предустановленные курсы по вопросам ИБ в обязательном порядке.
Интеграция «Антифишинга» с IDM-системой позволила команде ИБ ООО «ЦКР» автоматизировано контролировать, что все сотрудники и подрядчики, имеющие право доступа к корпоративным системам, обладают необходимыми знаниями и нужным уровнем навыков безопасной работы. Если этот уровень знаний или навыков снижается, доступы автоматически блокируются.
Важно, что система повышения осведомленности пользователей позволяет формировать устойчивые привычки и укреплять кибербезопасность в долгосрочной перспективе, а значит снижает число типовых нарушений информационной безопасности, допускаемых работниками. Конечной целью подобных программ является снижение ущерба и потерь (материальных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами компании.