Почему важно инвестировать в обучение сотрудников информационной безопасности

РБКHi-Tech

Александр Осипов: « Персонал должен уметь распознавать цифровых мошенников»

Почему сотрудники все чаще становятся причиной утечки данных, какие методы социальной инженерии применяют хакеры и почему важно инвестировать не только в средства защиты, но и в обучение информационной безопасности

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.

У сотрудников недостаточно знаний о цифровой безопасности

Утечки данных — одна из самых актуальных проблем в области кибербезопасности. Цифровизация ускоряется, данных становится больше, как и обрабатывающих их корпораций: в онлайн уходят практически все. Постепенно ужесточаются и законодательные требования, а регуляторы уделяют больше внимания тому, чтобы компании им соответствовали. Правда, пока в России штрафы не настолько суровы, как, например, в ЕС, где действуют требования GDPR (общий регламент по защите персональных данных, принятый в ЕС в 2018 году. — РБК).

В основном злоумышленники стараются получить доступ во внутреннюю сеть атакуемой компании и ищут две категории данных. Первая — это личные данные ее клиентов, включая информацию о средствах для совершения платежей, которые потом продаются на черном рынке. Вторая — логины и пароли корпоративных учетных записей для еще более глубокого проникновения в системы внутреннего контура. Тут причин еще больше: от желания зашифровать данные, чтобы затем потребовать выкуп, до самого настоящего промышленного шпионажа.

Очень важно понимать, что в 70% случаев причиной утечки становятся сотрудники самих компаний. Но дело не в злом умысле, а в изощренных методах злоумышленников. В ход идут все средства социальной инженерии.

Методы мошенников становятся все изощреннее

Самая популярная уловка — фишинг. Сотрудникам компании рассылаются письма, имитирующие настоящие почтовые рассылки популярных сервисов или даже внутренние корпоративные сообщения. Люди кликают по ссылкам, переходят на подставные сайты со скопированным интерфейсом «отправителей», вводят данные, и они тут же уходят к мошенникам. С этим можно бороться, только повышая грамотность персонала — для этого у «МегаФона» есть обучающая платформа Security Awareness с модулем имитации фишинговых атак, которая предоставляется по подписке.

Но нужно учить людей распознавать и более изощренные атаки. Мошенники могут связаться со службой поддержки: они узнают, как работают отделы, и получают контакты нужных людей для того, чтобы будто бы решить срочный вопрос. А затем совершается целевая атака методом того же фишинга, чтобы завладеть логином и паролем сотрудника с привилегированным доступом во внутренние системы — бухгалтера или кого-то из ИТ-службы. Встречаются и совсем хитроумные подходы: злоумышленник может выйти на сотрудника компании через сервис знакомств. Затем он как бы невзначай просит провести его в офис и незаметно оставляет на рабочих столах зараженные флешки. Кто-то непременно решит посмотреть, что же там такое, и в этот момент хакер получит доступ к одному из рабочих ПК, подключенных к внутренней сети предприятия.

Не забывать про современные технические средства защиты

Помимо обучения сотрудников важно использовать и современные средства защиты. Например, DLP — программно-аппаратный комплекс для противодействия утечкам, который «МегаФон» тоже может подключить любому заказчику по модели подписки. Идея в том, что система контролирует все ключевые каналы, по которым люди обычно передают информацию: мессенджеры (включая корпоративные), социальные сети, электронную почту, облачные хранилища, браузеры, а также внешние носители, офисную VoIP-телефонию (голосовая и видеосвязь через интернет. — РБК) и даже процесс печати документов. Как только происходит подозрительное событие, администратор получает уведомление и, главное, может детально разобраться в каждом инциденте — сохраняется вся цепочка передачи файла.

Не стоит забывать и о VDI (инфраструктура виртуальных рабочих столов. — РБК). Мы до сих пор видим большой спрос на это решение в рамках нашей сервисной модели. Его суть в том, что все вычислительные ресурсы сервера компании делятся на несколько (обычно сотни или тысячи) «рабочих мест», каждое из которых присваивается определенному сотруднику. Подключиться к нему он может с любого компьютера, даже если он полон вирусов и работает под управлением пиратской версии операционной системы. Свой рабочий стол он будет видеть в отдельном окне в режиме трансляции — именно поэтому он называется «виртуальным». Перетаскивать файлы оттуда на личный ПК и наоборот нельзя, а все операции в окне во время работы по факту выполняются на максимально защищенном сервере в центре обработки данных. Главный плюс VDI — высокий уровень безопасности, главный минус — внедрять решение долго и дорого, но модель подписки позволяет сгладить этот нюанс. Например, мы предоставляем VDI как сервис пользователям платформы «МегаФон Облако», для клиента это удобно, и мы видим востребованность такого решения.

Что делать с сотрудником, по вине которого случилась утечка? Если это злой умысел, то вопрос регламентируется законом. Если это ошибка, то все зависит от должности и функционала сотрудника, соответствия его действий внутренним регламентам и инструкциям и величины ущерба. Не соблюдающий цифровую гигиену системный администратор — это проблема несоответствия требуемой квалификации, а «попавшийся» на фишинг бухгалтер скорее проблема недостатка знаний. И как раз знания — один из ключей к минимизации количества утечек: важно не думать о том, как поступить с провинившимися, а сделать так, чтобы персонал был достаточно грамотным и легко распознавал трюки мошенников. А второй ключ — продуманный подход к информационной безопасности, соответствующий всем современным требованиям и тенденциям.

Информационная безопасность и антифишинг по подписке

Как это работает?

Основная причина утечек данных — собственные сотрудники компаний. Но дело не в злом умысле, а в недостатке знаний о безопасности. Разбираемся, как проблему решают за рубежом и в России и изучаем подходы к модели подписки.

Семь утечек из десяти случаются по вине сотрудников

Летом 2021 года компания Egress опубликовала большое исследование об утечках данных. В выборку попали более 500 руководителей ИТ-отделов и 3 тыс. сотрудников британских и американских компаний из самых разных секторов. Оказалось, что за последний год с утечками столкнулись 94% организаций. 84% руководителей назвали основной их причиной человеческий фактор, то есть ошибки сотрудников самой компании. Чаще всего к утечкам приводят два типа ситуаций — нарушения сотрудниками правил информационной безопасности (74%) и фишинг (73%). Массовый переход сотрудников на дистанционную работу только усугубляет негативную тенденцию. По мнению 56% руководителей, из-за удаленки бороться с утечками стало сложнее.

Проанализировав в начале 2021 года данные по утечкам в 130 странах, эксперты IBM и вовсе пришли к выводу, что человеческая ошибка стала их причиной в 95% случаев. Однако трактовка этого понятия может быть широкой: от открытия фишингового письма до неверно принятого решения на уровне управления проектом или направлением. Если под человеческим фактором понимать именно недостаток знаний в области ИБ у сотрудников, для которых это не является обязательной компетенцией, то можно ориентироваться на 70% — именно такую оценку в беседе с РБК привел представитель «МегаФона», и она соответствует реалиям российского рынка.

Будущее ИБ за обучающими платформами

Ответом на новый вызов стали обучающие платформы, главная цель которых — повысить осведомленность сотрудников компаний в области информационной безопасности. Этот рынок называется Security Awareness Training, и, по данным Gartner, он растет не менее чем на 13% в год. За рубежом на этом направлении уже очень много серьезных игроков. В качестве лидера различные исследования нередко отмечают американскую компанию KnowBe4, которая весной 2021 года вышла на биржу NASDAQ. Бизнес строится вокруг продажи курсов информационной безопасности по подписке (кстати, они названы в честь легендарного хакера Кевина Митника, и он один из сотрудников компании), модуля имитации фишинговых атак и программы для анализа рисков. Насколько хорошо это работает? Если опираться на статистику самих разработчиков, то подход крайне действенный. Изначальный средний риск «попасться» на фишинг снижается с 31,4 до 16,4% через три месяца после начала корпоративного обучения. А через год он уже составляет всего 4,8%.

Ближайшие конкуренты KnowBe4 — CybSafe, Inspired eLearning, Infosec, Elevate Security и множество других — работают по схожим моделям. Это всегда обучение в связке с продуктами для анализа устойчивости к угрозам, модулями имитации определенных атак и иногда решения для непосредственного обеспечения безопасности. В России рынок сервисов для повышения осведомленности в области ИБ только формируется. Действительно крупных игроков можно пересчитать по пальцам рук, но их количество растет, в том числе за счет вовлечения серьезных брендов с глубокой экспертизой в области ИТ-решений.

Например, летом 2021 года собственную платформу запустил «МегаФон». На ней собрано более 60 курсов по ИБ в самых различных областях. От специфических для отдельных категорий специалистов («Безопасность центров обработки данных») до массовых, которые было бы крайне полезно пройти всем сотрудникам любой компании: «Как не попасться на уловки мошенников», «Как печатать конфиденциальные документы» или, например, «Как работать с персональными данными». Из курсов можно составить обучающие модули и назначить конкретным сотрудникам или целым отделам. Если какого-то курса не хватает, то его можно составить самостоятельно из текстов, изображений и аудиофайлов или заказать у разработчиков сервиса за дополнительную плату. Платформа ведет подробную статистику на всех уровнях и примерно оценивает гипотетический риск в случае столкновения с угрозами ИБ на основе того, насколько успешно люди завершили обучение.

Подписка на обучение и имитация фишинговых атак

Почему заказчики выбирают модель подписки на обучение информационной безопасности, а не делают курсы самостоятельно? Есть как минимум две веские причины, которые связаны друг с другом. Прежде всего для этого требуются средства и время сотрудников, в том числе таких важных, редких и востребованных, как специалисты по ИБ. Их не только нужно отвлекать от главной задачи, но и усиливать методологами, которые смогут понятно и интересно сформировать курсы из собранной информации. Плюс нужно добавить сюда стоимость производства, разработки и обслуживания платформы. Затем нужно сопоставить временные и денежные затраты со стоимостью аналогичного сервиса по подписке.

Уже упомянутая выше KnowBe4 предлагает четыре тарифа со стоимостью от $9 до $30 за сотрудника в год. Цена зависит от количества человек, которых вы планируете обучать, и выбранных опций. В России о корпоративном обучении ИБ по подписке можно задумываться со штатом в 50 специалистов и годовым бюджетом от 100 тыс. руб. На платформе «МегаФон Security Awareness» предусмотрены значительные скидки на человека по мере роста количества аккаунтов. Если их больше 1 тыс., то ежемесячные затраты на каждый составят буквально несколько десятков рублей, что, кстати, в 2–3 раза доступнее, чем в США. Для компаний, которые не специализируются на информационной безопасности сами, модель подписки почти наверняка окажется более выгодной, чем собственное внутреннее обучение.

Примечательно, что очень многие поставщики решений для повышения осведомленности в области ИБ предлагают собственные средства для имитации фишинговых атак. Это явный ответ на один из главных трендов пандемии: по статистике ФБР, фишинг стал наиболее распространенным киберпреступлением 2020 года. Причем с 2018-го количество фишинговых атак различного типа увеличилось более чем в девять раз.

Все антифишинговые модули работают по схожему принципу. Сначала администратор платформы создает рассылку по готовым шаблонам, которые имитируют письма, скажем, от Facebook (соцсеть признана в РФ экстремистской и запрещена), Google и других популярных платформ или государства — ФНС, «Госуслуг» и т.д. Все это автоматически привязывается к сайту с интерфейсом точь-в-точь как у настоящей платформы. Затем выбранные сотрудники получают эти письма, а администратор следит за прогрессом: сколько из них открыли письма, сколько перешли по ссылкам и сколько ввели данные в форму.

Возможны некоторые дополнения. Например, «МегаФон» по запросу клиента может создать эксклюзивный шаблон. Главный «хит» — письмо, имитирующее сообщение от генерального директора. Однако сотрудники компании подчеркивают, что главная идея имитации фишинговой атаки не в том, чтобы сделать ее максимально изощренной, а в том, чтобы максимально приблизить к реальному сценарию. И это работает. По статистике «МегаФона», клиентам, которые сначала заказали тестовую фишинговую атаку, а затем провели обучение на их платформе, в среднем удалось снизить риск инцидента на 70%.

На российском рынке средняя длина цикла сделки по приобретению платформы для обучения ИБ — два-три месяца. Наибольшим спросом такие решения пользуются в финансовом секторе, что объясняется спецификой работы: требованиями регуляторов и высоким уровнем ответственности за средства клиентов. Вторая большая группа потенциальных заказчиков — ИТ-компании, которые ведут бизнес в интернете и разрабатывают какое-либо ПО, а следовательно, работают с персональными данными. Сюда относится все, что связано с растущим рынком электронной коммерции. Крайне важны обучающие решения и для промышленного сектора, поскольку тут нужен особый подход к защите объектов критически важной инфраструктуры.

Подготовил Алексей Ведерников

Фото: пресс-служба

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Дорогое наследство Дорогое наследство

Почему держать на своем счету американские бумаги — худшее из возможных решений

Forbes
Самая главная Самая главная

Стать лидером – и не пожалеть об этом

Cosmopolitan
15-летний капитал 15-летний капитал

Какие достижения недавнего прошлого мы возьмем с собой в будущее

РБК
Что такое NFT: объясняем простыми словами Что такое NFT: объясняем простыми словами

Что такое NFT, как их создать, и как зарабатывать на NFT?

CHIP
Детеныши «единорогов» Детеныши «единорогов»

Forbes составил первый рейтинг самых многообещающих стартапов

Forbes
Преступления лондонского расчленителя кошек приписали лисицам-падальщицам Преступления лондонского расчленителя кошек приписали лисицам-падальщицам

Ученые выяснили, кто стоит за волной расчленений кошек, охватившей Лондон

N+1
Человек — лишнее звено Человек — лишнее звено

Какие технологии станут главными в 2022 году

Forbes
Первый роман Тарантино и новый Памук: 10 книг зимы Первый роман Тарантино и новый Памук: 10 книг зимы

Книги, которые действительно заслуживают нашего внимания

РБК
Эрудиция против поисковиков Эрудиция против поисковиков

Зачем много знать и помнить в эпоху интернета

РБК
Саманта против: как Ким Кэтролл пошла наперекор проекту, сделавшему ее звездой Саманта против: как Ким Кэтролл пошла наперекор проекту, сделавшему ее звездой

Почему Ким Кэтролл, сыгравшая Саманту, так ненавидит «Секс в большом городе»

VOICE
«Новые технологии стерли былые социальные перегородки» «Новые технологии стерли былые социальные перегородки»

Пятерка главных «гуманитарных» трендов, изменивших мир за 15 лет

РБК
Яркая классика Яркая классика

Здесь органично сочетаются современный комфорт и красивая стилизация под старину

SALON-Interior
«Не доказано, что работает, доказано, что не работает» «Не доказано, что работает, доказано, что не работает»

Кто такие биохакеры сегодня?

Forbes Life
Тайный роман, 2 свадьбы, выкидыш, тюрьма: история любви Софи Лорен и Карло Понти Тайный роман, 2 свадьбы, выкидыш, тюрьма: история любви Софи Лорен и Карло Понти

Софи Лорен и Карло Понти прожили в браке более 40 лет, а были вместе еще дольше

Cosmopolitan
Лига киберчемпионов Лига киберчемпионов

Как россияне впервые выиграли самый престижный турнир Dota 2 The International

Forbes
Если дома холодно: 5 оптимальных типов обогревателей для разных ситуаций Если дома холодно: 5 оптимальных типов обогревателей для разных ситуаций

Какой из обогревателей лучше выбрать? Изучаем на примере разных условий

CHIP
Уроки испанки Уроки испанки

Как экономика переживет «неожиданную остановку»

Forbes
Даже если во всей технике будут одинаковые зарядки, бардак останется: почему «единый стандарт» USB-С не совсем единый Даже если во всей технике будут одинаковые зарядки, бардак останется: почему «единый стандарт» USB-С не совсем единый

Но даже у одинаковых внешне проводов могут быть разные характеристики

VC.RU
В болезни и здравии: как с годами менялась внешность княгини Монако Шарлен В болезни и здравии: как с годами менялась внешность княгини Монако Шарлен

Как княгиня Монако Шарлен менялась последние 13 лет

Cosmopolitan
Грелка вместо объятий: как тепло помогает нам чувствовать себя в безопасности Грелка вместо объятий: как тепло помогает нам чувствовать себя в безопасности

Чтобы справиться с тревогой и страхом, достаточно… взять в руки что-то теплое

Psychologies
7 самых неудачливых героев фильмов ужасов 7 самых неудачливых героев фильмов ужасов

У этих героев каждый день — пятница, 13-е

Maxim
Немецкие физики сообщили о возможном открытии тетранейтрона Немецкие физики сообщили о возможном открытии тетранейтрона

Группа физиков сообщила об обнаружении частицы, состоящей из четырех нейтронов

N+1
Самые модные образы зимы — 8 правил, как стильно сочетать одежду в этом сезоне Самые модные образы зимы — 8 правил, как стильно сочетать одежду в этом сезоне

Какие комбинации вещей будут наиболее актуальны этой зимой

Cosmopolitan
Ихтиозавры достигли размеров современных китов всего за два с половиной миллиона лет Ихтиозавры достигли размеров современных китов всего за два с половиной миллиона лет

Сколько лет потребовалось ихтиозаврам, чтобы превратить в гигантов?

N+1
Жасмин: «Я никогда не беру работу в Новый год» Жасмин: «Я никогда не беру работу в Новый год»

Певица подвела итоги года и рассказала о своем участии в новогоднем мюзикле

Cosmopolitan
Итоги года: лучшая научная фантастика 2021 Итоги года: лучшая научная фантастика 2021

Интересные фантастические книги, которые нам принес 2021 год

Популярная механика
Заграница нас научит Заграница нас научит

Обучение поварской науке за рубежом стало в последние годы настоящим трендом

Bones
Зачем фотографировать плиту перед выходом из дома? Зачем фотографировать плиту перед выходом из дома?

Что нужно сделать перед отъездом? Сфотографировать плиту

Cosmopolitan
«Женщин воспринимают как товар! Отвратительно!»: Анна Хилькевич об эйджизме «Женщин воспринимают как товар! Отвратительно!»: Анна Хилькевич об эйджизме

Анна Хилькевич высказалась о дискриминации женщин по возрасту

Cosmopolitan
Из песка и тумана Из песка и тумана

Двухэтажный особняк в Подмосковье в стиле современного ар–деко

SALON-Interior
Открыть в приложении