Почему важно инвестировать в обучение сотрудников информационной безопасности

РБКHi-Tech

Александр Осипов: « Персонал должен уметь распознавать цифровых мошенников»

Почему сотрудники все чаще становятся причиной утечки данных, какие методы социальной инженерии применяют хакеры и почему важно инвестировать не только в средства защиты, но и в обучение информационной безопасности

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.

У сотрудников недостаточно знаний о цифровой безопасности

Утечки данных — одна из самых актуальных проблем в области кибербезопасности. Цифровизация ускоряется, данных становится больше, как и обрабатывающих их корпораций: в онлайн уходят практически все. Постепенно ужесточаются и законодательные требования, а регуляторы уделяют больше внимания тому, чтобы компании им соответствовали. Правда, пока в России штрафы не настолько суровы, как, например, в ЕС, где действуют требования GDPR (общий регламент по защите персональных данных, принятый в ЕС в 2018 году. — РБК).

В основном злоумышленники стараются получить доступ во внутреннюю сеть атакуемой компании и ищут две категории данных. Первая — это личные данные ее клиентов, включая информацию о средствах для совершения платежей, которые потом продаются на черном рынке. Вторая — логины и пароли корпоративных учетных записей для еще более глубокого проникновения в системы внутреннего контура. Тут причин еще больше: от желания зашифровать данные, чтобы затем потребовать выкуп, до самого настоящего промышленного шпионажа.

Очень важно понимать, что в 70% случаев причиной утечки становятся сотрудники самих компаний. Но дело не в злом умысле, а в изощренных методах злоумышленников. В ход идут все средства социальной инженерии.

Методы мошенников становятся все изощреннее

Самая популярная уловка — фишинг. Сотрудникам компании рассылаются письма, имитирующие настоящие почтовые рассылки популярных сервисов или даже внутренние корпоративные сообщения. Люди кликают по ссылкам, переходят на подставные сайты со скопированным интерфейсом «отправителей», вводят данные, и они тут же уходят к мошенникам. С этим можно бороться, только повышая грамотность персонала — для этого у «МегаФона» есть обучающая платформа Security Awareness с модулем имитации фишинговых атак, которая предоставляется по подписке.

Но нужно учить людей распознавать и более изощренные атаки. Мошенники могут связаться со службой поддержки: они узнают, как работают отделы, и получают контакты нужных людей для того, чтобы будто бы решить срочный вопрос. А затем совершается целевая атака методом того же фишинга, чтобы завладеть логином и паролем сотрудника с привилегированным доступом во внутренние системы — бухгалтера или кого-то из ИТ-службы. Встречаются и совсем хитроумные подходы: злоумышленник может выйти на сотрудника компании через сервис знакомств. Затем он как бы невзначай просит провести его в офис и незаметно оставляет на рабочих столах зараженные флешки. Кто-то непременно решит посмотреть, что же там такое, и в этот момент хакер получит доступ к одному из рабочих ПК, подключенных к внутренней сети предприятия.

Не забывать про современные технические средства защиты

Помимо обучения сотрудников важно использовать и современные средства защиты. Например, DLP — программно-аппаратный комплекс для противодействия утечкам, который «МегаФон» тоже может подключить любому заказчику по модели подписки. Идея в том, что система контролирует все ключевые каналы, по которым люди обычно передают информацию: мессенджеры (включая корпоративные), социальные сети, электронную почту, облачные хранилища, браузеры, а также внешние носители, офисную VoIP-телефонию (голосовая и видеосвязь через интернет. — РБК) и даже процесс печати документов. Как только происходит подозрительное событие, администратор получает уведомление и, главное, может детально разобраться в каждом инциденте — сохраняется вся цепочка передачи файла.

Не стоит забывать и о VDI (инфраструктура виртуальных рабочих столов. — РБК). Мы до сих пор видим большой спрос на это решение в рамках нашей сервисной модели. Его суть в том, что все вычислительные ресурсы сервера компании делятся на несколько (обычно сотни или тысячи) «рабочих мест», каждое из которых присваивается определенному сотруднику. Подключиться к нему он может с любого компьютера, даже если он полон вирусов и работает под управлением пиратской версии операционной системы. Свой рабочий стол он будет видеть в отдельном окне в режиме трансляции — именно поэтому он называется «виртуальным». Перетаскивать файлы оттуда на личный ПК и наоборот нельзя, а все операции в окне во время работы по факту выполняются на максимально защищенном сервере в центре обработки данных. Главный плюс VDI — высокий уровень безопасности, главный минус — внедрять решение долго и дорого, но модель подписки позволяет сгладить этот нюанс. Например, мы предоставляем VDI как сервис пользователям платформы «МегаФон Облако», для клиента это удобно, и мы видим востребованность такого решения.

Что делать с сотрудником, по вине которого случилась утечка? Если это злой умысел, то вопрос регламентируется законом. Если это ошибка, то все зависит от должности и функционала сотрудника, соответствия его действий внутренним регламентам и инструкциям и величины ущерба. Не соблюдающий цифровую гигиену системный администратор — это проблема несоответствия требуемой квалификации, а «попавшийся» на фишинг бухгалтер скорее проблема недостатка знаний. И как раз знания — один из ключей к минимизации количества утечек: важно не думать о том, как поступить с провинившимися, а сделать так, чтобы персонал был достаточно грамотным и легко распознавал трюки мошенников. А второй ключ — продуманный подход к информационной безопасности, соответствующий всем современным требованиям и тенденциям.

Информационная безопасность и антифишинг по подписке

Как это работает?

Основная причина утечек данных — собственные сотрудники компаний. Но дело не в злом умысле, а в недостатке знаний о безопасности. Разбираемся, как проблему решают за рубежом и в России и изучаем подходы к модели подписки.

Семь утечек из десяти случаются по вине сотрудников

Летом 2021 года компания Egress опубликовала большое исследование об утечках данных. В выборку попали более 500 руководителей ИТ-отделов и 3 тыс. сотрудников британских и американских компаний из самых разных секторов. Оказалось, что за последний год с утечками столкнулись 94% организаций. 84% руководителей назвали основной их причиной человеческий фактор, то есть ошибки сотрудников самой компании. Чаще всего к утечкам приводят два типа ситуаций — нарушения сотрудниками правил информационной безопасности (74%) и фишинг (73%). Массовый переход сотрудников на дистанционную работу только усугубляет негативную тенденцию. По мнению 56% руководителей, из-за удаленки бороться с утечками стало сложнее.

Проанализировав в начале 2021 года данные по утечкам в 130 странах, эксперты IBM и вовсе пришли к выводу, что человеческая ошибка стала их причиной в 95% случаев. Однако трактовка этого понятия может быть широкой: от открытия фишингового письма до неверно принятого решения на уровне управления проектом или направлением. Если под человеческим фактором понимать именно недостаток знаний в области ИБ у сотрудников, для которых это не является обязательной компетенцией, то можно ориентироваться на 70% — именно такую оценку в беседе с РБК привел представитель «МегаФона», и она соответствует реалиям российского рынка.

Будущее ИБ за обучающими платформами

Ответом на новый вызов стали обучающие платформы, главная цель которых — повысить осведомленность сотрудников компаний в области информационной безопасности. Этот рынок называется Security Awareness Training, и, по данным Gartner, он растет не менее чем на 13% в год. За рубежом на этом направлении уже очень много серьезных игроков. В качестве лидера различные исследования нередко отмечают американскую компанию KnowBe4, которая весной 2021 года вышла на биржу NASDAQ. Бизнес строится вокруг продажи курсов информационной безопасности по подписке (кстати, они названы в честь легендарного хакера Кевина Митника, и он один из сотрудников компании), модуля имитации фишинговых атак и программы для анализа рисков. Насколько хорошо это работает? Если опираться на статистику самих разработчиков, то подход крайне действенный. Изначальный средний риск «попасться» на фишинг снижается с 31,4 до 16,4% через три месяца после начала корпоративного обучения. А через год он уже составляет всего 4,8%.

Ближайшие конкуренты KnowBe4 — CybSafe, Inspired eLearning, Infosec, Elevate Security и множество других — работают по схожим моделям. Это всегда обучение в связке с продуктами для анализа устойчивости к угрозам, модулями имитации определенных атак и иногда решения для непосредственного обеспечения безопасности. В России рынок сервисов для повышения осведомленности в области ИБ только формируется. Действительно крупных игроков можно пересчитать по пальцам рук, но их количество растет, в том числе за счет вовлечения серьезных брендов с глубокой экспертизой в области ИТ-решений.

Например, летом 2021 года собственную платформу запустил «МегаФон». На ней собрано более 60 курсов по ИБ в самых различных областях. От специфических для отдельных категорий специалистов («Безопасность центров обработки данных») до массовых, которые было бы крайне полезно пройти всем сотрудникам любой компании: «Как не попасться на уловки мошенников», «Как печатать конфиденциальные документы» или, например, «Как работать с персональными данными». Из курсов можно составить обучающие модули и назначить конкретным сотрудникам или целым отделам. Если какого-то курса не хватает, то его можно составить самостоятельно из текстов, изображений и аудиофайлов или заказать у разработчиков сервиса за дополнительную плату. Платформа ведет подробную статистику на всех уровнях и примерно оценивает гипотетический риск в случае столкновения с угрозами ИБ на основе того, насколько успешно люди завершили обучение.

Подписка на обучение и имитация фишинговых атак

Почему заказчики выбирают модель подписки на обучение информационной безопасности, а не делают курсы самостоятельно? Есть как минимум две веские причины, которые связаны друг с другом. Прежде всего для этого требуются средства и время сотрудников, в том числе таких важных, редких и востребованных, как специалисты по ИБ. Их не только нужно отвлекать от главной задачи, но и усиливать методологами, которые смогут понятно и интересно сформировать курсы из собранной информации. Плюс нужно добавить сюда стоимость производства, разработки и обслуживания платформы. Затем нужно сопоставить временные и денежные затраты со стоимостью аналогичного сервиса по подписке.

Уже упомянутая выше KnowBe4 предлагает четыре тарифа со стоимостью от $9 до $30 за сотрудника в год. Цена зависит от количества человек, которых вы планируете обучать, и выбранных опций. В России о корпоративном обучении ИБ по подписке можно задумываться со штатом в 50 специалистов и годовым бюджетом от 100 тыс. руб. На платформе «МегаФон Security Awareness» предусмотрены значительные скидки на человека по мере роста количества аккаунтов. Если их больше 1 тыс., то ежемесячные затраты на каждый составят буквально несколько десятков рублей, что, кстати, в 2–3 раза доступнее, чем в США. Для компаний, которые не специализируются на информационной безопасности сами, модель подписки почти наверняка окажется более выгодной, чем собственное внутреннее обучение.

Примечательно, что очень многие поставщики решений для повышения осведомленности в области ИБ предлагают собственные средства для имитации фишинговых атак. Это явный ответ на один из главных трендов пандемии: по статистике ФБР, фишинг стал наиболее распространенным киберпреступлением 2020 года. Причем с 2018-го количество фишинговых атак различного типа увеличилось более чем в девять раз.

Все антифишинговые модули работают по схожему принципу. Сначала администратор платформы создает рассылку по готовым шаблонам, которые имитируют письма, скажем, от Facebook (соцсеть признана в РФ экстремистской и запрещена), Google и других популярных платформ или государства — ФНС, «Госуслуг» и т.д. Все это автоматически привязывается к сайту с интерфейсом точь-в-точь как у настоящей платформы. Затем выбранные сотрудники получают эти письма, а администратор следит за прогрессом: сколько из них открыли письма, сколько перешли по ссылкам и сколько ввели данные в форму.

Возможны некоторые дополнения. Например, «МегаФон» по запросу клиента может создать эксклюзивный шаблон. Главный «хит» — письмо, имитирующее сообщение от генерального директора. Однако сотрудники компании подчеркивают, что главная идея имитации фишинговой атаки не в том, чтобы сделать ее максимально изощренной, а в том, чтобы максимально приблизить к реальному сценарию. И это работает. По статистике «МегаФона», клиентам, которые сначала заказали тестовую фишинговую атаку, а затем провели обучение на их платформе, в среднем удалось снизить риск инцидента на 70%.

На российском рынке средняя длина цикла сделки по приобретению платформы для обучения ИБ — два-три месяца. Наибольшим спросом такие решения пользуются в финансовом секторе, что объясняется спецификой работы: требованиями регуляторов и высоким уровнем ответственности за средства клиентов. Вторая большая группа потенциальных заказчиков — ИТ-компании, которые ведут бизнес в интернете и разрабатывают какое-либо ПО, а следовательно, работают с персональными данными. Сюда относится все, что связано с растущим рынком электронной коммерции. Крайне важны обучающие решения и для промышленного сектора, поскольку тут нужен особый подход к защите объектов критически важной инфраструктуры.

Подготовил Алексей Ведерников

Фото: пресс-служба

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Станислав Дробышевский: «Через 10 млн лет человек будет выглядеть удручающе» Станислав Дробышевский: «Через 10 млн лет человек будет выглядеть удручающе»

Станислав Дробышевский — о том, как эволюция превратит гомо сапиенс в «ждуна»

РБК
ГЭС в низинных тропиках оказались угрозой для местообитаний тигра и ягуара ГЭС в низинных тропиках оказались угрозой для местообитаний тигра и ягуара

Плотины затопили уже суммарно почти 40 тысяч квадратных километров ареалов кошек

N+1
Эрудиция против поисковиков Эрудиция против поисковиков

Зачем много знать и помнить в эпоху интернета

РБК
Археологи нашли в Казахстане погребение девушки в царском облачении Археологи нашли в Казахстане погребение девушки в царском облачении

Девушка в царском облачении принадлежала к кочевой элите V–VI веков нашей эры

N+1
Вся суть в конце Вся суть в конце

Долгое время нам твердили: главное в сексе - это прелюдия!

Men’s Health
Чем заняться дома зимой? Чем заняться дома зимой?

Как разнообразить свой досуг, не покидая дома?

Psychologies
«Новые технологии стерли былые социальные перегородки» «Новые технологии стерли былые социальные перегородки»

Пятерка главных «гуманитарных» трендов, изменивших мир за 15 лет

РБК
Советский деликатес: почему врачи рекомендуют есть печень трески зимой Советский деликатес: почему врачи рекомендуют есть печень трески зимой

Вкусная, источник незаменимых витаминов и микроэлементов — все это печень трески

РБК
В плену антиутопий В плену антиутопий

Настоящая битва экосистем развернулась между «Яндексом» и «Сбером»

Forbes
Схватки в такси, прыжок в сугроб и Схватки в такси, прыжок в сугроб и

В Новый год каждый старается порадовать близких людей чем-то особенным

Playboy
15-летний капитал 15-летний капитал

Какие достижения недавнего прошлого мы возьмем с собой в будущее

РБК
Ком в горле: что это и насколько опасно Ком в горле: что это и насколько опасно

Ком в горле может быть симптомом серьезного заболевания

РБК
Как набить себе цену Как набить себе цену

Всё, что нужно знать о чернильных узорах под кожей

Men’s Health
Подушка безопасности: виды, функции и неисправности Подушка безопасности: виды, функции и неисправности

Как система безопасности автомобиля спасает водителя и пассажиров при аварии?

РБК
Что посеем… Что посеем…

Какой вектор развития выберет российский агропром на ближайшие годы

РБК
Девятое искусство Девятое искусство

Почему комиксы — это серьезно, рассказывает переводчик Михаил Хачатуров

Seasons of life
Игровое пространство Игровое пространство

Бюджеты, зарплаты, призовые и трансферы киберспорта

Forbes
Рита Дакота о психологах, харрасменте и лучшем свидании Рита Дакота о психологах, харрасменте и лучшем свидании

Рита Дакота рассказала своей любви к Новосибирску, макияжу и медитациям

Cosmopolitan
«Чайник» за рулем. Как решить проблему аварий с участием неопытных водителей «Чайник» за рулем. Как решить проблему аварий с участием неопытных водителей

В России, как известно, две беды, и часто они приходят парой

СНОБ
Без словаря Без словаря

Французская актриса Забу Брейтман читает русскую душу на языке оригинала

Seasons of life
Так плохо, что даже хорошо: пять самых критикуемых моделей BMW Так плохо, что даже хорошо: пять самых критикуемых моделей BMW

Дизайн современных BMW давно стал предметом ожесточенных споров

Playboy
Ford Bronco. Ренессанс внедорожной классики Ford Bronco. Ренессанс внедорожной классики

Иконы офф-роуда уходить никуда не собираются

4x4 Club
Живые и искусственные ёлки: какие вредят экологии больше и что с ними делать после Нового года Живые и искусственные ёлки: какие вредят экологии больше и что с ними делать после Нового года

Как сказываются на окружающей среде искусственные и живые ёлки?

VC.RU

Многим знакомо это странное чувство – дежавю

Playboy
Химики получили водород на катоде и аноде одновременно Химики получили водород на катоде и аноде одновременно

Ученые разработали новую систему электролиза

N+1
«Утром мажу бутерброд — сразу мысль: а как народ?» Самые искрометные цитаты Леонида Филатова «Утром мажу бутерброд — сразу мысль: а как народ?» Самые искрометные цитаты Леонида Филатова

Цитаты Леонида Филатова

Maxim
Зверь с тонкой кожей Зверь с тонкой кожей

За свою карьеру Жан-Поль Бельмондо снялся в более чем 90 фильмах

Playboy
5 человек, которые много лет провели в тюрьме по ложным обвинениям 5 человек, которые много лет провели в тюрьме по ложным обвинениям

Из-за ошибок следователей и присяжных вместо одной трагедии мир получает две

Maxim
Как построить 200-крылый самолет: история мультипланов Как построить 200-крылый самолет: история мультипланов

Горацио Филлипс верил — чем больше крыльев у самолета, тем выше он поднимется

Популярная механика
5 странных рождественских традиций в разных странах 5 странных рождественских традиций в разных странах

В других странах тоже существуют рождественские традиции. И довольно странные

GQ
Открыть в приложении