Security Awareness: почему важно осознавать угрозы

[BOOX]

По данным

Для просмотра ссылки необходимо нажать Вход или Регистрация

, 95% нарушений кибербезопасности происходят из-за ошибки пользователя.


И даже самые продвинутые технологии не смогут защитить компании от киберугроз, если сотрудники не осознают свою ответственность и не выполняют требования безопасности. Поэтому повышение уровня осведомленности о безопасности — это один из ключей к защите информации и предотвращению кибератак. В статье рассказываем, что такое Security Awareness и почему это направление играет особую роль для бизнеса и всей отрасли информационной безопасности в целом.

Что такое Security Awareness​

Security Awareness или по-русски — повышение осведомленности в вопросах информационной безопасности. Этим термином обычно называют комплекс мер, направленных на обучение и повышение информационной грамотности сотрудников. Почему это важно? Потому что сотрудники компаний представляют собой тот самый «человеческий фактор», от которого никто не застрахован.

И никакие антивирусные программы, суперсовременные межсетевые экраны или сложные ИТ-протоколы не защитят компанию от киберугроз, если сотрудники не будут иметь определенный уровень осведомленности об информационной безопасности.

Сейчас мы наблюдаем понимание важности и стремление руководства к повышению осведомленности по вопросам кибербезопасности в компаниях.

На мой взгляд, не последнюю роль в этом сыграла статистика по утечкам конфиденциальной информации. Также стоит отметить изменения самого подхода к проведению обучения по повышению осведомленности. Если раньше все ограничивалось базовым инструктажем в процессе трудоустройства, позднее в отдельных компаниях стали проводиться периодические семинары на тему основ компьютерной гигиены, то сейчас процесс становится более автоматизированным и систематическим. Появляются специализированные корпоративные платформы с набором различных сценариев тренировок.

Сейчас тема Security Awareness находит свое отражение и на телевидении, и в федеральных СМИ, и даже в качестве плакатов в метрополитене. Однако, это результат многолетней работы – продолжительное время тема повышения осведомленности оставалась в тени.

Сейчас, в 2024 году, гораздо больше компаний осознают важность информационной безопасности, чем 10 или 15 лет назад. Но сам процесс до сих пор остается архаичным. Проще всего это проиллюстрировать на примере персональных данных. В 2006 году вышел ФЗ-152 «О персональных данных», в 2010 году рынок захлестнула волна ажиотажа, и появилось много предложений по защите персональных данных. В 2014 году рынок стагнировал, количество предложений вышло на плато, и только в 2021 году о ФЗ-152 узнало значимое большинство граждан. Потребовалось более 15 лет, чтобы бухгалтеры и кадровики что-то услышали о необходимости защиты персональных данных, хотя все время с ними работали. И это мы говорим об области, где есть нормативное требование, регулятор, штрафы за неисполнение и постоянные массовые утечки. Во всех остальных сферах информационной безопасности ситуация еще хуже.

До сих пор в подавляющем большинстве случаев осведомленность заканчивается подписанием соглашения о неразглашении при устройстве на работу. Иногда сотрудники проходят электронные тесты по итогам изучения внутренних требований по безопасности. Еще реже компании выпускают внутренние дайджесты по ИБ раз в 3-4 месяца.

Главная проблема повышения осведомленности заключена в отсутствии прямой зависимости между знаниями сотрудника и снижением количества угроз. И несмотря на то, что сотрудники — самая многочисленная группа нарушителей, бизнесу очень сложно обосновать затраты на системы повышения осведомленности. Работники, не являясь подготовленными в области ИТ, не говоря уже об ИБ, все равно будут совершать ошибки, разглашать данные и открывать подозрительные файлы. А раз нет разницы, зачем за это платить?

Но в компаниях со зрелой системой ИБ повышению осведомленности уделяется достаточно внимания. Это можно считать своеобразным маркером зрелости компании.

Security Awareness как государственная стратегия кибербезопасности​

Повышение осведомленности граждан в вопросах информационной безопасности — одно из направлений стратегии безопасности страны. Поэтому над над повышением осведомленности работают на разных уровнях — государства, отрасли, конкретных компаний и т. д. И вот несколько ярких примеров, как это работает в масштабах страны.

Поезд безопасности​

По Сокольнической линии московского метрополитена курсирует «Поезд безопасности», состоящий из пяти вагонов. Каждый из них посвящен какому-то одному вопросу цифровой гигиены. Например, в первом вагоне пассажиры узнают, как защититься от киберугроз при подготовке к путешествию и покупке билетов, в пятом — как не попасться на удочку телефонных мошенников. Все темы раскрываются в формате советов по кибербезопасности. Проект запущен при поддержке Минцифры и наглядно показывает людям, что обеспечивать кибергигиену совсем не сложно: всего два-три дополнительных действия способны помешать злоумышленникам реализовать свой замысел.

Кибербезопасность в храме​

В Ижевске МВД и церковь объединились, чтобы показать людям важность защиты личной информации в цифровую эру и уменьшить количество жертв мошенничества среди населения. Они провели совместную акцию в стенах местного храма. Полицейские пообщались с прихожанами, акцентировав внимание на необходимости охранять данные банковских карт и не делиться ими с незнакомцами. А настоятель храма призвал прихожан быть бдительными в общении по телефону и в интернете.

Серебряный хакер​

в Нижнем Новгороде в рамках проекта «Серебряный хакер» местный учебный центр провел обучение пенсионеров информационной грамотности. В рамках обучения пенсионерам провели адаптацию к новой цифровой реальности и научили пользоваться информационными благами: делать онлайн-покупки, искать информацию в интернете, общаться с близкими с помощью соцсетей и мессенджеров. Также ученики рассказали о безопасности в интернете и финансовой грамотности. По окончании обучения пенсионеры проходили соревновательный зачет и получали тематические подарки.

Все эти инициативы наглядно показывают, что государство напрямую заинтересовано в повышении осведомленности у разных категорий граждан. Если же перейти от государственных вопросов к бизнесу, то для него главная целевая аудитория, нуждается в повышении осведомленности в вопросах ИБ — сотрудники.

Роль обученного персонала в противостоянии киберугрозам​

Существует ошибочное мнение, что повышение уровня осведомленности конкретного сотрудника никак не скажется на общем уровне ИБ компании. Это не так. В современном цифровом ландшафте обученный персонал играет решающую роль в противодействии киберугрозам.

Каждый сотрудник может:

1. Распознать и вовремя сообщить о фишинговых атаках. Обученные сотрудники могут распознавать фишинговые электронные письма и другие мошеннические сообщения, содержащие вредоносные ссылки или вложения. Они знают, как сообщать о таких попытках и избегать попадания в ловушку.
2. Использовать надежные пароли и не пренебрегать аутентификацией. Персонал, прошедший обучение, понимает важность использования надежных паролей и многофакторной аутентификации. Это снижает риск несанкционированного доступа к учетным записям и данным организации.
3. Соблюдать политику и процедуры безопасности компании. Например, использование VPN, применение патчей безопасности и ограничение доступа к конфиденциальным данным.
4. Практиковать правильные привычки пользования интернетом. Например, использование безопасных веб-сайтов, избегание загрузки файлов из ненадежных источников и осторожность при предоставлении личной информации в Интернете.
5. Своевременно реагировать на инциденты. Обученные сотрудники сообщают о подозрительной активности в соответствующие отделы и помогают в расследовании.

Обученный персонал — важнейший элемент эффективной системы кибербезопасности. Мероприятия по повышению осведомленности вооружают сотрудников знаниями и навыками.

Процесс повышения осведомленности о кибербезопасности в компаниях постоянно развивается. Хорошей практикой в обучении Security Awareness является использование новых типов и методов атак, полученных как от внешних, так и от внутренних команд поиска и предупреждения угроз (Threat Hunting) и центра мониторинга информационной безопасности (SOC). Это необходимо, т. к. даже классические фишинговые рассылки постоянно дорабатываются и меняются способы их реализации. Злоумышленники прибегают к довольно новым эффективным атакам с использованием дипфейков, измененного голоса и изображений.

А итогом деятельности Security Awareness становится существенное снижение рисков кибератак и более надежная защита ценных активов компании.

Кого и как нужно учить​

Программы повышения осведомленности рассчитаны на разные категории сотрудников. Но как понять, кому требуется обучение, а кому нет? С этим легко разобраться. Если сотрудник имеет доступ к компьютеру или мобильному устройству, связанному с работой, ему необходимо пройти тщательную подготовку по вопросам кибербезопасности.

При этом предварительно компания должна продумать и грамотно внедрить практику повышения осведомленности сотрудников о кибербезопасности.

Процесс внедрения практики повышения осведомленности сотрудников о кибербезопасности в компании обычно включает в себя:

1. Оценку текущего состояния: на этом этапе проводится анализ текущего уровня осведомленности сотрудников о кибербезопасности, выявляются уязвимости и риски, связанные с человеческим фактором. Также определяются ключевые угрозы, которые стоят перед компанией.
2. Разработку программы обучения: на основе результатов оценки разрабатывается программа по повышению осведомленности, которая включает в себя различные обучающие материалы, интерактивные курсы и другие средства обучения.
3. Проведение обучения: на этом этапе сотрудникам предоставляют доступ к обучающим материалам и проводятся тренинги по кибербезопасности.
4. Тестирование: после завершения обучения сотрудникам предлагается пройти тестирование знаний по кибербезопасности. Эти результаты позволяют оценить уровень осведомленности и эффективность проведенной программы.
5. Обратную связь и корректировку: после завершения обучения сотрудников стоит собрать обратную связь о программе. Это позволяет понять, что было полезным, а что можно улучшить. На основе этой информации производится корректировка программы для повышения ее эффективности.
6. Мониторинг и анализ эффективности: для оценки долгосрочного влияния программы следует проводить мониторинг и анализ ее эффективности с учетом уменьшения инцидентов безопасности и улучшения общей безопасности информации в компании.

Любое надлежащее обучение киберзащите должно охватывать следующие темы и практики:

• текущие угрозы;
• защитные процедуры;
• планы реагирования на угрозы;
• поведенческие нормы при использовании технологий, как на работе, так и в частной жизни.

А формат обучения может быть самым разным. Это зависит от предпочтений руководства.

Повышение осведомленности о кибербезопасности давно стало самостоятельным направлением в ИБ. И тут есть несколько вполне заметных трендов. Во-первых, появляется персонализация и адаптация — в зависимости от того, какую роль в компании выполняет тот или иной сотрудник, обучение может быть разным. Далее компании все чаще используют различные интерактивные методы обучения: всевозможные симуляции атак, управляемые фишинговые рассылки. Так, сотрудники понимают, как выглядит реальная киберугроза и лучше понимают, как им реагировать. И, конечно, никуда не уйти от использования ИИ — анализ угроз и всякие аномалии сегодня почти невозможно проводить без специализированных средств.

Но в Security Awareness есть некие тренды — форматы обучения, которые позволяют наиболее доступно и понятно донести информацию до слушателей.

Процесс повышения осведомленности о кибербезопасности в компаниях постоянно эволюционирует под воздействием новых угроз и технологических изменений. Один из заметных трендов заключается в переходе от традиционных методов обучения, таких как онлайн-курсы или вебинары, к более интерактивным и адаптивным подходам. Например, компании все чаще используют геймификацию для привлечения внимания сотрудников к вопросам кибербезопасности.

Конечно, обучение сотрудников — это дополнительные расходы для компании. Но инвестиции в Security Awareness — это вложения в будущее кибербезопасности организации.

Даже у самых надежных и защищенных устройств всегда будут пользователи. Чем выше уровень их цифровой грамотности и кибергигиены – тем меньше шансов у киберпреступников.

Для просмотра ссылки необходимо нажать Вход или Регистрация