Человеческий фактор — самая боль­шая проблема в обеспечении безо­пасности и в то же время, возмож­но, самая надежная зашита вашей организации. Как показывает многолетний опыт, чаше всего в ходе самых успешных атак в первую очередь «взламыва­ют» пользователей, а не программное обе­спечение. Причина проста: дешевле, проще и гарантированно работает.

Массовая утечка данных телекоммуникаций?
Незащищенный сервер продавца? Украденные учетные данные? Сайт с компрометирующими письмами? Все эти инциденты имели место в результате ошибок отдельных лиц. Все чаще вектор угрозы — это вы, ваши ИТ-службы и ваши пользователи.

Несмотря на годы обучения, миллионы страниц политик и ежегодные обязательные тренинги, 60% профессионалов в области безопасности считают небрежность сотрудников главной угрозой.

А ведь нс так давно, в 2015 году, согласно глобальному исследованию информационной безопасности Ernst & Young Global Limited за 2017 год, 66% всех страховых случаев, свя­занных с киберстраховкой, произошли именно из-за халатности сотрудников.

Но, несмотря на увеличивающееся количе­ство нарушений со стороны персонала, увы, люди не меняют поведение, которое приводит к этим нарушениям. Согласно отчету Verizon Data Breach за 2018 год в среднем 4% пользователей, на которых направлены фишинговые атаки, все равно открывают вре­доносные ссылки.

Кроме того, те пользовате­ли, которые перешли по фишинговой ссылке хотя бы раз, чаше всего кликают по ней снова. Почему так происходит? Да потому, что боль­шинство сотрудников компаний сегодня думают, что знают, как избежать угроз безопасно­сти. У нас больше нет проблем с осведомлен­ностью: все пользователи слышали об основах фишинга. У нас проблема ложного доверия.
Знание угроз безопасности — это только под­дела. Сотрудники еще должны знать, что делать в том или ином случае. Хотя, с другой стороны, именно это формирует ложную уверенность: я думаю, что знаю, что делать, значит, со мной ничего страшного не случится. Особенно этим грешат ИТ-специалисты.

Осведомленность и действия

Компания Qualtrics провела исследование, в котором приняли участие около 1000 взрос­лых американцев, чтобы проверить два взаи­мосвязанных, но принципиально отличаю­щихся друг от друга момента: осведомленность о фишинговых угрозах и соответствующие дей­ствия в ответ на фишинговые угрозы. Разрыв был поразительным.

• Осведомленность. Более 70% взрослых в США знают, что такое фишинг, и более половины заявили, что они знают, как не стать жертвой.
• Действия. Когда задаются более сложные вопросы из того же набора, результат ста­новится гораздо хуже. Только 10% респон­дентов знали, как правильно определить, является ли ссылка легитимной. Кроме того, каждый третий взрослый в США заблуждал­ся в отношении того, что переход по ссылкам только от знакомых людей защитит их от фишинг-атаки.

Следует помнить, что вы по-прежнему мишень, и проблема усугубляется из-за разрыва между знанием об угрозе и пониманием того, что именно нужно сделать, чтобы ее избежать.

Более того, у людей развивается ложная уверенность, когда они знают о проблеме, но не умеют ее решать. Поскольку эксперты по безопасности все еще учатся устранять уяз­вимые места в сфере безопасности пользова­теля, стоит признать, что даже самые лучшие специалисты могут неправильно организовать этот процесс.

Заполнение пробелов посредством обучения

Многие компании покупают обучающие онлайн-видео и пытаются решить проблему с их помощью. Либо спокойно ставят галочку в графе «обучение кибербезопасности», так как их ИТ-персонал раз в год напоминает сотрудникам базовые понятия.

А на самом деле это, может быть, даже хуже, чем вообще ничего не знать о кибербезопасности. Когда компа­нии сосредоточиваются на том, чтобы просто поставить галочку в отчете о проведенном обучении, они могут проникнуться ложным чувством безо­пасности. полагая, что их ежегодная лекция или тестирование подготови­ли сотрудников к будущим атакам.

На самом деле за год и даже за месяц сотрудники забывают об этой лекции, тем более что проблемы безопасно­сти компании в действительности их нс особо волнуют.

Если компании будут уделять столько времени планированию и выполнению задач, которые помогут их сотрудникам избежать киберугроз, сколько они создавали брандмауэры и предотвращали взлом программного обеспечения, они повысят безопас­ность своей организации.

Однако расширение обучения или внедрение других процессов для обмена инфор­мацией может оказаться непосильной ношей для и так перегруженных спе­циалистов по безопасности.

Стоит также отметить, что сотрудни­ки подразделений информационной безопасности, даже самые квали­фицированные, не всегда хорошие преподаватели. Толковый препо­даватель всегда штучный товар, и к тому же ему нужно время на само­подготовку. На мой взгляд, у пре­подавателя до 80% рабочего времени должно уходить на самообразование и совершенствование своих знаний.

А сотрудник службы информацион­ной безопасности должен занимать­ся и своей основной работой. Ведь уметь учить, вообще-то, отдельный навык.

Можно назвать десятки случаев, когда жертвы нс переходили по ссылке и не скачивали какие-либо файлы, однако они все равно были обмануты фишинговым письмом и их компании потеряли миллионы.

Обучение и тестирование сотрудников являются неотъемлемой частью обеспечения безопасности организации. Однако конечной целью должно быть формирование культуры без­опасности, а не просто повышение осведомленности пользователей.

Культура подразумевает внутренне мотивированные действия, которые компании должны развивать и защищать в своих сотрудниках. Люди должны понимать, для чего им нужны эти знания, должны уметь их применять. Более того, знания должны порождать привычные действия, как чистить зубы по утрам.

Начните с руководства компании

Даже самой эффективной учебной программе будет сложно завоевать популярность среди сотрудников, если они не увидят, что соответствующие меры предосторожности применяет руководство. Без «примера сверху» среда для развития культуры безопас­ности не будет развиваться.

Культура имеет решающее значение по той же причине, по которой официальные лица общественного здравоохранения подчеркивают необходимость укрепления иммунитета вследствие вакцинации: если большая часть населения защищена от угро­зы, у всего населения гораздо меньше риска быть пораженным этой угрозой.

Своевременное обучение или тест на фишинг — отличное начало, но что происходит после этого? Если не повторять обучение, сотрудники могут забыть о важных мерах безопас­ности и уровень их знаний снизится до предполагаемой неактуальности к следующему учебному году.

Уровень поддержания корпоратив­ной кибербезопасности должен быть постоянным , повторять обучение необходимо в течение всего года.

Возможно, это означает, что вместо одного большого тренинга в год вы разбиваете его на менее продолжи­тельные ежеквартальные занятия. Может быть, это регулярное тестиро­вание или лекции о кибербезопасно­сти.

Комбинация инициатив —выпуск информационного бюллетеня с советами, регулярное обучение и т.д — может помочь сформировать культуру безопасности, обозначая актуальность проблемы и необходимость усилий каждого сотрудника по ее решению.

Мышление безопасности каждого сотрудника — это единственное, что устранит пробел в безопасно­сти обшей, и единственный способ по-настоящему защитить вашу компанию.

Однако возникает вопрос: кто же все- таки будет этим заниматься? С одной стороны , спрос на специалистов по безопасности в последние годы резко возрос, поскольку организации реагируют на постоянный поток инцидентов безопасности, не говоря уже о новом законодательстве, таком как G DPR в сочетании с текущими проектами цифровой трансформации. С другой — компании начали пере­осмысливать свой подход к безопас­ности.

В последние годы киберпреступность все чаше вынуждает компании обращаться за помощью к профессиона­лам, которые могут повышать осведомленность пользователей о рисках безопасности (Security Awareness).

Похоже, что организации учатся на опыте таких крупных компаний, как ТalkТalk. Руководители уже понимают, что существует острая необхо­димость вкладывать больше средств в персонал службы безопасности и повышать уровень осведомленности пользователей в организации.

Тем не менее стало очевидно, что для удовлетворения этого беспрецедент­ного спроса недостаточно опытных специалистов. Среди компаний, которым требуются киберспециалисты, особенно для руководящих должностей, усиливается конкуренция. Неизбежно одним из самых очевидных последствий стало резкое повышение зарплат.

В Великобритании в ежегодном опросе для определения типичных окладов было проанализировано 56 ключевых позиций в сфере кибер­безопасности. Обнаружилось, что средняя заработная плата в секторе безопасности выросла на 6,3% по сравнению с уровнем 2017 года, что более чем вдвое превышает сред­ний рост заработной платы в стране.

Другие роли безопасности

Даже в условиях впечатляющего роста заработной платы в целом в индустрии безопасности специ­алисты по обеспечению безопасно­сти увидели действительно исклю­чительный рост заработной платы именно специалистов в области обе­спечения осведомленности поль­зователей. Их средняя зарплата выросла на 20% всего за 12 меся­цев. Ежегодная зарплата менедже­ров по осведомленности на сегод­ня составляет в среднем 60-90 тыс. фунтов стерлингов.

Для сравнения: зарплата аналити­ков по безопасности, в обязанно­сти которых входит большая часть повседневной деятельности по обе­спечению безопасности, необходи­мой для защиты организации, уве­личилась на 13%. Несмотря на это, очевидно, что многие организации готовы платить и гораздо больше, чтобы повысить уровень осведом­ленности пользователей.

Оценивая внутренние и внешние угрозы компании, легко понять, почему эти специалисты так выросли в цене: подавляющее большинство атак будет нацелено в первую очередь на персонал в расчете на нехватку компетентных в области безопасности сотрудников, ведь так гораздо проще обойти другие технологии и процессы обеспечения без­опасности, которые внедрила организация.

Один щелчок мышью беспечного сотрудника может легко привести к компрометации критических систем (напомню. Business Email Compromise — популярнейший метод выведать конфиденциальные данные, перевести средства или загрузить вредоносные программы), поэтому уровень осведомленности каждого пользователя может заметно повлиять на способность организации защищаться от подобных атак.

Наличие сотрудников, проин­формированных о различных угрозах и обученных надлежащим политикам и процедурам, все больше рассматривается как такая же необ­ходимость, как наличие правильных инструментов и персонала службы безопасности.

Осведомленность ценится высоко

Высокий уровень осведомленно­сти пользователей при реагирова­нии на киберугрозы может сыграть важную роль в снижении ущерба от большинства кибератак.

Если ранее компании нередко добавляли деятельность по повышению осведомленности к обязанностям, например, сотрудников по управлению рисками, то сейчас для этого все чате вводится отдельная штатная должность, поскольку они осознают разницу, которую может давать хорошо информированный персонал.

Хотя огромный скачок в заработной плате может показаться необычно высоким по сравнению с технически ориентированными ролями, важно помнить, что менеджеры по повы­шению осведомленности требу­ют специфического набора навы­ков и опыта. Тот факт, что человек является экспертом в вопросах без­опасности, не обязательно означает, что он умеет донести свои знания до обычных пользователей.

Awareness Manager должен не толь­ко обладать глубокими знаниями в области безопасности, но и уметь доходч иво объя снить п о веде н и е в той или иной ситуации пользова­телям с минимальным техническим опытом. В его обязанности также входит контроль работы по повы­шению осведомленности в рамках всей организации, включая плани­рование учебных занятий и других внутренних коммуникационных мероприятий.

Согласитесь, такое сочетание тех­нических компетенций и хороших навыков общения и управления пер­соналом встречается чрезвычайно редко.

За рамками зарплаты

Поскольку зарплаты специалистов по осведомленности и других экспертов растут быстро, организациям необходимо задуматься о том, как привлечь подобных специалистов.

И деньги здесь не единственный аргумент. Можно привести несколько убедительных примеров форми­рования лояльности среди персонала с такими преимуществами, как гибкая работа и высокий уровень карьерной мобильности.

Возможность привлекать к работе нескольких специалистов с разными навыками в отделе может быть основным преимуществом, когда речь идет о составлении бюджета и решении вопросов, связанных с уходом сотрудников.

И все же основным остается вопрос: как создавать эффективный контент для повышения осведомленности сотрудников и как правильно тре­нировать их навыки?

Согласно исследованию«Изменение парадигмы человеческого фактора в кибербезопасности», проведен­ному руководителем отдела кибер­безопасности Кэлвином Ноблсом 90% инцидентов безопасности связаны с ошибками сотрудников.

Эта невероятно высокая статистика заставляет задуматься: окупаются ли инвестиции в обучение?

Когда дело доходит до обучения сотрудников, качество контента является наиболее важным факто­ром. Однако стоит помнить, что, если качественный контент обучения не сопровождается работающими сервисами и не поддерживается личным примером со стороны самих специалистов по информационной безопасности и управлению, успе­ха не будет.

Одноразовый просмотр обязательного видео нс помогает снизить риск. Однако информиро­вание пользователей о киберугрозах имеет большой потенциал для управления рисками. Вот почему программы информирования о безопасности должны быть частью мно­гоуровневой стратегии защиты.

В ходе своего исследования Ноблс выяснил, что, хотя организации вкладывают значительные средства в технологии безопасности, они все еще отстают, когда дело доходит до инициатив по обучению сотруд­ников. Многие специалисты по обучению подтверждают это мнение.

В каждой организации сотрудники подчас открыто нарушают полити­ки безопасности, входят в систему с использованием незащищенных общедоступных сетей, использу­ют рабочие устройства для личных транзакций, загружают несанк­ционированное программное обе­спечение, обмениваются паролями и открывают вредоносные вложе­ния от фишинговых атак.

Вопрос не в том, нужно ли организациям внедрять информационные программы; скорее, руководители организаций должны думать о том, как они могут дать своим сотрудникам возможность ощутить ответствен­ность за безопасность предприятия, что требует более творческого под­хода к обучению кибербезопасности.

Ноблс также обнаружил, что кор­поративная культура повлияла на успешность снижения рисков для отдельного человека. Культура, ориентированная на сотрудников и на команду, открытую к общению с целью создания позитивной рабо­чей среды, с большей вероятностью породит у сотрудников ощущение собственной ценности и значимо­сти своей роли. В свою очередь, они будут ценить и организацию.

Чтобы изменить культуру организа­ции, ее члены должны принимать в этом непосредственное участие, и данный посыл должен исходить от руководства. Одна из важней­ших задач эффективной программы повышения осведомленности — дать всем понять, что речь идет не о пре­подавании безопасности, а об изме­нении культуры организации. Вот почему информационные кампании должны больше походить на марке­тинговые.

Существует множество способов передать необходимое сообщение нужному человеку в соответствую­щее время, но большинство пред­лагаемых тренингов универсальны.

Обучение для вашей компании

Проблема с универсальным обуче­нием заключается в том, что, неза­висимо от вашей роли или создава­емых вами конечных целей, каждый сотрудник проходит одинаковое обучение.

Помимо того что в упраж­нениях нет возможности отключить­ся, в них отсутствуют какие-либо возможности отслеживания, позво­ляющие проверить, действитель­но ли люди учатся. Неудивительно, что информационные программы не очень успешны.

Видео, новостные рассылки, печатные издания, мероприятия…
Существует много каналов, которые могут привлечь внимание пользова­телей к контенту по безопасности.

Одномерный подход, в котором при­меняется только один из этих мето­дов, не достигнет полной потенци­альной эффективности. Слишком часто специалисты, участвующие в создании программ обучения осве­домленности, не мыслят стратеги­чески о задачах, для которых они создают контент.

Распространите информацию
Реальность такова, что многие руко­водители не заботятся о безопасно­сти, поэтому исключительно важно создавать четкие сообщения, демон­стрирующие, почему безопасность важна. Вместо того чтобы вешать информационный плакат в комнате отдыха и ожидать, что сотрудники его прочтут, поместите сообщения о безопасности в один ряд со всем прочим контентом, который пер­сонал использует в течение дня.

Например, по сравнению с рекла­мой пива во время футбольного матча плакат в комнате отдыха — это очевидный провал: неинтересный, не предназначенный для конкрет­ной аудитории, слишком серьезный.

Ваш контент должен быть креа­тивным, но он также должен при­влекать внимание пользователей. Забавный контент становится гораздо менее забавным, если он обязателен. Проблема в том, что сотрудники службы безопасности не оценивают, заинтересованы ли сотрудники.

Геймификация быстро становится популярным спосо­бом заинтересовать сотрудников, и многие компании решают зада­чи, действующие в масштабах всей организации, когда отделы играют друг против друга, чтобы выяснить, кто добился лучших результатов во внутренних фальсификацион­ных кампаниях.

Культурный сдвиг

Недавний отчет показал, что 43% специ­алистов по безопасности используют свои навыки, полученные в ходе обу­чения осведомленности пользовате­лей, два-три раза в неделю.

Соискатели, которые ищут работу в сфере безопасности, хотят, чтобы работодатели продолжали вкла­дывать средства в обучение осно­вам безопасности. Уэс Симпсон, главный операционный директор (ISC2), полагает, что эффективное обучение осведомленности начина­ется с людей, которых вы нанима­ете. Все чаще компании стремятся нанимать кандидатов с навыками, необходимыми для стратегического информирования о ценности без­опасности во всей организации.

Компании должны быть активны в создании гибкой программы, которая не только учитывает риски для организации, но и адаптирует обучение пользователей для снижения этих рисков.

Когда осведомленность о безопасности — это корпоратив­ная программа, охватывающая каж­дого пользователя, когда разговоры на темы безопасности становятся привычкой, независимо от отдела или команды, сотрудники в большей мере будут ощущать свою ответ­ственность перед компанией.

Источник: журнал «Windows IT Pro/RE»