Ключевой темой, прошедшей 4 июня конференции Код ИБ в Алматы, стало повышение культуры кибербезопасности. Чей уровень культуры нуждается в повышении и какими методами обсудили эксперты во время пленарной дискуссии.
По словам директора по безопасности Ивана Бирули (SearchInform) общий тренд идет к автоматизации бизнеса, в связи с этим появляются новые продукты и технологии, которые тем не менее не способны застраховать на 100% все риски. За пользователями остается определенный пласт работ, который безопасники не могут контролировать полноценно. Без понимания рядовыми сотрудниками основ безопасности, бизнес остается подвержен большому риску, поэтому культуру безопасности нужно начинать развивать с самых низов. При этом, отмечает эксперт, важным аспектом в такой культуре должен стать статус службы по информационной безопасности. «Вы не должны быть Пугалом», - наставляет участников конференции Иван Бируля, - «вы должны быть союзниками пользователей». Благодаря такому подходу, безопасникам удастся получить доступ к информации о возникающих угрозах заблаговременно от самих же пользователей.
Олег Биль (Лаборатория исследования вредоносного кода) отмечает, что культура ИБ должна распространяться не только на пользователей, но и на разработчиков, которые отвечают за стабильность работы информационных систем. Если есть уязвимости в кодировании, то инциденты будут, несмотря на бдительность и квалификацию пользователей.
«Нам часто приходится слышать: «Мы никому не интересны, кто нас будет взламывать?». Необязательно быть целью злоумышленника, чтобы стать жертвой. Продвинутые атаки на цепочку поставок, которые произошли в начале этого года, были реализованы через крупного производителя оборудования, компанию ASUS. И более того, компания может оказаться в ранге хакеров, не осознавая этого. Такое может произойти в следствии спам-рассылки вредоносного ПО, организованной мошенниками от лица вашей компании. Именно поэтому под угрозой может оказаться любой бизнес, вне зависимости от масштаба. Кроме технологий, которые внедряются для обеспечения безопасности, необходимо уделять значительное внимание обучению основам безопасности персонала и развитию кибергигиены в компании», - комментирует руководитель пресейл-службы компании Лаборатория Касперского в Казахстане.
Лайфхаки по повышению культуры кибербезопасности
Иван Бируля: проводите короткие встречи-презентации для руководства о базовых понятиях ИБ. Такой опыт даст понимание директорам необходимости выделения бюджетов на безопасность.
Александр Пушкин (ЦАРКА): для проведения обучения рядовых пользователей привлекайте в помощь HR-отдел.
Олег Биль: проводите учения с помощью имитации фишинговых атак. Вы, как безопасник, увидите, какова на самом деле в компании ситуация с культурой ИБ. После этого можно собирать пользователей и рассказывать о результатах. Проведение просветительской работы на такой почве будет идти эффективнее.
Дмитрий Абалмасов (StaffCop): любые шаги в сторону работы просвещения пользователей будут полезны: большие и маленькие. Важно начать раскручивать маховик образования в сфере ИБ, который создаст информационный фон в компании. Это будет стимулировать людей помнить о безопасности. Такой фон возможно создать средствами DLP, внедрение и работа которых затронет юридический отдел, HR-отдела, и обычных пользователей.
Сергей Кузнецов (Конфидент): базовое обучение новеньких сотрудников в компании могут проводить их коллеги по кабинету. ИБ-шники же должны заниматься поддержанием процесса обеспечения безопасности.
Впечатления участников
«Именно такие конференции необходимо проводить! Общение, информация, новые знакомства» Смакотин Александр, "Цифровое Облако"
«Интересные темы по защите ИБ, презентации с полной, раскрытой информацией по каждой теме, грамотные спикеры» Амзехан Салтанат, "Народный банк Казахстана"
«Очень интересна тема ИБ, интересная подача важной темы, много полезного материала и необходимого софта для безопасной работы предприятия» Фоломешкин Александр, "ЭнергоИнформ"
.jpg)