То, что человек – самое слабое звено в информационной безопасности, давно является догмой. Большинство компаний понимают эту проблему и ставят перед собой цель повысить культуру информационной безопасности среди сотрудников.
Как именно они пытаются достичь этой цели, с каким трудностями приходится сталкиваться на пути к ней и какая основная проблема в повышении осведомленности – все эти вопросы постараемся разобрать в рамках данной статьи.
Начнем с основ – большинство компаний, выстраивая процесс повышения осведомленности, используют общепринятый подход, который можно уже с уверенностью называть типовым. Типовой подход в своей основе лежит на трех китах – это локально-нормативные акты по информационной безопасности (далее – ЛНА), вводный инструктаж и коммуникации с сотрудниками.
Если говорить про ЛНА, то в целом с ними все ясно – это документы, часть из которых продиктована российской нормативной базой (защита персональных данных, коммерческая тайна), и эти документы, в большинстве случаев, не помогают реально повысить уровень безопасности, то есть предотвратить инцидент или нарушение – они в большей мере помогут отстоять компании свои интересы в случае разбирательств с нерадивым сотрудником уже после свершившегося факта нарушения.
Вводному инструктажу хочется уделить особое внимание – именно на этом этапе новому сотруднику можно придать импульс с точки зрения отношения к информационной безопасности в компании. Если ваш вводный инструктаж похож на предполетную речь бортпроводника самолета, то можно с уверенностью сказать, что далеко вы на этом не уедете. Важными аспектами в данном случае являются как материал, который демонстрируется сотруднику, так и навыки коммуникаций со стороны выступающего. При формировании инструктажа должна доноситься информация о том, к кому в блоке безопасности необходимо обратиться за консультацией, на каких ресурсах или в каких документах сотрудник может найти информацию, как ему следует поступать в тех или иных случаях, а также материал подается без привязки к конкретным бизнес-процессам компании.
Коммуникации с сотрудниками также являются важным фактором успеха, они могут быть реализованы посредством корпоративного портала, рассылок по электронной почте, установки скринсейверов на рабочих местах и т.п. В коммуникациях главное найти золотую середину – не превратить сообщения в повторяющийся спам для сотрудников или редкие напоминания о себе.
Начиная внедрять вышеописанные способы и постепенно повышать уровень зрелости процесса повышения осведомленности, мы неизбежно обращаемся к теоретической части, которую зачастую ищем в нормативной базе (ГОСТ, требования Банка России, приказы ФСТЭК и т.д.) и в конечном итоге приходим к пониманию, что российские требования в части повышения осведомленности – это в основном общие требования. Здесь мы подошли к одному из моментов, которые влияют на конечную цель – каждый пытается сделать что-то свое, часто делая идентичные ошибки. В данном случае можно говорить об отсутствии «best practice» – понятных и формализованных рекомендаций по повышению уровня осведомленности. Одним из важнейших негативных факторов также является отсутствие выделенного сотрудника для реализации данного процесса – повышение осведомленности до сих пор часто воспринимается как работа с частичной занятостью, которой дополнительно нагружают текущих сотрудников.
Ниже приводится статистика SANS Institute, опубликованная в отчете «Security Awareness Report» за 2019 год, которая демонстрирует, что свыше 50% специалистов уделяют не более четверти своего времени на вопросы, связанные с повышением осведомленности пользователей.
Рисунок 1. Время, которое тратит специалист на процесс повышения осведомленности пользователей
Отсутствие постоянной поддержки со стороны руководства и ключевых направлений (HR, внутренние коммуникации, финансы) также не способствует достижению цели. В своем большинстве даже те организации, которые считают повышение осведомленности важным процессом, не уделяют должного внимания анализу результатов данной деятельности.
Здесь мы подходим, пожалуй, к ахиллесовой пяте типового подхода – все, о чем мы говорили ранее, можно смело отнести к теоретической части, а что же с практикой? Именно здесь и присутствует основная проблема – сотрудникам не прививают навыки безопасной работы, когда они реально сталкиваются с событием, которое может нанести вред, то зачастую принимают неверные решения. Так, например, сегодня фишинг ориентирован не только на электронную почту, в его арсенал могут входить SMS (смсинг), телефонные звонки (вишинг), мессенджеры, социальные сети, поддельные домены, а также инструменты для имитации голоса – вещи, с которыми сотрудник сталкивается неоднократно. Даже если сотрудник знает о них, то в большинстве случаев к ним не готов, так как навык противодействия этим угрозам не развит.
С развитием технологий социальной инженерии должны развиваться и инструменты для повышения осведомленности пользователей. Можно смело говорить, что типового подхода уже недостаточно. Если вы хотите реально повысить безопасность и максимально снизить риски человеческого фактора, то без тренировки сотрудников уже не обойтись. Отличной аналогией в данном случае является вождение автомобиля: в рамках обучения вам не только рассказывают теорию, но и прививают навыки вождения, чтобы в дальнейшем можно было ездить не только на учебной площадке.
Делать это можно различными способами – внедрить специализированное программное обеспечение, имитирующее действия злоумышленников, которое позволяет на периодической основе тренировать и отслеживать динамику формирования навыков у сотрудников. Результат достигается за счет периодичности тренировок, а также проведения последующего обучения по результатам тренировки. Также возможно воспользоваться услугами сервис-провайдеров в области информационной безопасности, которые оказывают такие услуги по модели подписки. В случае использования услуги компания также решает все вопросы, связанные с персонализацией и периодическим обновлением контента, так как злоумышленники не стоят на месте. Вне зависимости от того, какой способ выбирает компания, залогом успеха в данном случае будет периодическая проверка навыков ваших сотрудников, которая поможет держать их «в тонусе».
Коротко резюмируем написанное выше:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных