Андрей Янкин, «Инфосистемы Джет»: Секретари, HR и менеджеры по продажам – самые легкие жертвы для злоумышленников

Пять лет назад, когда клиенты «Инфосистемы Джет» рассказывали о своих планах по построению системы ИБ в своих компаниях, самым популярным пунктом было обучение сотрудников правилам кибербезопасности. Вместе с этим, большинство компаний заявляли, что не планируют выделять на это бюджет и ресурсы.

Сегодня ситуация изменилась. Теперь компании тратят огромные бюджеты на ИБ-интерактивы для сотрудников, проводят масштабные киберучения, а некоторые даже пытаются создать собственный human firewall. Об этих и других переменах порталу Cyber Media рассказал Андрей Янкин, директор центра информационной безопасности компании «Инфосистемы Джет».

Cyber Media: Низкая осведомленность сотрудников о вопросах кибербезопасности – одна из главных причин проблем ИБ в компаниях. Как, на ваш взгляд, должно строиться обучение внутри компании? Насколько часто его нужно проводить?

Андрей Янкин: Если говорить о частоте обучения по вопросам информационной безопасности, то ответ здесь только один – оно должно быть непрерывным. Причем его нужно распространять не только на рядовых сотрудников.

Как правило, инструктажами и тренингами по кибербезопасности принято мучить всех, кроме ИТ-, ИБ-специалистов и топ-менеджеров. Это неверный подход: обучение должно касаться всех сотрудников, кто работает с ИТ-продуктами в компании.

Cyber Media: Может ли такое обучение быть стандартизированным? Или есть смысл создавать разные программы, ориентированные на разные отделы компании, например, отдельные тренинги для бухгалтеров, юристов?

Андрей Янкин: Определенно в этом вопросе должна быть дифференциация. Нужны разные программы для самих специалистов ИБ, айтишников и обычных пользователей – людей, которые работают с информационными системами. Причем желательно, чтобы обучение шло с привязкой к их реальной работе и задачам.

Обычных пользователей также нужно разделять, так как среди них есть отдельные категории риска. К ним относятся: секретариат, HR, менеджеры по продажам, особенно в b2c компаниях. Как правило, это самые легкие жертвы для злоумышленников, так как эти сотрудники не могут отказаться от активных коммуникаций с внешним миром.

При этом обучение для сотрудников не должно проходить в виде тестов и руководств на бумаге. Его важно проводить в интерактивной форме – хотя бы в виде тренировочных фишинговых рассылок или тестовых атак. По нашему опыту, часто именно таких учений работники боятся больше, чем реальных хакеров. Причина понятна – есть риск получить моментальный фидбэк от работодателя, что всегда положительно сказывается на собранности коллектива.

Сегодня все это – уже не желательные вещи, а мастхэв. Почти половина успешных атак, которые мы расследуем, начинается с действия пользователей – с перехода по ссылкам из фишинговых рассылок и других похожих схем.

Cyber Media: Если говорить об обучении как об услуге, то насколько развит этот рынок в России сегодня?

Андрей Янкин: Обучение правилам ИБ для массового пользователя – услуга, которая давно существует на рынке. Но найти что-то подобное для ИТ- и ИБ-специалистов – гораздо сложнее. Хватает обучений по продуктам, средствам защиты, нормативке, но все это довольно далеко от реальной практики противодействия атакам. И, по моим ощущениям, на рынке еще нет единого понимания, как предоставлять такую услугу оптимально.

Сегодня особенно популярными стали киберучения. Это и хайповая тема, и органичное развитие темы ИБ-образования. Можно сколько угодно учить теорию, но она вряд ли задержится в голове, если нет практики.

Однако у этого тренда есть обратная сторона – сейчас киберучениями заменяется все корпоративное обучение в части информационной безопасности. Молодой специалист приходит в компанию, на киберучениях что-то происходит, но что именно – ему сложно понять. В итоге пользы от такого формата часто бывает недостаточно ни для него, ни для компании.

Думаю, что скоро сложится некий золотой стандарт обучения ИБ, в который войдет и обязательная образовательная программа с отработкой навыков и киберучения, которые помогут их закрепить. Причем все это будет касаться не только группы ИБ-специалистов, а максимального количества сотрудников в компании.

В целом же рынок корпоративного ИБ-образования еще ожидают большие метаморфозы. Полагаю, они произойдут уже в ближайшие пару лет – интенсивность атак выросла, многим компаниям стало очевидно, что нужно учиться противостоять им. Сейчас спрос рождает предложение, но оно пока остается достаточно разнородным. Еще год–два – и эта ситуация изменится.

Cyber Media: Инциденты нередко случаются из-за банального недопонимания между топ-менеджментом компании и отделом ИБ. Как этого избежать? Помогут ли здесь тренинги?

Андрей Янкин: Действительно, такая проблема существует. Когда люди говорят на разных языках, договориться бывает сложно.

Самый распространенный пример – после успешной кибератаки на компанию CISO разводит руками: «‎Я же предупреждал, что это случится». Более того, скорее всего он даже приносил отчеты топ-менеджерам. Однако выясняется, что в тот момент его никто не понял, поэтому изменения не согласовали, а бюджет на задачи отдела ИБ не выделили.

Тем не менее выстраивать диалог внутри компании все равно необходимо, особенно сейчас. Топ-менеджмент готов слушать – тема кибербезопасности актуальна и на слуху у всех. От CISO требуется только донести свои идеи в терминах бизнес-рисков, а не на своем техническом языке.

Возможно, здесь действительно поможет обучение. Прежде всего я говорю о бизнес-образовании, к которому технические специалисты обычно относятся скептически. А зря: чтобы договариваться с людьми, на которых вы работаете, лучше учиться разговаривать на их языке.

Cyber Media: Большое количество инцидентов в компаниях происходят по вине инсайдеров. Такие нарушители действуют осознанно и намеренно. Как с ними бороться? Какие инструменты и практики могут помочь?

Андрей Янкин: Есть классические подходы, которые давно используются в компаниях. Это DLP-системы и прочие технические способы контроля утечек информации. Однако не всегда они эффективны. Сотрудники-нарушители могут быть политически или финансово ангажированными, но при этом самостоятельно не совершать какие-то действия. Они просто предоставляют возможность внешнему нарушителю “заразить” систему, а дальше он действует сам.

В этом случае сотрудники выступают в роли диверсантов. И здесь очень важны совместная работа со службой безопасности компании и проверки кандидатов на этапе найма. Они, конечно, имеют мало отношения к сфере ИБ. Чего не скажешь о киберразведке, или OSINT. Пожалуй, это один из главных трендов в ИБ с 2022 года.

Благодаря инструментам OSINT можно отслеживать попытки вербовки сотрудников хакерскими группировками, предложения о продаже доступов к сети компании и иные опасные моменты. Часто результаты такой работы оказываются сногсшибательными. Есть случаи, когда компании узнают о взломе практически в момент его совершения. Это позволяет им оперативно отреагировать и избежать возможных последствий.

Кстати, есть кейс, о котором мне рассказал знакомый CISO. В его компании работают 2,5 тыс. человек. Много лет их не рассматривали как потенциальных нарушителей правил ИБ («все свои!»). Однако недавно один из сотрудников перед увольнением все-таки предоставил злоумышленникам доступ к данным. Последствия настигли компанию спустя неделю.

Cyber Media: Сегодня в ИБ-сфере часто обсуждается концепция human firewall. Насколько, на Ваш взгляд, реально организовать такое на практике?

Андрей Янкин: Human firewall – для меня понятие философское. Прежде всего это работа с персоналом, направленная на то, чтобы сотрудники не стали жертвами злоумышленников и, даже наоборот, усиливали кибербезопасность компании своими действиями.

Главный вопрос для меня в другом – какие цели ставятся сегодня перед human firewall? Есть классический подход, согласно которому нужно обучать всех сотрудников правилам ИБ. Они должны быть максимально готовы к атакам и противодействию злоумышленникам. Наша практика показывает, что такой подход – это утопия.

Безусловно, обучать сотрудников нужно. Это необходимо делать хотя бы для того, чтобы снизить вероятность проникновения хакеров в сеть. Но при этом мы проводили эксперимент, в котором участвовали реальные специалисты ИБ. Даже выборка в 200 подготовленных сотрудников дает хотя бы один случай, когда получатель переходит по ссылке из фишингового письма.

Вот почему я считаю, что полностью полагаться на human firewall нельзя. Всегда найдется человек, который мог не выспаться и потерять бдительность. Намного важнее сделать так, чтобы каждый сотрудник стал помощником в деле защиты компании. С теми же рассылками важно в первую очередь не то, сколько человек ввели по ссылке свои логин и пароль. А то, сколько людей сообщили о фишинговом письме в саппорт и как быстро они это сделали. Только так у ИБ-специалистов есть шанс исправить ситуацию до возникновения серьезных последствий.

Можно вовлекать людей в процесс с помощью инструмента security champions. Это обученные и замотивированные на помощь ИБ сотрудники в функциональных подразделениях. Причем это могут быть как коллеги из ИБ- или ИТ-отделов, так и люди, которые работают в финансовых службах, в сфере документооборота, HR и других потенциально привлекательных для хакеров подразделениях. Такие внутренние агенты могут помочь, в том числе, при аудитах ИБ – часто именно они видят проблемы и риски внутри своих отделов и задач.

Компаниям, которым удалось создать у себя институт security champions, можно только позавидовать. Отчасти это и есть тот самый human firewall, о котором все сейчас говорят.