Илья Одинцов, RED Security: Даже если сотрудники научились распознавать фишинг сегодня, завтра новая схема может оказаться успешной

Илья Одинцов, руководитель направления Security Awareness компании RED Security, в рамках совместного проекта с Global Digital Space, рассказал порталу Cyber Media о важности повышения киберграмотности среди сотрудников и пользователей. В интервью он рассказал о стратегиях обучения, успешных кейсах и методах вовлечения, а также о том, как компании могут минимизировать риски, связанные с человеческим фактором в кибербезопасности.

Посмотреть видеоверсию интервью можно в Rutube, VK, YouTube или на Дзене.

Cyber Media: Ситуация с кибергигиеной в России и мире: где мы находимся сейчас и куда нам расти?

Илья Одинцов: Ситуация с кибергигиеной как в России, так и в мире в последние годы претерпела заметные изменения. В мире эта тема давно является важным элементом информационной безопасности, и уже активно используется термин Security Awareness — осведомленность о безопасности. В России аналогичные процессы развиваются, но под другими терминами — повышение киберграмотности и кибергигиена.

Проблемы с кибергигиеной в основном вызваны фишинговыми атаками и спамом. Эти способы распространения вредоносного контента остаются эффективными и дешевыми, благодаря чему киберпреступники активно их используют для организации как массовых, так и целевых атак. Взламывать дорогостоящие фаерволы или организовывать сложные атаки – это дорого и требует значительных ресурсов, в то время как фишинг по сути доступен каждому.

Несколько лет назад, когда в России началась активная цифровизация, например, через банковские приложения и Госуслуги, наша страна оказалась в числе лидеров по темпам развития этого процесса. Однако уровень киберграмотности населения заметно отставал от скорости цифровой трансформации. Резкое увеличение числа цифровых сервисов привело к росту угроз, связанных с безопасностью, и потребность в повышении осведомленности стала более актуальной, чем когда-либо. В этом контексте важно не только развивать цифровые технологии, но и не забывать о необходимости защиты от киберугроз.

Таким образом, задача для России и мира заключается не в сравнении позиций, а в том, чтобы осознавать важность кибергигиены, повышать ее уровень и бороться с угрозами цифрового мира.

Cyber Media: Какой процент компаний в целом занимается повышением осведомленности своего персонала? Насколько это вообще эффективная практика, можете ли вы поделиться средними метриками до внедрения Security Awareness и после проведения тренингов?

Илья Одинцов: Сложно сказать точно, какой процент компаний занимается повышением осведомленности персонала, потому что само понятие «занимается» очень растяжимое. Если говорить о формальном выполнении требований законодательства, например, 152-ФЗ, то, думаю, большинство компаний делают это на минимально необходимом уровне.

Настоящая Security Awareness, с использованием специальных платформ и тренингов, — это совсем другое дело. Организации начали активно повышать киберграмотность сотрудников, на мой взгляд, где-то с 2018 года, когда на рынке появились поставщики соответствующих решений. Более того, многие компании распространяют эту практику и за пределы корпоративной среды — обратите внимание, сколько банков в своих приложениях рассказывают о кибербезопасности и мошенничестве.

Конкретных цифр по процентам и метрикам эффективности до и после тренингов я сходу привести не смогу. Но могу сказать, что видел несколько впечатляющих примеров в крупных e-commerce компаниях, где подход к Security Awareness доведен до совершенства. Честно говоря, я даже позаимствовал некоторые идеи для нашего сервиса.

Но вот что важно: просто отправить письмо с инструкцией и попросить сотрудника подтвердить его прочтение – это тупиковый путь. Люди не получают зарплату за то, что они осведомлены. У них есть рабочие задачи, и на информационную гигиену им нужно выделять дополнительное время и внимание. Поэтому нужны совсем другие, более эффективные подходы.

Cyber Media: Что собой в принципе представляет услуга по Security Awareness, из каких компонентов она состоит?

Илья Одинцов: Security Awareness — это не просто техническая платформа с контентом. Это комплексный подход. Да, важна сама платформа, материалы, инструменты… но это лишь половина дела. Главное — заинтересовать сотрудников повышать свои киберзнания. Помню, лет пятнадцать назад мы боролись с тем, что люди оставляли пароли на бумажках под клавиатурой! Тогда приходилось применять «метод кнута». Сейчас мы предпочитаем «пряник», хотя иногда и без кнута не обойтись.

Сегодня Security Awareness представляет собой комплекс мероприятий, направленных на повышение осведомленности сотрудников о киберугрозах и безопасности данных. Она включает несколько ключевых компонентов, которые помогают сделать обучение эффективным и интересным.

Во-первых, это платформа и контент: на специальной платформе размещаются различные обучающие материалы, такие как видеозаписи, слайды и тексты. Важно, чтобы контент был адаптирован под разные группы сотрудников, учитывая их уровень знаний и профессиональные навыки. Например, для технических специалистов информация может быть более углубленной, а для других сотрудников — упрощенной.

Во-вторых, это геймификация: для повышения вовлеченности сотрудников в процесс обучения хорошо работают игровые элементы. Это могут быть тесты, задания с перетаскиванием элементов, поиск отличий или нахождение ошибок. Такая форма обучения помогает удерживать внимание сотрудников и делает процесс более интерактивным и менее скучным.

В-третьих, важно использовать мотивацию. Причем для повышения эффективности обучающих программ применима как положительная мотивация (например, баллы за правильные ответы, которые можно обменять на подарки или мерч), так и отрицательная мотивация (например, снижение премий за несвоевременное выполнение обучения). Важно, чтобы мотивация была разнообразной и учитывала психологические особенности сотрудников.

Четвертой составляющей успешного обучения киберграмотности являются тренировочные фишинговые рассылки, имитирующие реальные угрозы. Такая проверка знания сотрудников позволяет оценить, насколько они умеют противостоять фишинговым атаамк, и скорректировать обучение на основе полученных данных.

И, наконец, индивидуальный подход: обучение должно быть адаптировано для различных категорий сотрудников. Например, ИТ-специалистам важно показать, что они тоже могут быть уязвимы, несмотря на их высокий уровень знаний. Важно убедить их, что даже малейшая ошибка может привести к серьезным последствиям для организации. Для топ-менеджеров подход также должен быть специализированным, с учетом их роли в управлении и принятии решений.

В итоге, услуга Security Awareness — это не просто предоставление контента и инструментов, а создание культуры безопасности внутри компании, где сотрудники понимают важность своих действий и принимают участие в обучении.

Cyber Media: Как вы считаете, для топ-менеджеров и гендиректоров, эффективнее будет разъяснительная работа и повышение осведомленности или технические меры защиты от фишинговых атак?

Илья Одинцов: Я считаю, что для топ-менеджмента и гендиректоров гораздо эффективнее повышение осведомленности на конкретных примерах из практики, чем чисто технические ограничения. Ведь как часто бывает: когда технический специалист начинает объяснять, как переход по ссылке или скачанный файл может зашифровать всю инфраструктуру компании, реакция руководства обычно сводится к фразе: «Вы этим занимаетесь, вы и решайте проблемы».

Я могу поделиться личным примером, когда наша система защиты среагировала на опасность и заблокировала удаленный доступ к корпоративным ресурсам генеральному директору. Все началось с того, что система зафиксировала несколько необычных попыток входа с разных устройств, и автоматически сработала блокировка. Проблема была в том, что директор находился в отпуске за границей, у него возникли проблемы с сетью, при этом он пытался дозвониться специалистам SOC с незнакомого номера. В результате мы потратили 12 часов, пытаясь понять, что происходит. Естественно, у гендиректора это вызвало недовольство, а нам грозило потерей клиента. Но после того, как мы объяснили риски и наши действия, гендиректору стало понятно, почему система так среагировала. В итоге этот случай укрепил наше взаимодействие и расширил объем сервисов, которые мы предоставляем этой компании.

Поэтому в нашей платформе есть специальные материалы для руководителей. И один из самых убедительных способов донести информацию — это симулированная фишинговая атака. Мы отправляем фишинговое письмо от имени, например, важного внутреннего подразделения или партнера, и гендиректор, перейдя по ссылке и скачав файл, на собственном опыте убеждается в опасности таких действий. В некоторых случаях мы даже проводили симуляции шифрования файлов — меняли расширения, архивировали данные. Гендиректор, столкнувшись с «потерей» файлов, на собственном опыте понимает всю серьезность угрозы.

Подводя итог, скажу, что техническая защита, безусловно, важна, но без понимания рисков и ответственного отношения со стороны руководства, она малоэффективна. Электронная цифровая подпись, например, хорошо защищена, но при прямом доступе к инфраструктуре злоумышленники могут получить слишком много информации. Поэтому профилактическая работа и повышение осведомленности намного эффективнее.

Cyber Media: Остро стоит вопрос с повышением уровня кибергигиены ИТ-специалистов. С одной стороны — это, часто, привилегированные пользователи в ИС компании. С другой — нередки случаи, когда разработчики попадаются даже на примитивные схемы, например, с фейковыми собеседованиями. В чем специфика обучения киберграмотности ИТ-специалистов?

Илья Одинцов: Обучение кибергигиене ИТ-специалистов требует особого подхода, учитывая их привилегированный доступ к системам компании. Основой становится регламентация использования прав доступа и учетных записей. Например, необходимо использовать отдельные технологические учетные записи для административных задач, а учетные записи с расширенными правами, такие как «enterprise админ», применять только в крайних случаях. Категорически недопустимо использовать их для повседневных задач или на рабочих станциях пользователей.

Другой важный аспект — развитие критического мышления и внимательности. Привилегированные пользователи, как и остальные сотрудники, должны быть обучены основам: не переходить по подозрительным ссылкам, не загружать файлы из сомнительных источников. Даже опытные специалисты иногда совершают ошибки, например, скачивая файлы со случайных сайтов в поиске нужного инструмента. Я сам недавно чуть не загрузил файл с верхней строчки поисковой выдачи. Но вовремя заметил, что сайт выглядит подозрительно, а нужный мне ресурс занимает вторую строчку в выдаче.

Особое внимание уделяется осознанию ответственности за действия с учетом уровня доступа. Как говорится, «с большой силой приходит большая ответственность». Сотрудники с расширенными правами должны понимать, что каждая их ошибка может иметь более серьезные последствия, чем действия рядовых пользователей. Таким образом, обучение ИТ-специалистов должно быть не только техническим, но и поведенческим, акцентированным на осознанности и внимательности.

Cyber Media: Существует практика проведения соревнований CTF, направленных на кибербезопасность, для разработчиков и специалистов защиты. Насколько эффективны соревнования CTF в формировании понимания принципов кибербезопасности?

Илья Одинцов: С точки зрения повышения осведомленности в области кибербезопасности соревнования CTF действительно актуальны. Однако их проведение связано с рядом технологических сложностей. Такие мероприятия тесно связаны с процессом безопасной разработки, если говорить про ИТ-компании. Если этот процесс уже налажен, то такие инициативы часто поддерживаются security-чемпионами, которые активно продвигают безопасные практики внутри команд разработки. Если же процесс безопасной разработки еще не внедрен, начинать стоит именно с него, а затем подключать тестовые платформы и инструменты для обучения. Для ИБ-компаний эти соревнования дают возможность командам ИБ, ИТ и бизнеса лучше понять друг друга.

В нашей компании мы пошли схожим путем. Мы практикующая команда ИБ, и кажется, что все наши сотрудники — профессионалы, прекрасно разбирающиеся в безопасности. Однако первый тест платформы показал около 35% переходов по фишинговым ссылкам, причем в некоторых случаях даже среди сотрудников с 15–20-летним опытом работы в сфере ИБ. Поэтому мы внедрили практику Security Buddy — это добровольные кураторы по вопросам безопасности в подразделениях, в том числе бэк-офиса (маркетинг, сейлы, финансы, управление проектами и т.д.). Такие специалисты не только помогают коллегам, но и активно распространяют идеи кибергигиены в своих командах. Этот подход дал отличные результаты.

Я считаю, что для работы с разработчиками важно сначала выстроить базовые процессы, привлечь security-чемпионов и внедрить хотя бы одну платформу, которая будет эффективно доносить ценность безопасной разработки и безопасного поведения.

Cyber Media: Какие темы фишинговых рассылок чаще всего используются для тестовой эксплуатации?

Илья Одинцов: Тематика тестовых фишинговых рассылок варьируется в зависимости от особенностей компании и должностей сотрудников. Например, мы проводили внутреннюю рассылку, приуроченную к праздникам, и тщательно таргетировали письма. Разделили сотрудников по группам: руководители,, пользователи с привилегированным доступом, младшие специалисты.

Темы писем были соответствующими разным праздникам: Новый год, 23 Февраля, 8 Марта. Кому-то предлагали ваучеры, кого-то приглашали в ресторан и т. д. Такие таргетированные подходы дают более точные результаты. Интересно, что процент переходов оказался неожиданно высоким, даже среди тех, кто давно работает в кибербезопасности.

Поэтому важно помнить, что security awareness — это постоянный процесс. Даже если сотрудники научились распознавать фишинг сегодня, завтра новая схема может оказаться успешной. Например, письмо якобы от ФНС с запросом данных может обмануть опытного специалиста, который уяснил, что нельзя переходить по ссылкам с предложением бесплатного ужина в ресторане. Поэтому важно регулярно обновлять подходы и адаптировать рассылки под реальную обстановку.

Cyber Media: Как часто сотрудники, осознав, что допустили ошибку, вместо того чтобы оперативно сообщить об этом в службу информационной безопасности или SOC, пытаются самостоятельно исправить ситуацию? Учитываете ли вы этот аспект в ваших обучающих программах, акцентируя внимание на правильных действиях в таких случаях?

Илья Одинцов: У нас есть целый курс, посвященный тому, что делать, если произошел инцидент, кто виноват, куда бежать и как реагировать. Мы стараемся учесть разные сценарии, включая особенности взаимодействия для заказчиков, которые используют наш SOC. Такие курсы кастомизируются под процессы и подразделения конкретной компании.

Важно, чтобы сотрудники понимали: если они перешли по подозрительной ссылке, даже если на первый взгляд ничего не произошло, угроза может проявиться позже и привести к серьезным последствиям, таким как компрометация инфраструктуры компании. Быстрая реакция, например, сообщение в подразделение ИБ, дает значительное преимущество — служба безопасности может оперативно проанализировать ситуацию и предотвратить атаку.

Недавно мы столкнулись с атакой, которая была направлена на крупный холдинг, состоящий их нескольких компаний. Злоумышленники действовали очень методично: сначала они извлекли учетные данные одной из компаний. Эти данные были хэшированы, но это их не остановило — данные вывели за пределы инфраструктуры компании и, вероятно, прогнали через системы подбора хэшей. Получив доступ, хакеры начали продвигаться дальше по инфраструктуре. Продвижение злоумышленников между несколькими юридическими лицами заняло около шести рабочих дней. Но мы вовремя подключились и смогли предотвратить серьезный ущерб инфраструктуре. Переход между доменами и юридическими лицами замедлил их действия, что дало нам больше времени для реагирования. Стоит отметить, что внутри небольшой компании захват инфраструктуры может произойти всего за день-два. Эта история в очередной раз показывает, насколько важно оперативное уведомление службы безопасности о любом подозрительном инциденте. Если сотрудник сообщает об инциденте сразу, то у специалистов появляется шанс остановить атаку на раннем этапе, что в итоге спасает инфраструктуру компании от масштабного ущерба.

Cyber Media: С какой периодичностью нужно проводить Security Awareness?

Илья Одинцов: Повышение киберграмотности должно быть регулярным процессом, адаптивным к текущим рискам и задачам компании. Основной принцип — постоянство, так как человеческая память склонна забывать информацию через несколько недель или месяцев в зависимости от ее актуальности. Для повышения эффективности обучения важно учитывать контекст нарушений и индивидуальные особенности сотрудников.

Мы предлагаем проводить обучение через комбинированный подход. Например, для сотрудников, которые допустили ошибку, скажем, перешли по фишинговой ссылке или спровоцировали инцидент, назначаются специальные курсы, фокусирующиеся на исправлении и предотвращении подобных ошибок. Частота таких мероприятий зависит от размера компании и специфики ее подразделений. В крупных организациях фишинговые тесты могут проходить чаще, чем раз в месяц, и сопровождаться таргетированными рассылками на отдельные группы сотрудников. Это исключает эффект распространения информации между коллегами, когда от одного все узнают о тренировочной рассылке, и ее эффективность падает.

Также важным источником для настройки курсов являются данные из SIEM, DLP и других систем мониторинга компании. Анализируя инциденты силами нашей команды SOC, мы формируем персонализированные программы обучения, что помогает решать конкретные проблемы компании. Такой подход сохраняет эффективность и делает обучение не разовой акцией, а процессом, встроенным в бизнес-процессы.

Cyber Media: Сейчас в интернете можно найти подробную информацию о каждом россиянине. Как это влияет на осведомленность сотрудников о рисках, учитывается ли этот фактор в курсах по кибербезопасности, и что людям следует делать, зная, что о них уже много чего известно в интернете?

Илья Одинцов: Когда речь идет о рисках утечек данных, важно понимать, что в интернете доступна не только информация о номерах документов, но и адреса, и другие личные данные. Это создает дополнительные угрозы, включая фишинговые атаки. Например, недавно мне начали поступать письма от людей, представляющихся генеральным директором моего бывшего работодателя. Такие попытки мошенничества достаточно просты: злоумышленники могут подделывать идентификацию и пытаться выманить деньги.

Ключевое в таких ситуациях — это критическое мышление. Например, если вам пишут по каким-то важным вопросам, но нарушены все регламенты. Или, например, вы, рядовой бухгалтер, получаете сообщение с просьбой перевести деньги от якобы генерального директора — это должно насторожить. В подобных случаях всегда стоит не торопиться и проверить информацию: можно позвонить руководству по корпоративному номеру телефона или обратиться в службу ИБ для проверки. Важно помнить, что в крупной компании топ-менеджеры не знают каждого сотрудника лично, и если вам пишут без соблюдения стандартных процедур, это должно быть сигналом для вашей бдительности.

Мошенничество на основе фальшивых запросов стало частым явлением, и, как показывает практика, многие люди теряют деньги, не проверив информацию.

Cyber Media: Всплеск кибератак на публичных лиц привел к тому, что в России активнее заговорили о практике личных консультантов по ИБ. На ваш взгляд, насколько зрелая эта ниша в России?

Илья Одинцов: Если говорить о практике предоставления персональных консультаций по информационной безопасности для топ-менеджеров и частных лиц, то ситуация немного неоднозначная. Часто такие консультации касаются не столько индивидуальной безопасности, сколько общих вопросов по защите репутации и предотвращению утечек информации, что больше относится к управлению цифровыми рисками.

В мире медийных персон и известных людей действительно есть спрос на такую услугу. Например, с 2018 года я сталкивался с компаниями, которые занимались поиском слитой информации (OSINT) и помогали удалять нежелательные данные из открытых источников. Это больше напоминает не столько персональные консультации, сколько комплексное управление цифровыми рисками (DRP), которое охватывает защиту бренда, мониторинг упоминаний и удаление информации.

Но персональный консультант по ИБ — это скорее маркетинговая история, чем реальная необходимость. Конечно, для медийных людей это может быть полезно, особенно если они далеки от кибербезопасности и ИТ. Однако намного эффективнее будет работать команда специалистов с международными сертификатами, которые могут оперативно реагировать на инциденты. Они обладают связями, и при необходимости могут действовать быстро — от одного до двух дней — чтобы решить проблему.

Cyber Media: Были ли в вашей практике интересные кейсы, забавные ситуации сложности с Security Awareness, с которыми вам пришлось столкнуться в процессе обучения?

Илья Одинцов: В процессе работы с обучением киберграмотности мы, конечно, сталкивались с разными интересными и забавными ситуациями. Одна из них связана с известным почтовым сервером с функцией антиспама. Сначала наши тренировочные фишинговые рассылки не проходили через его фильтры, но позже выяснилось, что это было связано с излишней паранойей в настройках. В результате при более адекватной настройке сервер начал пропускать письма без проблем.

Другой интересный случай произошел, когда мы использовали корпоративный шаблон для фишингового теста. Заказчик настоял на том, чтобы после перехода по фишинговой ссылке не выводилась страница с предупреждением, а просто ошибка 404. Несмотря на наши рекомендации так не делать, он настоял на своем. В итоге мы получили много “положительных” отзывов от службы безопасности компании, поскольку сотрудники выстроились к ним в очередь с вопросами. Особенно забавно было, когда безопасники жаловались, что их ловят прямо в столовой, и количество запросов их накрыло.

Cyber Media: На что стоит обратить внимание заказчикам при выборе партнера,

провайдера, вендора, который будет им помогать с Security Awareness?

Илья Одинцов: При выборе партнера по повышению киберграмотности заказчики должны ориентироваться не на количество курсов, а на их качество. Часто сталкиваемся с запросами на платформу с большим количеством курсов, но важно понимать, что число курсов не является показателем их эффективности. Ключевым моментом является содержание: курсы должны быть компактными и вовлекающими. Рекомендуется, чтобы их прохождение занимало не более 30-40 минут у неподготовленного сотрудника и они сопровождались короткими мини-курсами для обновления знаний.

Также важно, чтобы материалы были понятными и хорошо структурированными. Иногда слишком сложный язык может затруднить восприятие контента, поэтому полезно придерживаться принципа «пиши, сокращай». Не стоит забывать и о графическом оформлении и геймификации. Вовлекающие элементы, такие как задачи на поиск ошибок или расстановка объектов по порядку, помогают лучше усвоить материал и сделать обучение более эффективным.

Таким образом, при выборе партнера для проведения Security Awareness следует оценивать методы вовлечения, качество контента и время, которое сотрудники тратят на обучение, чтобы оно было максимально продуктивным и доступным.