Рагнар Сигурдссон, AwareGO: «Человеческий фактор в кибербезопасности больше нельзя игнорировать»

Фактически, злоумышленники часто используют людей, которым не хватает знаний в области кибербезопасности, для заражения в их систем вредоносными программами или для атаки на всю сеть компании.

По этой причине авторы издания CyberNews поговорили с Рагнаром Сигурдссоном, соучредителем и руководителем отдела исследований и разработок в AwareGO. Он объяснил, как обучение по вопросам кибербезопасности может значительно снизить риск атак, и перечисляет наиболее серьезные угрозы, на которые следует обратить внимание.

Каково было видение AwareGO? Можете ли вы рассказать нам больше об истории компании?

AwareGO была основана в 2007 году мной и Хельгой Стейнторсдоттир. С 2003 по 2007 год я был тестировщиком на проникновение, где на собственном опыте узнал, что нужно обеспечивать безопасность систем. Мне пришлось заняться не только техническими аспектами. Пришлось ориентироваться на пользователей этих систем — людей. Когда я проводил семинары и лекции о лучших методах кибербезопасности для сотрудников, я вскоре обнаружил, что люди быстро теряют интерес и засыпают или перестают обращать внимание. Поэтому я решил, что для того, чтобы людям было интересно, материал должен стать более увлекательным и интересным. Вот почему был основан AwareGO - чтобы обучать людей в короткой и увлекательной форме с помощью видео вместо длинных лекций с большими затратами.

Вы подчеркиваете, что осведомленность о безопасности должна быть приятной. Как вам удается делать обучающие видео познавательными и в то же время развлекательными?

Наши методы основаны на опыте экспертов по безопасности, ученых-бихевиористов и специалистов по маркетингу. Мы считаем, что они научились доносить до людей памятные сообщения, подталкивая их в правильном направлении. В каждом видео мы пытаемся провести тонкую грань между обучением и развлечением, чтобы пользователи знали о риске, о том, как его снизить, и понимали, почему их это должно волновать. Мы пытаемся сделать все это запоминающимся, используя юмор и концепции, которые могут быть понятны людям, чтобы повысить вероятность того, что пользователи запомнят и правильно отреагируют, когда они подвергаются угрозам.

В AwareGO большое внимание уделяется устойчивости. Каковы ваши ключевые принципы и что послужило причиной такого подхода?

У нас есть видение того, как сделать мир более защищенным с точки зрения кибербезопасности, но мы также подчеркиваем, что с экологической точки зрения он не должен быть хуже, чем он был передан нам. Мы считаем, что киберпространство сделало мир меньше. Это снижает выбросы CO2 во время поездок и позволяет людям работать из дома, что также оказывает положительное влияние на выбросы CO2 из-за дорожного движения. 

Поэтому, предоставляя организациям возможность безопасного использования Интернета и сводя к минимуму их риски, мы считаем, что помогаем, пусть даже немного. Чтобы противостоять тому факту, что Интернет зависит от энергии и имеет собственный углеродный след, мы пытаемся компенсировать это, насколько это возможно. Это включает в себя переработку нашего мусора, покупку бывшей в употреблении мебели для нашего офиса и поощрение наших сотрудников делать то же самое на личном уровне. Например, используя экологичные транспортные средства или работая из дома.

Поскольку пандемия стала испытанием для специалистов по кибербезопасности во всем мире, какие выводы вы считаете основными?

Основным испытанием было обеспечить безопасную рабочую среду при работе из дома, а не за корпоративным брандмауэром. Дома люди ведут себя не так, как на работе, и то, что менее рискованно в офисе, может стать рискованным дома, например, обработка данных и хранение документов. Удаленная работа и удаленные собрания работают, и люди хотят иметь такую ​​возможность. Компании были вынуждены вступить в новую эру, когда их технологическая инфраструктура, меры безопасности и политики имеют большее значение, чем когда-либо, чтобы они могли продолжать вести бизнес и предлагать привлекательную рабочую среду для сотрудников, но при этом защищать себя от кибератак.

На ваш взгляд, какие типы атак мы увидим в ближайшем будущем? Кто будет основной целью - отдельные пользователи или крупные организации?

Я думаю, мы увидим больше атак программ-вымогателей. С появлением программ-вымогателей как услуги преступники, которые не были связаны с киберпреступлениями, теперь имеют эти инструменты в своем арсенале. Теперь они могут атаковать людей и организации, о которых им что-то известно, а не развертывать стандартную массовую атаку на адреса электронной почты из-за границы.

Недавно мы стали свидетелями нападения, которое остановило деятельность Toyota. Атака была совершена не на Toyota, а на одного из их поставщиков. Toyota, как крупное предприятие, вероятно, хорошо защищена от кибератак, в то время как их более мелкие поставщики могут рассматриваться как более легкие цели. Киберпреступники найдут способы нарушить важные и дорогостоящие цепочки поставок по всему миру, и ни одно звено в цепочке не будет для них слишком маленьким. Малые и средние предприятия становятся все более уязвимыми, так как уровень их безопасности, как правило, менее надежен.

Как вы думаете, почему некоторые компании часто пренебрегают обучением сотрудников кибербезопасности?

Я думаю, что это особенно касается малого и среднего бизнеса. У них меньше шансов, что у них в штате работает специалист по обучению кибербезопасности, или есть бюджет, выделенный на кибербезопасность. Бюджет если и есть, то в основном на технические решения. Из-за законов о защите данных все больше и больше малых и средних предприятий проводят какие-либо тренинги по кибербезопасности, чтобы поставить галочку. В настоящее время мы наблюдаем сдвиг на рынке от соблюдения или проверки в сторону управления рисками, поскольку человеческий фактор в кибербезопасности больше нельзя игнорировать.

Что компании могут сделать, чтобы защитить себя, в свете растущих инцидентов с программами-вымогателями? Сводится ли это к обновлению мер безопасности или обучению сотрудников?

Всегда будет и то, и другое. Компаниям всегда придется внедрять надежные технологические решения, такие как антивирусное программное обеспечение и брандмауэры. Но поскольку эти решения стали настолько продвинутыми, хакеры все чаще обращают свое внимание на простой взлом людей. Эти решения настолько сильны, насколько сильны люди, которые их используют. 

Если люди не знают о рисках или думают, что независимо от того, что они делают в Интернете, брандмауэр или антивирус компании обнаружат это, они представляют серьезную угрозу для своего рабочего места. Вот почему обучение сотрудников также важно, его нельзя упускать из виду. На самом деле, 85% успешных нарушений кибербезопасности можно отнести к каким-либо человеческим манипуляциям, будь то загрузка с поддельных веб-сайтов или открытие зараженных вложений в фишинговых электронных письмах. Обучение кибербезопасности может дать компаниям до 5 раз более высокую отдачу от своих инвестиций, если учесть стоимость нарушений кибербезопасности, простоев, штрафов и потерянных данных.

Поскольку работа на дому становится новой нормой, о каких наиболее серьезных угрозах безопасности следует знать сотрудникам?

Фишинг был и будет методом номер один для хакеров. Будь то крупномасштабные хакерские сообщества, пытающиеся проникнуть и заразить все рабочее место программами-вымогателями и шпионскими программами, или более мелкие игроки, пытающиеся выманить у отдельных лиц небольшую сумму. Они будут продолжать полагаться на все виды фишинга - через электронную почту или текстовые сообщения, телефонные звонки и приложения для знакомств, и даже путем создания поддельных объявлений и веб-сайтов для фишинга в поисковых системах.

Мы уделяем большое внимание обучению людей противостоять фишингу, тому, как это делается и почему это делается. Мы даже создали целое руководство по фишингу под названием «Школа фишинга AwareGO», которое мы раздаем бесплатно, чтобы помочь, а также это видео-инфографику «Подумай, прежде чем щелкнуть» о фишинге.

Другими конкретными угрозами для работы на дому или гибридной работы являются, например, использование незащищенного домашнего Wi-Fi, отправка рабочих файлов на ваш личный адрес электронной почты или хранилище данных, оставление вашего рабочего компьютера без присмотра или оставление конфиденциальных документов в открытом доступе. Безопасность данных является большой частью риска, связанного с тем, что ваш дом становится вашим рабочим местом. Мы рассмотрели это более подробно в нашем Руководстве по гибридной работе и кибербезопасности, которое мы опубликовали в конце прошлого года.

И, наконец, что ждет AwareGO в будущем?

Мы продолжим следить за тенденциями в области кибербезопасности и реагировать на них, добавляя в наш растущий каталог соответствующие видеоролики по микрообучению. Мы можем очень быстро реагировать на новые угрозы, потому что наша компания очень гибкая. Мы также разработали и выпустили Оценку человеческих рисков, которая на данный момент доступна только нашим партнерам и корпоративным клиентам, но очень скоро станет доступной для малого и среднего бизнеса.

Оценка человеческого риска была создана экспертами по кибербезопасности и поведению человека, чтобы помочь организациям измерять и выявлять свой киберриск в различных областях угроз. Это выходит далеко за рамки любого доступного сегодня моделирования фишинга, а также измеряет, например, то, как сотрудники обрабатывают пароли и конфиденциальные данные. Затем организации могут выбрать соответствующее обучение для исправления уязвимых областей. Наши клиенты смогут использовать этот инструмент, чтобы получить базовый уровень своей оценки кибербезопасности перед проведением любого обучения, а затем увидеть результат обучения.

Все наши продукты находятся в постоянном развитии, а это означает, что мы регулярно добавляем контент, вопросы для оценки и области риска. В будущем мы планируем сделать нашу платформу более основанной на искусственном интеллекте, а это означает, что платформа сможет автоматически оценивать и исправлять знания и поведение сотрудников.