Человеческий фактор: шесть шагов, чтобы защитить компанию от взлома

Автор: Виталий Арбузов, генеральный директор бизнес digital-агентства INPRO.digital

Руководители часто считают, что для обеспечения безопасности серверов и данных нужно нанимать ответственных людей, а рядовым сотрудникам достаточно прочитать многостраничную инструкцию с множеством непонятных им терминов и подписаться в журнале. Как правило, в лучшем случае этот журнал читают по диагонали, а чаще всего – подписывают вслепую.

В этой статье я расскажу, какие шаги может предпринять гендиректор компании, чтобы обезопасить ее от киберугроз.

Шаг 1. Разделить ответственность

Безопасность данных в компании должна контролироваться на двух уровнях – руководства и среднего менеджмента.

На собственнике компании лежит ответственность за общее обеспечение защиты информации и серверов. Основатель бизнеса прописывает свод правил или регламент, которому каждый сотрудник обязан следовать. Там могут быть как простейшие инструкции – например, выходить из своих аккаунтов в социальных сетях – так и более комплексные: следование законам о безопасности (ФЗ 152 “О персональных данных”).

На плечи среднего менеджмента ложится обязанность информировать сотрудников. Они должны рассказывать работникам о правилах, проводить обучение и следить за выполнением регламентов.

Частотность проведения обучений зависит от отрасли, в которой работает компания. В среднем это одно обучение в квартал. Следить за выполнением регламентов безопасности на ежедневной основе даже в небольших компаниях довольно проблематично. Поэтому не стоит зацикливаться на правилах информационной безопасности, необходимо влиять на культуру потребления в информационной среде в целом при помощи тренингов, образовательных мастер-классов, интересных квизов по безопасности в интернете.

Шаг 2. Составить регламент

Нарушения можно минимизировать, если сотрудники будут соблюдать базовые нормы безопасности.

Регламент по информационной безопасности может выглядеть следующим образом:

1) Используйте сложные пароли от учетных записей и меняйте их раз в 2-3 месяца. Не используйте слишком простые пароли, например, qwerty123, кличка собаки, имя и дата рождения.

2) Закрывайте сессии удаленного рабочего стола (RDP), когда завершаете работу. 3) Держите статус антивируса включенным всегда.

4) Регулярно осуществляйте резервное копирование всех важных данных, хранящихся на ПК.

5) Проверяйте безопасность соединений. Адрес сайта начинающийся с HTTPS – безопасный. Если же адрес начинается с HTTP – это значит, что соединение не защищено.

6) Разделяйте личную электронную почту и рабочую. Не используйте рабочую почту для личных целей и наоборот.

7) Не открывайте письма на электронной почте, присланные с неизвестного вам или подозрительного адреса.

Шаг 3. Внедрить чек-листы

Составлять инструкции необходимо простым человеческим языком. Лучше, чтобы это был не просто текстовый документ, а чек-лист - перечень пунктов по информационной безопасности. Его можно разместить на видном месте в офисе и попросить сотрудников ставить галочки напротив пунктов по мере их выполнения.

Содержание чек-листов во многом зависят от того, какой софт используется в компании, как много сотрудники работают в интернете и др. Есть ряд универсальных правил для всех организаций:

• Смена пароля ежемесячно;
• Отключение удаленного рабочего стола RDP;
• Установка антивирусных программ;
• Использование сложных логинов и паролей;
• Проверка безопасности соединений в адресной строке сайтов.

Шаг 4. Донести важность

Объясните сотрудникам, почему кибербезопасность - это так важно. Например, можно им рассказать, чем они рискуют лично. Их данные могут оказаться в чужих руках. Мошенник может потребовать выкупить данные, шантажировать ими, в противном случае он распространит их в сети.

Реальная угроза – лучший мотиватор. Если какая-то киберугроза уже случалась с компанией, надо смело рассказывать про нее. Так сотрудники поймут, что это реальная ситуация, с которой они тоже могут столкнуться и, соответственно, пострадать.

В одной из крупнейших в России энергетических компаний сотрудницу уволили за то, что она переслала к себе на личную почту переписку со своим руководителем, в которой были условия договоров с контрагентами, величина задолженности и лимиты по договорам. Пользовательское соглашение почтового сервиса Gmail (именно там была зарегистрирована личная почта) предполагает, что компания Google имеет доступ к содержанию писем, и суд посчитал, что такая информация стала известной стороннему лицу. Та же участь постигла сотрудницу одного из долговых агентств, которая скопировала конфиденциальную информацию на флешку якобы для рабочего использования дома, но тоже была уволена.

Три истории, которые можно рассказать сотрудникам

В сентябре 2020 года одна из больниц в Германии не смогла оказать помощь пациентке из-за того, что компьютеры учреждения были заражены вирусом. Женщина скончалась по дороге в больницу в другом городе. За день до этого клиника совершили хакерскую атаку - доступ к 30 серверам был зашифрован. Работа медицинского учреждения оказалась парализована почти на две недели.

В Великобритании 58-летняя женщина решила отомстить печатному дому, в котором ранее работала директором. Женщина зашла в учетную запись компании на сервисе Dropbox и безвозвратно удалила около 5 тыс. файлов с корпоративной информацией. Издательский дом не смог восстановить утраченные данные, понес ущерб в размере 100 тыс. фунтов стерлингов и был вынужден закрыться.

В мае прошлого года американский трубопровод Colonial Pipeline атаковал вирус-шифровальщик, который парализовал работу системы. Трубопровод не работал пять дней, в США начались перебои с поставками бензина. Компании пришлось заплатить хакерами 4,4 млн. долларов, чтобы вернуться к работе.

Шаг 5. Обучать и наказывать

Нужно объяснять, насколько важны пароли, рассказать о надежных программах для их генерации и хранения.

Как правило, небольшие компании самостоятельно обучают сотрудников информационной гигиене в интернете с помощью авторитета и опыта руководителя или приглашают стороннего эксперта - коуча, который в диалоге с работниками объясняет важность цифровой безопасности. Также он борется со страхами и барьерами сотрудника, которые мешают ему следовать инструкциями. Например, одно из самых распространенных возражений - это недостаток времени на соблюдение правил и неочевидная польза от них.

Также есть отдельные компании, которые обучают персонал основам кибербезопасности и проверяют усвоенные знания. Они сформировывают навык обнаружения фишинговых атак, поддерживают осведомленность сотрудников на необходимом уровне.

Не стоит переусердствовать с тренингами и проверочными тестами, определяющими уровень знаний сотрудников в информационной среде. Стоит обратиться к опыту известных компаний. Например, раз в год в течение месяца Facebook тестирует своих сотрудников, моделируя фишинговые атаки, массовую рассылку спама и другие киберугрозы. Тех, кто успешно отражает атаки, награждают памятными сувенирами и другими призами.

Стоит обратить внимание не только на штрафные санкции, но и на программы позитивной мотивации сотрудников. Исследование, проведенное в 2014 г. сотрудниками лаборатории кибербезопасности при Университете Мэриленда, показало, что студенты университетов легко учатся криптографической защите, методам идентификации и регулярному обновлению софта, играя в компьютерную игру Security Empire. Участники этой игры становятся владельцами компаний, которые испытывают финансовые проблемы и сталкиваются со сбоями в производстве, когда допускают ошибки в сфере кибербезопасности. В этой игре студенты соревнуются, пытаясь создать самую успешную компанию. Почему бы не сделать то же самое для сотрудников компаний?

Шаг 6. Обрести экспертизу

Нанимать в компанию отдельного специалиста для информационной безопасности не имеет смысла. С точки зрения временных и финансовых затрат будет рациональнее подключить сервис или приобрести разовые консультации. Приглашать специалиста на аутсорс выгоднее, чем держать отдельного сотрудника инхаус.