Корпоративная киберкультура: автоматизация VS чИИловек

Какая трансформация ждет рынок Security Awareness в ближайшие годы и насколько эффективно будут справляться существующие SACBT-решения с задачей повышения осведомленности, сформулированной в контексте актуальных трендов кибербезопасности?

Пятый элемент информационной безопасности

Не хочется начинать с банальных фраз, но, как ни крути – человек по-прежнему остается самым уязвимым звеном в системе защиты информационных ресурсов и активов любой компании. А если посмотреть на личную кибербезопасность, то и для своих собственных информационных и финансовых активов мы не всегда являемся надежным оплотом.

Мне всегда нравилось проводить параллель между уровнями защиты информации и фильмом «Пятый элемент» – уж очень похожа ситуация с человеческим фактором в вопросах кибербезопасности на тот самый финальный фрагмент. Как бы ни «активировали» четыре основных «элемента» кибербезопасности: законодательный, административный, процедурный, программно-технический, без пятого элемента – человека – система не «взлетит», не заработает.

Все уже давно поняли, что просвещать и обучать персонал вопросам кибербезопасности – нужно и важно, и даже не потому, что про это написано в федеральных законах, постановлениях, приказах и распоряжениях. Просто мир стал таким, что без базовых знаний о кибербезопасности выживать становится все сложнее, как минимум на уровне цифровой личности.

Давно было подмечено, что традиционные программы повышения осведомленности с основным упором на обучение, призванные предотвращать инциденты информационной безопасности (далее – ИБ), связанные с человеческим фактором, недостаточно эффективны. Они информируют, но не мотивируют сотрудников. К тому же, как показала практика, реализация таких проектов требует от функции ИБ:

• выделения ресурсов для разработки, поддержания, оценки, актуализации и администрирования образовательных программ;
• коллаборации со смежными функциями (как минимум – с HR и маркетингом), а это – силы, время, а зачастую и нервы, тк все эти согласования и погружение в тематику, не типичную для ИБ-шников (разработка курсов, проведение обучения, оформление визуалов в корпоративном стиле) – та еще головная боль.

Антифишинг всему голова!

В 2016 году на российских рынок начали выходить автоматизированные сервисы Security Awareness Computer-Based Training (SAСBT), призванные быстро и эффективно закрывать вопрос повышения осведомленности персонала. Ценность их была в том, что (как казалось) это будет наименее ресурсозатратным.

А как обстоят дела на самом деле? Функционирующие сегодня во многих организациях SACBT-решения обеспечивают лишь краткосрочную выгоду от соблюдения требований законодательства и внутренних политик ИБ. Рынок традиционных решений по повышению осведомленности превратился в рынок коммерциализированных услуг, предлагающих быстро устаревающий обучающий контент, имитацию фишинга и кнопку «Сообщить о фишинге» с незначительными «конкурентными преимуществами» от вендора к вендору.

Разработчики таких решений концентрируют свою экспертизу на том, как именно, с каких источников и какие небезопасные действия сотрудников будет собирать умная система + с какими базами данных и корпоративными системами будет возможна интеграция. Финал всегда один: в НАКАЗАНИЕ за допущенную ошибку сотруднику назначается курс, который он должен изучить и сдать по нему экзамен в виде теста. Допустил ошибку повторно – опять надо изучить курс и пройти тест. Допустил одну и ту же ошибку дважды – изучи курс/пройди тест. И так до бесконечности.

Это точно работает?

Важно выделить ряд важных факторов:

1. То, что нам дается в наказание, автоматически воспринимается негативно.
2. Если мы хотим, чтобы сотрудник изучал материал с удовольствием и интересом, контент должен быть актуальным и вовлекающим. А как часто обновляется контент в SACBT-решениях на самом деле?
3. Во многих компаниях уже есть онлайн-университеты, LMS/LXP системы, внедрен и работает институт внутреннего обучения и развития персонала. Работники на регулярной основе получают задачи по прохождению тех или иных обучающих курсов/программ/треков. Курс, назначенный после очередной провокационной рассылки встает по значимости далеко не на первое место среди десятка других.
4. При существующем сервисе по интеграции SACBT-решения с корпоративной LMS/LXP -системой у заказчика возникает сразу две серьезные задачи: а. выбить бюджет, б. организовать работы по интеграции (а значит выделить ресурс под эту задачу).
5. SACBT-решение, даже если оно используется по модели SaaS, требует выделенного ресурса для администрирования процесса.
6. Есть нюансы при подсчете статистики в зависимости от используемых механизмов детектирования прочтения письма, подсчета повторных переходов по ссылке при пересылке фишингового письма в SOC и тд

Стоит признать, что современный рынок SACBT-решений сосредоточен на базовом обучении, тестировании и предоставлении отчетов, в то время как, инвестируя в программы Security Awareness, бизнес ожидает существенного и устойчивого изменения поведения сотрудников. Формируется новая потребность в реализации принципиально нового подхода к обучению и развитию команд, в котором кибергигиена и киберграмотность – это обязательные профессиональные навыки, неотъемлемая часть корпоративной культуры, без которых невозможно успешно решать бизнес-задачи.

Свежее дыхание Security Awareness

18-19 марта 2024 года в Сиднее на саммите Gartner Security & Risk Management были определены основные тенденции кибербезопасности на 2024 год. Одним из трендов направления «Кибербезопасность» был определен переход от Security Awareness Computer-Based Training в новую парадигму – Security Behavior and Culture Programs (SBCP). 

Программы по обеспечению безопасного поведения и культуры (SBCP) направлены на снижение рисков за счет эффективного управления поведением сотрудников, интеграции принципов поведенческой науки, анализа данных и автоматизации.

5 элементов эффективных Программ по обеспечению безопасного поведения и культуры:

1. Человекоцентричность – в центре процесса находится человек со своими ценностями, потребностями и приоритетами.
2. SACBT-решения как источники анализа человеческих киберрисков путем сбора поведенческих данных из нескольких организационных систем.
3. Лучшие практики LMS/LXP платформ, учитывающих путь пользователя и наполненных вовлекающим, актуальным контентом.
4. Генеративный ИИ в части подготовки гиперперсонализированного контента и учебных материалов, учитывающих уникальные качества сотрудника.
5. Амбассадор кибербеза – отдельно выделенный специалист (сейчас по статистике в 80% случаев для повышения осведомленности выделяется менее одного штатного сотрудника), занимающийся исключительно вопросами формирования корпоративной культуры кибербезопасности в компании, тесно взаимодействующий с функциями HR (внутренние коммуникации, обучение и развитие персонала) и маркетинга, активно транслирующий ценности корпоративной культуры кибербезопасности для сотрудников компании.

По прогнозам Gartner, к 2030 году 80% предприятий будут официально укомплектованы программами управления человеческими рисками. Общепринятые системы контроля кибербезопасности будут в большей степени ориентированы на поддающиеся измерению изменения в поведении, чем на обучение соблюдению требований законодательства в качестве ключевого показателя эффективности управления человеческими рисками.

Что уже сегодня можно сделать, чтобы сотрудники соблюдали правила информационной безопасности не потому, что боятся порицания, а потому что нельзя иначе?

Ничто не заменит человеческое общение: найдите возможность выделить специалиста, который сможет взаимодействовать с сотрудниками по любым вопросам, касающимся информационной безопасности, даже бытовой. Формируйте доверие к функции ИБ, меняйте имидж: «защищающий» лучше, чем «запрещающий»

Интегрируйте просветительские элементы о кибербезопасности в функцию внутренних коммуникаций, встраивайте вопросы ИБ в корпоративные мероприятия и активности, используйте максимальное количество каналов донесения информации.

Организуйте оперативное информирование топ-менеджмента об инцидентах ИБ, актуальных схемах кибермошенничества, новостях о кибербезопасности.

Мир стремительно меняется, и мы меняемся вместе с ним. Пересмотр подходов к привычным процессам, гибкость и адаптивность к современным реалиям – все это особенно ценно в отрасли кибербезопасности, где экспертам надо быть всегда на мгновение быстрее злоумышленников.