Курсы по информационно безопасности нужны не только сотрудникам ИБ-отдела и даже не только определенным сотрудникам компании, а абсолютно всем. Обучение информационной безопасности в современном мире, где практически все сферы жизни оцифровались, должно быть на ровне с пожарной безопасностью и другими фундаментальными правилами, которые сотрудникам предписано соблюдать на рабочем месте.

Даже самый обычный рядовой сотрудник сегодня имеет доступ к корпоративной почте или другим способам связи внутри предприятия, также он может пользоваться внутренними информационными системами и архивами. Если он не знает основных правил кибергигиены или вовремя не обновляет их, то может стать трамплином для злоумышленников прямиком к чувствительным данным компании.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-компании «Газинформсервис»

На самом деле это обучение нужно проводить для всех сотрудников компании, без исключений. Потому что социальная инженерия тем и опасна, что успешно применяется против людей, которые на первый взгляд могут и не иметь непосредственного доступа к какой-то критичной информации. Конечно, есть привилегированные цели, к ним особый интерес у злоумышленников, но это не значит, что обучать нужно только их.

В этой статье мы расскажем о важности кибергигиены на предприятии, о том, почему эти знания необходимо обновлять, о плюсах и минусах внутренних и сторонних курсах кибербезопаности, а также о том, что должно входить в курс по кибергигиене.

Кому нужнее

Кибергигиена – это то, о чем должны иметь представление все сотрудники компании, которые в той или иной степени соприкасаются с ИТ-инфрастуктурой организации, а сегодня это практически все сотрудники. Но в любом вопросе есть приоритеты, в вопросе обучения кибергигиене, первыми, помимо сотрудников ИБ-отдела, знания должны получать сотрудники, которые имеют доступ к критической инфраструктуре компании и чувствительным данным.

Татьяна Шумайлова

Эксперт направления повышения цифровой грамотности Kaspersky Security Awareness

В первую очередь это те сотрудники, ошибки которых могут стоить особенно дорого, имеют высокий профиль риска: руководители (decision makers и линейные руководители), финансисты, представители отделов продаж (имеют доступ к базам данных и клиентов), все те, у кого есть доступ к коммерческой информации и прочей чувствительной информации.

Также одними из первых такое обучение должны проходить сотрудники, которые имеют доступ к конфиденциальной информации о клиентах, финансовых данных, интеллектуальной собственности, а также для тех, кто работает с ИТ-инфраструктурой компании. Это включает сотрудников юридических служб, HR, маркетинга, ИТ-специалистов, администраторов баз данных и сетей.

Артём Избаенков

Директор по развитию направления кибербезопасности EdgeЦентр

Частота обучения может различаться в зависимости от изменений в технологическом ландшафте и обновлениях в угрозах безопасности. Однако рекомендую проводить переобучение хотя бы раз в год, чтобы сотрудники были в курсе последних трендов в кибербезопасности и знали, как защищать свои данные и системы. При внедрении новых технологий, изменениях в инфраструктуре или правилах безопасности также следует проводить обновление знаний. Кроме того, регулярные сессии о кибербезопасности могут помочь повысить осознание угроз и укрепить культуру безопасности в организации.

Все сотрудники компании, прямо или косвенно имеющие доступ к ИТ-системам компании, к информации о сотрудниках или клиентах, а также к любым чувствительным данным, должны соблюдать кибергигиену, а значит по мере необходимости проходить курсы повышения квалификации информационной безопасности.

Что должно быть в курсах по кибергигиене

На рынке много ИБ-курсов для сотрудников, не относящихся к ИБ-отделу. Все они направлены на соблюдение членами команды определенных правил и на проверку их осведомленности в вопросе безопасного поведения при работе с информационными технологиями. Курсы он разных подрядчиков могут варьироваться и немного отличаться. Но все же есть основной пласт, который должен быть в обучении однозначно.

По мнению экспертов, в обучение по кибергигиене необходимо включить следующие ключевые компоненты, без которых оно не обойдется:

1. Осведомленность об угрозах. Обучение должно предоставить сотрудникам понимание различных видов киберугроз, таких, как фишинг, вредоносное ПО, социальная инженерия и другие техники, которыми злоумышленники могут воспользоваться для доступа к данным и системам.
2. Сильные пароли и авторизация. Необходимо обучить сотрудников созданию и использованию сильных паролей, а также принципам двухфакторной аутентификации для усиления безопасности учетных записей.
3. Правила безопасности данных. Сотрудникам следует объяснить, как обращаться с конфиденциальной информацией и чувствительными данными, чтобы предотвратить утечки или несанкционированный доступ.
4. Обнаружение и реагирование на инциденты. Сотрудники должны научиться распознавать признаки компьютерных инцидентов и знать, как сообщать о подозрительной активности для своевременного реагирования и предотвращения угроз.
5. Безопасное обращение с электронной почтой. Сотрудникам следует объяснить, как определять подозрительные письма, не открывать вложения или ссылки из ненадежных источников и не предоставлять личную информацию через электронную почту.
6. Обновления и патчи. Обучение должно подчеркивать важность регулярного обновления программного обеспечения и применения патчей, чтобы предотвратить известные уязвимости.
7. Безопасность мобильных устройств. Сотрудники должны понимать риски, связанные с использованием мобильных устройств и обучаться мерам безопасности при доступе к корпоративным ресурсам с помощью смартфонов и планшетов.
8. Политики безопасности. Обучение должно ознакомить сотрудников с политиками и процедурами безопасности, которые следует соблюдать в организации, чтобы обеспечить единый подход к защите данных и систем.
9. Управление устройствами и доступом. Сотрудники должны знать, как управлять устройствами и доступом к корпоративным ресурсам, чтобы предотвратить несанкционированный доступ.

Кроме перечисленных компонентов, очень важно, чтобы обучение включало практические упражнения и симуляции. Проведение практических упражнений и симуляций кибератак поможет сотрудникам на практике применить полученные знания и навыки.

Павел Мельников

Генеральный директор компании Pointlane

Мы всегда советуем руководству компании выстраивать соответствующую атмосферу в коллективе и применять санкции по отношению к сотрудникам только по факту произошедшего инцидента. В противном случае, сотрудники будут бояться докладывать отделу ИБ или профильному специалисту о возможных ошибках со своей стороны (например, переход по фишинговой ссылке).

Главное, чтобы обучение покрывало те области кибербезопасности, с которыми сотрудники сталкиваются в реальной жизни или могут столкнуться в ближайшем будущем. И это должна быть не просто презентация или памятка, а живой, интерактивный материал, который наглядно показывает последствия и примеры из реальной жизни, чтобы сотрудникам было легче соотносить всё сказанное применительно к себе. Кроме того, обучение должно включать задания и итоговое тестирование.

Что лучше – сделать свой курс или купить?

Курсы по информационной безопасности могут быть проведены компанией самостоятельно или с помощью сторонней компании, чаще всего узкоспециализированной. Но зачастую компании начинают с того, что проводят такое обучение самостоятельно. Обычно силами своего ИБ-отдела, если он есть.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-компании «Газинформсервис»

Это естественный подход, потому что специалисты по информационной безопасности лучше знают специфику именно их организации. Сторонних подрядчиков обычно подключают, когда обучение не дают результатов, либо не удается воспроизвести какие-то более сложные сценарии атак с помощью социальной инженерии.

Татьяна Шумайлова

Эксперт направления повышения цифровой грамотности Kaspersky Security Awareness

Довольно много компаний, как крупных, так и SMB, которые полностью полагаются на экспертизу стороннего вендора и берут программу as is, потому что так проще, удобнее, не требует значительных человеческих ресурсов. Но, конечно, есть и такие, которые считают, что вполне достаточно, что сотрудники распишутся в ведомости, что с правилами ознакомлены.

Решение вопроса зависит от возможностей и размера компании. Есть крупные компании с очень развитым ИТ-отделом, которые могут использовать пару лет стороннее решение, а затем, определив для себя плюсы и минусы, готовы тратить значительное время и ресурсы на то, чтобы создать собственную программу. Есть крупные компании, с развитым отделом, SOC, которым удобнее найти стороннего подрядчика, выбрать программу, соответствующую их требованиям, и при необходимости «допиливать» ее под себя. 

Плюсы обращения к сторонним подрядчикам:

1. Экспертиза. Специализированные компании обучения в области кибербезопасности обладают опытом и знаниями для предоставления наиболее актуальной и профессиональной информации.
2. Подход к обучению. Подрядчики могут предложить индивидуальные программы обучения, адаптированные под специфические потребности компании.
3. Новые технологии. Подрядчики часто имеют доступ к новейшим технологиям и симуляциям кибератак, что повышает эффективность обучения.
4. Автоматизация. Сервисы подрядчиков могут достаточно быстро интегрироваться и провести автоматизированное обучение огромного количеств сотрудников.

Минусы обращения к сторонним подрядчикам:

1. Затраты. Обучение с помощью сторонних подрядчиков может быть дороже, особенно для больших компаний.
2. Контроль. Компания не всегда имеет полный контроль над содержанием обучения и может не учитывать специфические особенности своей инфраструктуры.

Плюсы организация обучения самостоятельно:

1. Подгонка под потребности. Компания может разработать обучающую программу, учитывающую специфические потребности своей инфраструктуры и сотрудников.
2. Контроль. Компания имеет полный контроль над процессом обучения и может внести изменения при необходимости.
3. Экономия. Обучение внутри компании может быть более экономичным в долгосрочной перспективе.

Минусы организация обучения самостоятельно:

1. Отсутствие экспертизы. Если компания не обладает опытом в области кибербезопасности, качество обучения может быть ниже, чем при обращении к специализированным подрядчикам.
2. Ограниченные ресурсы. Компания может столкнуться с ограничениями в ресурсах и возможностях создания качественной программы обучения.
3. Время. На разработку программы обучения уйдет достаточно большое количество времени и ресурсов.

Артём Избаенков

Директор по развитию направления кибербезопасности EdgeЦентр

Лучший подход зависит от конкретных потребностей и возможностей компании. Некоторые компании могут выбрать гибридный подход, комбинируя темы обучения самостоятельно и привлекая сторонних экспертов для различных аспектов кибербезопасности. Важно подходить к вопросу обучения сотрудников кибербезопасности с учетом специфики бизнеса и стремления к непрерывному улучшению безопасности организации.

В вопросе найма сторонней организации для обучения сотрудников кибергигиене часто встречается проблема согласования бюджета. Руководитель ИБ отдела не всегда может доказать важность и пользу покупки таких курсов. Но часто вопрос решается сам собой при первом серьезном киберинциденте, особенно, если он случился по неосторожности обычного сотрудника.

Как часто нужно проходить курсы по кибергигиене

Эксперты рекомендуют проводить курсы повышения осведомленности минимум раз в год, чтобы обновить знания и навыки сотрудников. При внедрении новых технологий или при появлении новых угроз безопасности нужно проводить отдельное обучение. Это делается для обеспечения актуальности знаний и, чтобы избежать снижения эффективности защиты компании.

Павел Мельников

Генеральный директор компании Pointlane

Частота проведения программы повышения осведомленности (ППО) зависит от популярности атак по методу социальной инженерии, количества внутренних инцидентов, произошедших по вине сотрудника, а также от внутренней статистики отдела ИБ по наиболее актуальным угрозам.

Татьяна Шумайлова

Эксперт направления повышения цифровой грамотности Kaspersky Security Awareness

Желательно, чтобы это было постоянным процессом. Конечно, речь не идет о том, чтобы заставлять сотрудников проходить курсы каждую неделю. Но сделать обучение дробным, разбить его на небольшие порции, менять разные типы активностей – возможно. То короткий интерактивный урок, то небольшой тест, можно в игровой форме, чтобы было интереснее, то симулированная фишинговая атака. Можно периодически размещать по офису постеры с напоминанием основных правил или разложить в переговорных комнатах брошюры с основными моментами, оформленными в виде комикса. Главное, чтобы запоминалось, не было скучным, а также чтобы всё полученные в ходе тренинга навыки стали автоматическими.

Сотрудникам, которые уже проходили полноценный курс, нет необходимости проходить этот же курс заново каждый год. Можно проводить тестирование, чтобы определить, не потерял ли сотрудник знания, а также провести новое обучение по обновлениям и появившимся способам атак. Тем сотрудникам, у кого отдельные темы подзабылись, вызвали затруднение, можно назначить повторное обучение в сокращенном варианте. Также знания обязательно необходимо обновлять после киберинцидента и разбирать конкретный случай.

Итог

Кибербезопасность сегодня стала важной частью человеческой безопасности. Если раньше чаще деньги могли украсть в метро или на улице, то сегодня это все чаще делают в интернете. Если раньше у злоумышленников были только физические возможности навредить какому-то предприятию, то сегодня любая компания может быть атакована онлайн.

По статистике самая частая причина кибератаки – это человеческий фактор. Именно поэтому обучение сотрудников кибергигиене – основа всех основ в информационной безопасности компании. Какие бы продвинутые антивирусы не были установлены, каким бы профессиональным не был ИБ-отдел, одна маленькая ошибка рядового менеджера и база данных компании в руках у злоумышленников или в сеть компании попадает вредоносная программа.

Регулярные сессии о кибербезопасности не только предотвращают такие инциденты, но и могут помочь повысить осознание угроз и укрепить культуру безопасности в организации.