Персональное ИБ-образование: что, где, когда

Дмитрий Ковалев

Руководитель ИБ-департамента компании «Сиссофт»

По мере того, как предприятия и организации все больше зависят от технологий, возрастает риск кибератак и утечек данных. Важность обучения персонала основам кибербезопасности в этих условиях переоценить невозможно. Дмитрий Ковалев, руководитель ИБ-департамента компании «Сиссофт», рассказывает об основах этого процесса.

Политики безопасности: важно, но недостаточно

Основа информационной безопасности на предприятии – комплекс политик и правил, которые обязательны для всех сотрудников. Персонал знакомится с ними под подпись, обязуется соблюдать перечисленные требования, но в итоге очень быстро забывает о прочитанных инструкциях. Это пресловутый «человеческий фактор», который способен пробить брешь в даже самой серьезной защите инфраструктуры. Статистика неумолима: 43% хакерских атак на организации используют приемы социальной инженерии. При этом преступники постоянно совершенствуют свой инструментарий и используют актуальные инфоповоды для манипуляций. В результате ущерб от результативных атак может достигать десятков миллионов долларов.

Проблема состоит не только в наличии или отсутствии инструкций для персонала (хотя никто не оспаривает их необходимость и обязательность). Роль «человеческого фактора» возрастает, когда компания ограничивается в работе с персоналом только составлением необходимых документов или проведением инструктажа. В результате создается внешнее благополучие, но не формируется культура информационной безопасности – то, что способно нивелировать человеческие слабости.

Сформировать в организации культуру безопасности можно только обучая персонал: развивая его ИБ-навыки, отрабатывая порядок поведения в нештатных ситуациях. Это поможет «прописать» все табу не только на бумаге, но и в сознании команды.

Чему учим?

Социальной инженерия – базовая, но далеко не единственная угроза, которой подвергаются организации через своих сотрудников. Поэтому программа ИБ-подготовки должна быть гораздо шире. Выделим самые основные.

Тема номер один – основы цифровой гигиены. Сотрудники часто пренебрегают ими в быту и приносят плохие привычки в этой области на работу. Правила безопасного веб-серфинга, поведения с соцсетях, использования публичных сервисов, круг данных, которые никогда и ни при каких обстоятельствах сотрудник не должен обнародовать в Сети – все это персонал должен знать и применять в своей и рабочей, а также в повседневной цифровой жизни.

Тема номер два – безопасная аутентификация. Крайне важно объяснить сотрудникам как организована двухфакторная авторизация, разъяснить порядок использования паролей и оптимальную частоту их обновления, приемы, позволяющие никогда их не забывать и, одновременно, не использовать один и тот же пароль для всех сервисов. –

Тема номер три – порядок работы с корпоративными данными. Сотрудники должны знать, какие именно данные составляют коммерческую тайну, как корпоративная информация может использоваться хакерами, какой ущерб возможен из-за их компрометации. Наконец, какую ответственность несет каждый сотрудник за обеспечение конфиденциальности.

Тема номер четыре – безопасная организация удаленной работы. С началом пандемии она приобрела особую актуальность, персонал должен знать и применять в повседневной практике использование VPN и VDI, знать и соблюдать безопасный порядок работы в командировках, ИБ-правила при удаленном подключении к корпоративной инфраструктуре.

Тема номер пять – методы социальной инженерии. Попытки получить от персонала доступ к конфиденциальной информации через каналы коммуникации, путем обмана или мошенничества, вымогательства, подкупа – должны стать одними из самых главных в программе обучения.

Перечисленные темы лишь «программа-минимум» для ИБ-обучения персонала компании. Она может дополняться в зависимости от особенностей бизнеса, ИТ-архитектуры, актуальности отдельных угроз.

Оргвопросы и этапы обучения

Общий подход к ИБ-обучению сотрудников, который актуален для любой компании подразумевает постоянство и разнообразие.

Вводный инструктаж, который проходит каждый сотрудник – самый первый этап обучения. Он должен включать не только ознакомление с корпоративными политиками и правилами информационной безопасности. Необходимо донести информацию о тех рисках, которым подвержена информационная инфраструктура компании, о составе и характере конфиденциальных данных, об используемых средствах защиты, в том числе – о системах, применяемых для контроля за сотрудниками, такими, как DLP. Конечно же, на этапе инструктажа новый сотрудник должен быть осведомлен и о мерах ответственности, которые применяются к нарушителям установленных правил.

Инструктаж должен регулярно дополняться специальными обучающими сессиями, во время которых сотрудникам необходимо подробно рассказывать о применяемых киберпреступниками инструментах, в том числе – приемах социальной инженерии или новациях, взятых на вооружение хакерами. Хорошо «работают» кейсы из опыта коллег-безопасников или из практики самой компании, которые описывают, как проводились выявленные и отраженные кибератаки, каковы были их возможные последствия. Вплоть до рассказа о том, какие именно финансовые потери понесла (или могла понести) та или иная компания из-за неправильного поведения своих сотрудников. Наглядным примером здесь могут служить кейсы об атаках вирусов-шифровальщиков или действиях мошенников, стремящихся получить доступ к банковским приложениям.

Еще один этап обучения – тренировка. Она органически дополняет «теорию» и позволяет закрепить ИБ-навыки на практике: приемы выявления атак, правила соблюдения норм безопасности и цифровой гигиены, порядок практических действий в случае атаки. Каждая из таких тренировок, конечно, должна впоследствии детально разбираться вместе с ее участниками. Работа над ошибками – неотъемлемая часть этого этапа.

Тренировки можно и нужно дополнять внезапными проверками – имитациями кибератак, во время которых необходимо отслеживать действия сотрудников, выявлять в штате «слабые звенья». Так же, как и тренировки, внезапные проверки должны заканчиваться подробным разбором действий, во время которых сотрудникам можно и нужно демонстрировать возможные последствия подобных нападений.

Каждый из этапов обучения – повод для тщательного анализа его результатов и планирования дальнейших программ. Так компания и ее ИБ-службы смогут обеспечить непрерывность процесса обучения и подобрать наиболее эффективные форматы.

Еще один вопрос касается частоты обучающих сессий. Однозначного ответа на него не существует. Планируя обучение, ответственные менеджеры должны отталкиваться от результатов предыдущих этапов, измерять уровень вовлеченности сотрудников и искать наиболее эффективные формы (включая геймификацию) и методы стимулирования персонала. К примеру, на объектах КИИ учения должны проводиться один раз в год. Но для многих компаний такой срок может оказаться слишком большим. Тем более, что проводить тренинги или внезапные проверки можно не в масштабах всей организации, а в рабочих группах или отдельных департаментах.

Приглашать ли тренеров со стороны?

Все зависит от уникальных особенностей компании. Крупные организации, в составе которых имеются специальные службы информационной безопасности, могут организовывать ИБ-обучение собственными силами. То же касается и средних компаний, в штате которых есть как хотя бы один ИБ-офицер. Именно этот сотрудник является ключевой фигурой, которая и организует само обучение, и разрабатывает необходимые материалы. Впрочем, стоит учитывать, что обязательными для ИБ-специалиста являются его профильные, а не педагогические навыки. Поэтому в целом ряде случаев будет оправдано приглашение аутсорсинговых компаний, которые специализируются на обучении персонала, в том числе, в области информационной безопасности.

Для небольших компаний приглашение сторонних тренеров часто становится наиболее оправданным способом организации обучения. С одной стороны, обучать и контролировать коллектив численностью в пару десятков человек несложно. Но, как правило, проблемами информационной безопасности занимается не выделенный специалист, а сотрудник, исполняющий множество других обязанностей. В этих условиях приглашенные ИБ-тренеры помогут грамотно составить необходимые документы и программу обучения, провести его, а затем оценить результаты.

Чек-лист для организации ИБ-обучения персонала

1. Оцените текущий уровень ИБ-грамотности персонала, проанализируйте полученные данные и выявите самые слабые места.
2. На основе этих данных оцените и перечислите потребности компании в ИБ-обучении.
3. Определите ответственных за ИБ-обучение в составе компании и примите решение о форме обучения, собственными силами или при помощи сторонних специалистов.
4. Составьте и утвердите программу обучения, периодичность, продолжительность и содержание обучающих сессий.
5. Создайте внутренний информационный ресурс, посвященный информационной безопасности, и организуйте его периодическое обновление и пополнение контентом. Отражайте на нем все события компании, связанные с ИБ-проблематикой.
6. Анализируйте результаты обучающих сессий и доводите данные анализа до персонала.
7. Разработайте и применяйте на практике систему взысканий и поощрений сотрудников за соблюдение/нарушение норм ИБ.

Самый главный пункт: обеспечение системного подхода к задаче, крайне серьезное отношение к направлению в целом, и обязательно – действия в превентивном ключе.

ИБ-задачи в случае недостаточно тщательного отношения к себе рискуют аукнуться проблемами, которые, как минимум, серьезно отвлекут компанию от ее основной задачи, а как максимум – заставят прекратить свое существование. Поэтому формирование эффективной «первой линии обороны» в лице обученных сотрудников нужно рассматривать как первый шаг к выстраиванию эшелонированного ИБ-периметра на долгосрочную перспективу.