Александр Осипов: « Персонал должен уметь распознавать цифровых мошенников»
Почему сотрудники все чаще становятся причиной утечки данных, какие методы социальной инженерии применяют хакеры и почему важно инвестировать не только в средства защиты, но и в обучение информационной безопасности
Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.
У сотрудников недостаточно знаний о цифровой безопасности
Утечки данных — одна из самых актуальных проблем в области кибербезопасности. Цифровизация ускоряется, данных становится больше, как и обрабатывающих их корпораций: в онлайн уходят практически все. Постепенно ужесточаются и законодательные требования, а регуляторы уделяют больше внимания тому, чтобы компании им соответствовали. Правда, пока в России штрафы не настолько суровы, как, например, в ЕС, где действуют требования GDPR (общий регламент по защите персональных данных, принятый в ЕС в 2018 году. — РБК).
В основном злоумышленники стараются получить доступ во внутреннюю сеть атакуемой компании и ищут две категории данных. Первая — это личные данные ее клиентов, включая информацию о средствах для совершения платежей, которые потом продаются на черном рынке. Вторая — логины и пароли корпоративных учетных записей для еще более глубокого проникновения в системы внутреннего контура. Тут причин еще больше: от желания зашифровать данные, чтобы затем потребовать выкуп, до самого настоящего промышленного шпионажа.
Очень важно понимать, что в 70% случаев причиной утечки становятся сотрудники самих компаний. Но дело не в злом умысле, а в изощренных методах злоумышленников. В ход идут все средства социальной инженерии.
Методы мошенников становятся все изощреннее
Самая популярная уловка — фишинг. Сотрудникам компании рассылаются письма, имитирующие настоящие почтовые рассылки популярных сервисов или даже внутренние корпоративные сообщения. Люди кликают по ссылкам, переходят на подставные сайты со скопированным интерфейсом «отправителей», вводят данные, и они тут же уходят к мошенникам. С этим можно бороться, только повышая грамотность персонала — для этого у «МегаФона» есть обучающая платформа Security Awareness с модулем имитации фишинговых атак, которая предоставляется по подписке.
Но нужно учить людей распознавать и более изощренные атаки. Мошенники могут связаться со службой поддержки: они узнают, как работают отделы, и получают контакты нужных людей для того, чтобы будто бы решить срочный вопрос. А затем совершается целевая атака методом того же фишинга, чтобы завладеть логином и паролем сотрудника с привилегированным доступом во внутренние системы — бухгалтера или кого-то из ИТ-службы. Встречаются и совсем хитроумные подходы: злоумышленник может выйти на сотрудника компании через сервис знакомств. Затем он как бы невзначай просит провести его в офис и незаметно оставляет на рабочих столах зараженные флешки. Кто-то непременно решит посмотреть, что же там такое, и в этот момент хакер получит доступ к одному из рабочих ПК, подключенных к внутренней сети предприятия.
Не забывать про современные технические средства защиты
Помимо обучения сотрудников важно использовать и современные средства защиты. Например, DLP — программно-аппаратный комплекс для противодействия утечкам, который «МегаФон» тоже может подключить любому заказчику по модели подписки. Идея в том, что система контролирует все ключевые каналы, по которым люди обычно передают информацию: мессенджеры (включая корпоративные), социальные сети, электронную почту, облачные хранилища, браузеры, а также внешние носители, офисную VoIP-телефонию (голосовая и видеосвязь через интернет. — РБК) и даже процесс печати документов. Как только происходит подозрительное событие, администратор получает уведомление и, главное, может детально разобраться в каждом инциденте — сохраняется вся цепочка передачи файла.
Не стоит забывать и о VDI (инфраструктура виртуальных рабочих столов. — РБК). Мы до сих пор видим большой спрос на это решение в рамках нашей сервисной модели. Его суть в том, что все вычислительные ресурсы сервера компании делятся на несколько (обычно сотни или тысячи) «рабочих мест», каждое из которых присваивается определенному сотруднику. Подключиться к нему он может с любого компьютера, даже если он полон вирусов и работает под управлением пиратской версии операционной системы. Свой рабочий стол он будет видеть в отдельном окне в режиме трансляции — именно поэтому он называется «виртуальным». Перетаскивать файлы оттуда на личный ПК и наоборот нельзя, а все операции в окне во время работы по факту выполняются на максимально защищенном сервере в центре обработки данных. Главный плюс VDI — высокий уровень безопасности, главный минус — внедрять решение долго и дорого, но модель подписки позволяет сгладить этот нюанс. Например, мы предоставляем VDI как сервис пользователям платформы «МегаФон Облако», для клиента это удобно, и мы видим востребованность такого решения.
Что делать с сотрудником, по вине которого случилась утечка? Если это злой умысел, то вопрос регламентируется законом. Если это ошибка, то все зависит от должности и функционала сотрудника, соответствия его действий внутренним регламентам и инструкциям и величины ущерба. Не соблюдающий цифровую гигиену системный администратор — это проблема несоответствия требуемой квалификации, а «попавшийся» на фишинг бухгалтер скорее проблема недостатка знаний. И как раз знания — один из ключей к минимизации количества утечек: важно не думать о том, как поступить с провинившимися, а сделать так, чтобы персонал был достаточно грамотным и легко распознавал трюки мошенников. А второй ключ — продуманный подход к информационной безопасности, соответствующий всем современным требованиям и тенденциям.
Информационная безопасность и антифишинг по подписке
Как это работает?
Основная причина утечек данных — собственные сотрудники компаний. Но дело не в злом умысле, а в недостатке знаний о безопасности. Разбираемся, как проблему решают за рубежом и в России и изучаем подходы к модели подписки.
Семь утечек из десяти случаются по вине сотрудников
Летом 2021 года компания Egress опубликовала большое исследование об утечках данных. В выборку попали более 500 руководителей ИТ-отделов и 3 тыс. сотрудников британских и американских компаний из самых разных секторов. Оказалось, что за последний год с утечками столкнулись 94% организаций. 84% руководителей назвали основной их причиной человеческий фактор, то есть ошибки сотрудников самой компании. Чаще всего к утечкам приводят два типа ситуаций — нарушения сотрудниками правил информационной безопасности (74%) и фишинг (73%). Массовый переход сотрудников на дистанционную работу только усугубляет негативную тенденцию. По мнению 56% руководителей, из-за удаленки бороться с утечками стало сложнее.
Проанализировав в начале 2021 года данные по утечкам в 130 странах, эксперты IBM и вовсе пришли к выводу, что человеческая ошибка стала их причиной в 95% случаев. Однако трактовка этого понятия может быть широкой: от открытия фишингового письма до неверно принятого решения на уровне управления проектом или направлением. Если под человеческим фактором понимать именно недостаток знаний в области ИБ у сотрудников, для которых это не является обязательной компетенцией, то можно ориентироваться на 70% — именно такую оценку в беседе с РБК привел представитель «МегаФона», и она соответствует реалиям российского рынка.
Будущее ИБ за обучающими платформами
Ответом на новый вызов стали обучающие платформы, главная цель которых — повысить осведомленность сотрудников компаний в области информационной безопасности. Этот рынок называется Security Awareness Training, и, по данным Gartner, он растет не менее чем на 13% в год. За рубежом на этом направлении уже очень много серьезных игроков. В качестве лидера различные исследования нередко отмечают американскую компанию KnowBe4, которая весной 2021 года вышла на биржу NASDAQ. Бизнес строится вокруг продажи курсов информационной безопасности по подписке (кстати, они названы в честь легендарного хакера Кевина Митника, и он один из сотрудников компании), модуля имитации фишинговых атак и программы для анализа рисков. Насколько хорошо это работает? Если опираться на статистику самих разработчиков, то подход крайне действенный. Изначальный средний риск «попасться» на фишинг снижается с 31,4 до 16,4% через три месяца после начала корпоративного обучения. А через год он уже составляет всего 4,8%.
Ближайшие конкуренты KnowBe4 — CybSafe, Inspired eLearning, Infosec, Elevate Security и множество других — работают по схожим моделям. Это всегда обучение в связке с продуктами для анализа устойчивости к угрозам, модулями имитации определенных атак и иногда решения для непосредственного обеспечения безопасности. В России рынок сервисов для повышения осведомленности в области ИБ только формируется. Действительно крупных игроков можно пересчитать по пальцам рук, но их количество растет, в том числе за счет вовлечения серьезных брендов с глубокой экспертизой в области ИТ-решений.
Например, летом 2021 года собственную платформу запустил «МегаФон». На ней собрано более 60 курсов по ИБ в самых различных областях. От специфических для отдельных категорий специалистов («Безопасность центров обработки данных») до массовых, которые было бы крайне полезно пройти всем сотрудникам любой компании: «Как не попасться на уловки мошенников», «Как печатать конфиденциальные документы» или, например, «Как работать с персональными данными». Из курсов можно составить обучающие модули и назначить конкретным сотрудникам или целым отделам. Если какого-то курса не хватает, то его можно составить самостоятельно из текстов, изображений и аудиофайлов или заказать у разработчиков сервиса за дополнительную плату. Платформа ведет подробную статистику на всех уровнях и примерно оценивает гипотетический риск в случае столкновения с угрозами ИБ на основе того, насколько успешно люди завершили обучение.
Подписка на обучение и имитация фишинговых атак
Почему заказчики выбирают модель подписки на обучение информационной безопасности, а не делают курсы самостоятельно? Есть как минимум две веские причины, которые связаны друг с другом. Прежде всего для этого требуются средства и время сотрудников, в том числе таких важных, редких и востребованных, как специалисты по ИБ. Их не только нужно отвлекать от главной задачи, но и усиливать методологами, которые смогут понятно и интересно сформировать курсы из собранной информации. Плюс нужно добавить сюда стоимость производства, разработки и обслуживания платформы. Затем нужно сопоставить временные и денежные затраты со стоимостью аналогичного сервиса по подписке.
Уже упомянутая выше KnowBe4 предлагает четыре тарифа со стоимостью от $9 до $30 за сотрудника в год. Цена зависит от количества человек, которых вы планируете обучать, и выбранных опций. В России о корпоративном обучении ИБ по подписке можно задумываться со штатом в 50 специалистов и годовым бюджетом от 100 тыс. руб. На платформе «МегаФон Security Awareness» предусмотрены значительные скидки на человека по мере роста количества аккаунтов. Если их больше 1 тыс., то ежемесячные затраты на каждый составят буквально несколько десятков рублей, что, кстати, в 2–3 раза доступнее, чем в США. Для компаний, которые не специализируются на информационной безопасности сами, модель подписки почти наверняка окажется более выгодной, чем собственное внутреннее обучение.
Примечательно, что очень многие поставщики решений для повышения осведомленности в области ИБ предлагают собственные средства для имитации фишинговых атак. Это явный ответ на один из главных трендов пандемии: по статистике ФБР, фишинг стал наиболее распространенным киберпреступлением 2020 года. Причем с 2018-го количество фишинговых атак различного типа увеличилось более чем в девять раз.
Все антифишинговые модули работают по схожему принципу. Сначала администратор платформы создает рассылку по готовым шаблонам, которые имитируют письма, скажем, от Facebook (соцсеть признана в РФ экстремистской и запрещена), Google и других популярных платформ или государства — ФНС, «Госуслуг» и т.д. Все это автоматически привязывается к сайту с интерфейсом точь-в-точь как у настоящей платформы. Затем выбранные сотрудники получают эти письма, а администратор следит за прогрессом: сколько из них открыли письма, сколько перешли по ссылкам и сколько ввели данные в форму.
Возможны некоторые дополнения. Например, «МегаФон» по запросу клиента может создать эксклюзивный шаблон. Главный «хит» — письмо, имитирующее сообщение от генерального директора. Однако сотрудники компании подчеркивают, что главная идея имитации фишинговой атаки не в том, чтобы сделать ее максимально изощренной, а в том, чтобы максимально приблизить к реальному сценарию. И это работает. По статистике «МегаФона», клиентам, которые сначала заказали тестовую фишинговую атаку, а затем провели обучение на их платформе, в среднем удалось снизить риск инцидента на 70%.
На российском рынке средняя длина цикла сделки по приобретению платформы для обучения ИБ — два-три месяца. Наибольшим спросом такие решения пользуются в финансовом секторе, что объясняется спецификой работы: требованиями регуляторов и высоким уровнем ответственности за средства клиентов. Вторая большая группа потенциальных заказчиков — ИТ-компании, которые ведут бизнес в интернете и разрабатывают какое-либо ПО, а следовательно, работают с персональными данными. Сюда относится все, что связано с растущим рынком электронной коммерции. Крайне важны обучающие решения и для промышленного сектора, поскольку тут нужен особый подход к защите объектов критически важной инфраструктуры.
Подготовил Алексей Ведерников
Фото: пресс-служба