Почему важно инвестировать в обучение сотрудников информационной безопасности

РБКHi-Tech

Александр Осипов: « Персонал должен уметь распознавать цифровых мошенников»

Почему сотрудники все чаще становятся причиной утечки данных, какие методы социальной инженерии применяют хакеры и почему важно инвестировать не только в средства защиты, но и в обучение информационной безопасности

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.

У сотрудников недостаточно знаний о цифровой безопасности

Утечки данных — одна из самых актуальных проблем в области кибербезопасности. Цифровизация ускоряется, данных становится больше, как и обрабатывающих их корпораций: в онлайн уходят практически все. Постепенно ужесточаются и законодательные требования, а регуляторы уделяют больше внимания тому, чтобы компании им соответствовали. Правда, пока в России штрафы не настолько суровы, как, например, в ЕС, где действуют требования GDPR (общий регламент по защите персональных данных, принятый в ЕС в 2018 году. — РБК).

В основном злоумышленники стараются получить доступ во внутреннюю сеть атакуемой компании и ищут две категории данных. Первая — это личные данные ее клиентов, включая информацию о средствах для совершения платежей, которые потом продаются на черном рынке. Вторая — логины и пароли корпоративных учетных записей для еще более глубокого проникновения в системы внутреннего контура. Тут причин еще больше: от желания зашифровать данные, чтобы затем потребовать выкуп, до самого настоящего промышленного шпионажа.

Очень важно понимать, что в 70% случаев причиной утечки становятся сотрудники самих компаний. Но дело не в злом умысле, а в изощренных методах злоумышленников. В ход идут все средства социальной инженерии.

Методы мошенников становятся все изощреннее

Самая популярная уловка — фишинг. Сотрудникам компании рассылаются письма, имитирующие настоящие почтовые рассылки популярных сервисов или даже внутренние корпоративные сообщения. Люди кликают по ссылкам, переходят на подставные сайты со скопированным интерфейсом «отправителей», вводят данные, и они тут же уходят к мошенникам. С этим можно бороться, только повышая грамотность персонала — для этого у «МегаФона» есть обучающая платформа Security Awareness с модулем имитации фишинговых атак, которая предоставляется по подписке.

Но нужно учить людей распознавать и более изощренные атаки. Мошенники могут связаться со службой поддержки: они узнают, как работают отделы, и получают контакты нужных людей для того, чтобы будто бы решить срочный вопрос. А затем совершается целевая атака методом того же фишинга, чтобы завладеть логином и паролем сотрудника с привилегированным доступом во внутренние системы — бухгалтера или кого-то из ИТ-службы. Встречаются и совсем хитроумные подходы: злоумышленник может выйти на сотрудника компании через сервис знакомств. Затем он как бы невзначай просит провести его в офис и незаметно оставляет на рабочих столах зараженные флешки. Кто-то непременно решит посмотреть, что же там такое, и в этот момент хакер получит доступ к одному из рабочих ПК, подключенных к внутренней сети предприятия.

Не забывать про современные технические средства защиты

Помимо обучения сотрудников важно использовать и современные средства защиты. Например, DLP — программно-аппаратный комплекс для противодействия утечкам, который «МегаФон» тоже может подключить любому заказчику по модели подписки. Идея в том, что система контролирует все ключевые каналы, по которым люди обычно передают информацию: мессенджеры (включая корпоративные), социальные сети, электронную почту, облачные хранилища, браузеры, а также внешние носители, офисную VoIP-телефонию (голосовая и видеосвязь через интернет. — РБК) и даже процесс печати документов. Как только происходит подозрительное событие, администратор получает уведомление и, главное, может детально разобраться в каждом инциденте — сохраняется вся цепочка передачи файла.

Не стоит забывать и о VDI (инфраструктура виртуальных рабочих столов. — РБК). Мы до сих пор видим большой спрос на это решение в рамках нашей сервисной модели. Его суть в том, что все вычислительные ресурсы сервера компании делятся на несколько (обычно сотни или тысячи) «рабочих мест», каждое из которых присваивается определенному сотруднику. Подключиться к нему он может с любого компьютера, даже если он полон вирусов и работает под управлением пиратской версии операционной системы. Свой рабочий стол он будет видеть в отдельном окне в режиме трансляции — именно поэтому он называется «виртуальным». Перетаскивать файлы оттуда на личный ПК и наоборот нельзя, а все операции в окне во время работы по факту выполняются на максимально защищенном сервере в центре обработки данных. Главный плюс VDI — высокий уровень безопасности, главный минус — внедрять решение долго и дорого, но модель подписки позволяет сгладить этот нюанс. Например, мы предоставляем VDI как сервис пользователям платформы «МегаФон Облако», для клиента это удобно, и мы видим востребованность такого решения.

Что делать с сотрудником, по вине которого случилась утечка? Если это злой умысел, то вопрос регламентируется законом. Если это ошибка, то все зависит от должности и функционала сотрудника, соответствия его действий внутренним регламентам и инструкциям и величины ущерба. Не соблюдающий цифровую гигиену системный администратор — это проблема несоответствия требуемой квалификации, а «попавшийся» на фишинг бухгалтер скорее проблема недостатка знаний. И как раз знания — один из ключей к минимизации количества утечек: важно не думать о том, как поступить с провинившимися, а сделать так, чтобы персонал был достаточно грамотным и легко распознавал трюки мошенников. А второй ключ — продуманный подход к информационной безопасности, соответствующий всем современным требованиям и тенденциям.

Информационная безопасность и антифишинг по подписке

Как это работает?

Основная причина утечек данных — собственные сотрудники компаний. Но дело не в злом умысле, а в недостатке знаний о безопасности. Разбираемся, как проблему решают за рубежом и в России и изучаем подходы к модели подписки.

Семь утечек из десяти случаются по вине сотрудников

Летом 2021 года компания Egress опубликовала большое исследование об утечках данных. В выборку попали более 500 руководителей ИТ-отделов и 3 тыс. сотрудников британских и американских компаний из самых разных секторов. Оказалось, что за последний год с утечками столкнулись 94% организаций. 84% руководителей назвали основной их причиной человеческий фактор, то есть ошибки сотрудников самой компании. Чаще всего к утечкам приводят два типа ситуаций — нарушения сотрудниками правил информационной безопасности (74%) и фишинг (73%). Массовый переход сотрудников на дистанционную работу только усугубляет негативную тенденцию. По мнению 56% руководителей, из-за удаленки бороться с утечками стало сложнее.

Проанализировав в начале 2021 года данные по утечкам в 130 странах, эксперты IBM и вовсе пришли к выводу, что человеческая ошибка стала их причиной в 95% случаев. Однако трактовка этого понятия может быть широкой: от открытия фишингового письма до неверно принятого решения на уровне управления проектом или направлением. Если под человеческим фактором понимать именно недостаток знаний в области ИБ у сотрудников, для которых это не является обязательной компетенцией, то можно ориентироваться на 70% — именно такую оценку в беседе с РБК привел представитель «МегаФона», и она соответствует реалиям российского рынка.

Будущее ИБ за обучающими платформами

Ответом на новый вызов стали обучающие платформы, главная цель которых — повысить осведомленность сотрудников компаний в области информационной безопасности. Этот рынок называется Security Awareness Training, и, по данным Gartner, он растет не менее чем на 13% в год. За рубежом на этом направлении уже очень много серьезных игроков. В качестве лидера различные исследования нередко отмечают американскую компанию KnowBe4, которая весной 2021 года вышла на биржу NASDAQ. Бизнес строится вокруг продажи курсов информационной безопасности по подписке (кстати, они названы в честь легендарного хакера Кевина Митника, и он один из сотрудников компании), модуля имитации фишинговых атак и программы для анализа рисков. Насколько хорошо это работает? Если опираться на статистику самих разработчиков, то подход крайне действенный. Изначальный средний риск «попасться» на фишинг снижается с 31,4 до 16,4% через три месяца после начала корпоративного обучения. А через год он уже составляет всего 4,8%.

Ближайшие конкуренты KnowBe4 — CybSafe, Inspired eLearning, Infosec, Elevate Security и множество других — работают по схожим моделям. Это всегда обучение в связке с продуктами для анализа устойчивости к угрозам, модулями имитации определенных атак и иногда решения для непосредственного обеспечения безопасности. В России рынок сервисов для повышения осведомленности в области ИБ только формируется. Действительно крупных игроков можно пересчитать по пальцам рук, но их количество растет, в том числе за счет вовлечения серьезных брендов с глубокой экспертизой в области ИТ-решений.

Например, летом 2021 года собственную платформу запустил «МегаФон». На ней собрано более 60 курсов по ИБ в самых различных областях. От специфических для отдельных категорий специалистов («Безопасность центров обработки данных») до массовых, которые было бы крайне полезно пройти всем сотрудникам любой компании: «Как не попасться на уловки мошенников», «Как печатать конфиденциальные документы» или, например, «Как работать с персональными данными». Из курсов можно составить обучающие модули и назначить конкретным сотрудникам или целым отделам. Если какого-то курса не хватает, то его можно составить самостоятельно из текстов, изображений и аудиофайлов или заказать у разработчиков сервиса за дополнительную плату. Платформа ведет подробную статистику на всех уровнях и примерно оценивает гипотетический риск в случае столкновения с угрозами ИБ на основе того, насколько успешно люди завершили обучение.

Подписка на обучение и имитация фишинговых атак

Почему заказчики выбирают модель подписки на обучение информационной безопасности, а не делают курсы самостоятельно? Есть как минимум две веские причины, которые связаны друг с другом. Прежде всего для этого требуются средства и время сотрудников, в том числе таких важных, редких и востребованных, как специалисты по ИБ. Их не только нужно отвлекать от главной задачи, но и усиливать методологами, которые смогут понятно и интересно сформировать курсы из собранной информации. Плюс нужно добавить сюда стоимость производства, разработки и обслуживания платформы. Затем нужно сопоставить временные и денежные затраты со стоимостью аналогичного сервиса по подписке.

Уже упомянутая выше KnowBe4 предлагает четыре тарифа со стоимостью от $9 до $30 за сотрудника в год. Цена зависит от количества человек, которых вы планируете обучать, и выбранных опций. В России о корпоративном обучении ИБ по подписке можно задумываться со штатом в 50 специалистов и годовым бюджетом от 100 тыс. руб. На платформе «МегаФон Security Awareness» предусмотрены значительные скидки на человека по мере роста количества аккаунтов. Если их больше 1 тыс., то ежемесячные затраты на каждый составят буквально несколько десятков рублей, что, кстати, в 2–3 раза доступнее, чем в США. Для компаний, которые не специализируются на информационной безопасности сами, модель подписки почти наверняка окажется более выгодной, чем собственное внутреннее обучение.

Примечательно, что очень многие поставщики решений для повышения осведомленности в области ИБ предлагают собственные средства для имитации фишинговых атак. Это явный ответ на один из главных трендов пандемии: по статистике ФБР, фишинг стал наиболее распространенным киберпреступлением 2020 года. Причем с 2018-го количество фишинговых атак различного типа увеличилось более чем в девять раз.

Все антифишинговые модули работают по схожему принципу. Сначала администратор платформы создает рассылку по готовым шаблонам, которые имитируют письма, скажем, от Facebook (соцсеть признана в РФ экстремистской и запрещена), Google и других популярных платформ или государства — ФНС, «Госуслуг» и т.д. Все это автоматически привязывается к сайту с интерфейсом точь-в-точь как у настоящей платформы. Затем выбранные сотрудники получают эти письма, а администратор следит за прогрессом: сколько из них открыли письма, сколько перешли по ссылкам и сколько ввели данные в форму.

Возможны некоторые дополнения. Например, «МегаФон» по запросу клиента может создать эксклюзивный шаблон. Главный «хит» — письмо, имитирующее сообщение от генерального директора. Однако сотрудники компании подчеркивают, что главная идея имитации фишинговой атаки не в том, чтобы сделать ее максимально изощренной, а в том, чтобы максимально приблизить к реальному сценарию. И это работает. По статистике «МегаФона», клиентам, которые сначала заказали тестовую фишинговую атаку, а затем провели обучение на их платформе, в среднем удалось снизить риск инцидента на 70%.

На российском рынке средняя длина цикла сделки по приобретению платформы для обучения ИБ — два-три месяца. Наибольшим спросом такие решения пользуются в финансовом секторе, что объясняется спецификой работы: требованиями регуляторов и высоким уровнем ответственности за средства клиентов. Вторая большая группа потенциальных заказчиков — ИТ-компании, которые ведут бизнес в интернете и разрабатывают какое-либо ПО, а следовательно, работают с персональными данными. Сюда относится все, что связано с растущим рынком электронной коммерции. Крайне важны обучающие решения и для промышленного сектора, поскольку тут нужен особый подход к защите объектов критически важной инфраструктуры.

Подготовил Алексей Ведерников

Фото: пресс-служба

O'qishni davom ettirish uchun tizimga kiring. Bu tez va bepul.

Roʻyxatdan oʻtish orqali men foydalanish shartlari 

Tavsiya etilgan maqolalar

Глава компании «Полипласт Северо-запад» — о высоких технологиях и импортозамещении Глава компании «Полипласт Северо-запад» — о высоких технологиях и импортозамещении

О важности следовать принципам бережливого производства и ESG-повестке

РБК
Сирийско-российская подводная археология Сирийско-российская подводная археология

Пять тысячелетий ближневосточной жизни — под водой

Наука
Розовые горы Пенджикента Розовые горы Пенджикента

Личная и трогательная история Ани, основавшей бренд «Атлас мира»

Seasons of life
В коктейле главное — баланс В коктейле главное — баланс

Бармены о новых идеях и трендах, предпочтениях гостей и отношениях с поварами

Bones
Разгадка истории Венеры кроется в её поверхности Разгадка истории Венеры кроется в её поверхности

Активны ли венерианские вулканы сегодня?

Наука и жизнь
90 м² 90 м²

Квартира в старом фонде, в которую добавили цвета и естественного света

AD
70 м² 70 м²

Визуальные хитрости в квартире по проекту Анастасии Кузнецовой

AD
«У владельцев есть искушение превратить компании в кеш-машину» «У владельцев есть искушение превратить компании в кеш-машину»

Почему Forbes выбрал первого вице-премьера Андрея Белоусова регулятором года?

Forbes
Миллиарды с низких цен Миллиарды с низких цен

IPO Fix Price стало одним из крупнейших в России за последние 10 лет

Forbes
«Математическое образование заставляет людей думать по-другому» «Математическое образование заставляет людей думать по-другому»

Математик Федор Богомолов — про ученых и о роли математики в других науках

Наука
Взяли Казань Взяли Казань

Как богатейшие люди Татарстана согласились на партнерство

Forbes
Атака на «Озеро» Атака на «Озеро»

Прельжокаж начинал как варвар — переиначивал классику, а сегодня — сам классик

Seasons of life
Виктория Пархоменко: «В людях я ценю простоту» Виктория Пархоменко: «В людях я ценю простоту»

Шеф-кондитер Виктория Пархоменко — о профессии и источниках вдохновения

Bones
«Сначала лучше, потом дешевле. Сначала доходы, потом расходы» «Сначала лучше, потом дешевле. Сначала доходы, потом расходы»

Интервью руководителя ВТБ Private Banking Дмитрия Брейтенбихера

Forbes
Пассажирский сверхзвук: каким путем пойдут новые поколения? Пассажирский сверхзвук: каким путем пойдут новые поколения?

Коммерческая сверхзвуковая авиация сможет существовать, если изменится

Наука
Блистательное завершение праздничной еды Блистательное завершение праздничной еды

История десерта

Наука и жизнь
Мотор кухни Мотор кухни

Кто стоит за успешным шефом?

Bones
60 м² 60 м²

Основатели бюро ToTaste решили оставить в квартире открытую кирпичную кладку

AD
49 м² 49 м²

Квартира с панорамным видом на Серебряный Бор

AD
Искаженные инвестиции Искаженные инвестиции

Какие активы принесли инвесторам тысячи и миллионы процентов и что это означает

Forbes
«Новые технологии стерли былые социальные перегородки» «Новые технологии стерли былые социальные перегородки»

Пятерка главных «гуманитарных» трендов, изменивших мир за 15 лет

РБК
Жилой мэтр Жилой мэтр

Мельников и Ле Корбюзье: что было общего и разного у именитых архитекторов?

Seasons of life
Трудности доказательного перехода Трудности доказательного перехода

Как данные, собираемые университетами, могут быть полезны

Наука
50 м² 50 м²

Лина Князева сделала фотогеничный интерьер для блогера

AD
Семейная сказка по-новосибирски Семейная сказка по-новосибирски

Как работает новый центр социально-педагогической поддержки Большой перемены

ПУСК
Курсы дизайнеров Курсы дизайнеров

Как Александр Аврамов и Андрей Анищенко строят «единорога» в Латинской Америке

Forbes
55 м² 55 м²

Двухуровневая квартира архитектора Элины Смаиловой

AD
90 м² 90 м²

Ирина Граве сделала для себя фактурный интерьер и наполнила его искусством

AD
42 м² 42 м²

Квартира со встроенными системами хранения по проекту бюро А3

AD
75 м² 75 м²

Ритмичные линии в проекте Марии Степановой навеяны соседними панельными домами

AD
Открыть в приложении