Человеческий фактор и отсутствие знаний о кибербезопасности среди сотрудников в большинстве случаев приводят к успешной реализации незаконных схем злоумышленников. Эксперты департамента управления рисков компании «Делойт» – директор департамента Владимир Ремыга и старший менеджер Ернар Суербаев – рассказали о том, почему топ-менеджерам важно правильно пропагандировать кибербезопасность среди сотрудников и каким образом должно быть построено обучение подобного рода.
Из-за чего происходят кибератаки
Согласно исследованиям Cyberint, 95% кибератак происходят из-за ошибок сотрудников. То есть, каким бы совершенным не был используемый технический инструментарий, человеческий фактор был и остается наиболее уязвимым звеном кибербезопасности. Основные проблемы кроются в недостаточной осведомленности сотрудников, а также в отсутствии у них должных навыков распознавать элементы социальной инженерии. Согласно исследованию IBM, среднемировая цена потерь компании от утечки данных в 2020 году составила $3,86 млн. И это намного больше, чем компании могли бы потратить на обучение персонала противостоянию кибератакам. При этом 77% организаций не имеют плана реагирования на кибератаки, и только 16% руководителей говорят, что их организация полностью подготовлена для управления подобными рисками.
Скорее всего, некоторые владельцы бизнеса считают, что их компания слишком мала и она недостаточно интересна злоумышленникам, но на самом деле это не так. 43% кибератак нацелены именно на малый бизнес. Таким образом, все организации должны предпринимать меры по защите своей инфраструктуры.
Здесь очень важным моментом является культура в самой компании: кибербезопасность должна быть выстроена на таком уровне, чтобы каждый сотрудник, от младшего специалиста до первого руководителя, знал, как предотвратить кибератаку и как действовать в случае ее наступления. И хотя это касается элементарных вещей, например, того, как безопасно подключаться к интернету и корректно использовать электронную почту, далеко не все это делают правильно.
Первое, на что нужно обратить внимание, – это на то, чтобы свод правил по этим темам был оформлен на доступном языке, а главное – чтобы он был всегда под рукой. Чтобы каждый сотрудник время от времени мог ознакомиться с ним и освежить в памяти его основные моменты. Конечно, правила должны периодически обновляться, но самое главное – это то, что первые руководители компаний должны на личном примере показывать важность соблюдения этих требований. К примеру, если сотрудники ИБ проводят тренинг, руководители должны первыми участвовать в нем. И если сотрудники видят, что руководство уделяет этому внимание, то они автоматически понимают значимость кибербезопасности для компании.
Более того, руководители сами должны прекрасно понимать, что риски, связанные с кибербезопасностью, могут повлечь за собой не только разовый материальный урон, но и долгосрочный репетиционный ущерб для организации. Поэтому важно всегда открыто обсуждать имеющиеся вопросы, разрабатывать, внедрять и обеспечивать исполнение политики кибербезопасности, а также поощрять персонал при следовании этим требованиям.
Как повысить уровень кибербезопасности
Сначала необходимо определить уровни ответственности по обеспечению безопасности. Если младшие сотрудники и руководители имеют разный уровень должностных обязанностей, соответственно, к ним предъявляются различные требования, в том числе по ее обеспечению. Программа для обучения должна быть персонифицирована под каждую из занимаемых должностей не только в зависимости от грейда, но и от сферы деятельности. К примеру, к высшему руководству, финансистам и менеджерам по продажам должны применяться различные, заточенные под каждую группу, методы обучения.
К тому же обучение должно выстраиваться так, чтобы сотрудники могли не только распознавать угрозу, но и знали, как следует на нее среагировать, к кому обратиться, а также предпринять правильные действия, если они уже стали жертвами подобной атаки. Конечно, надо также периодически проводить измерение успешности курсов, чтобы вовремя их актуализировать и фокусироваться на проблемных зонах, если таковые еще остаются.
Сегодня на рынке имеется большое количество программ, которые позволяют провести симуляцию фишинговых атак, и, проведя подобные тесты, можно определить, какие пробелы в знаниях существуют у сотрудников вашей компании. Далее уже необходимо составить программу обучения, опираясь на вышеупомянутые уровни.
Какие темы важны для изучения
Фишинг
Один из наиболее популярных на сегодняшний день видов интернет-мошенничества. Здесь важно научить персонал отличать легитимную рассылку от рассылок злоумышленников. И при получения подозрительных материалов незамедлительно сообщать ответственным лицам службы ИБ.
Методанные
Это данные, содержащиеся в документах. К примеру, имена авторов в метках документов, их электронные адреса. В Excel это могут быть скрытые таблицы, в Power Point – комментарии и примечания к презентациям.
Документы, соответственно, могут быть высланы на внешние ресурсы или быть где-то опубликованы. Необходимо, чтобы сотрудники знали, где эти данные могут находиться, и корректно удаляли их перед публикацией или отправкой на внешние адреса. Для этого в редакторах Microsoft Office существуют стандартные инструменты, которые могут в этом помочь.
Безопасность в социальных сетях
Несмотря на то, что социальные сети уже давно вошли в обиход, далеко не все еще осознают опасность утечки конфиденциальной информации через эти каналы. Убедитесь в том, что ваши сотрудники понимают, что нельзя делиться в социальных сетях информацией, содержащей корпоративную тайну. Лучше, чтобы сотрудники и вовсе не пользовались социальными сетями через рабочие компьютеры, а использовали для этого только личные гаджеты.
Безопасность при использовании рабочих каналов коммуникаций
Пожалуй, одна из самых распространенных неосторожностей, допускаемой сотрудниками, это несоблюдение правил пользования корпоративной почтой. Первое, о чем необходимо помнить всегда, это то, что ни в коем случае нельзя регистрироваться на сторонних ресурсах с использованием рабочего почтового адреса. Ну и, конечно же, не использовать одинаковые пароли для сторонних ресурсов и внутренних систем компании. Стоит также быть всегда начеку, принимая звонки и сообщения, так как любой номер телефона можно подменить.
Физическое проникновение в офис
Пожалуй, одним из самых наглых, но тем не менее эффективных мошеннических методов получения информации является физическое проникновение в офис. Злоумышленники могут выдавать себя за кого угодно. То есть если к вам подойдет человек приятной наружности и попросит открыть дверь или пропустить через турникет, сказав, что он забыл карточку доступа или торопится на встречу с СЕО, вы не имеете права этого делать без согласования и проведения определенных процедур через службу безопасности компании.
Однако случиться может все что угодно и перестраховываться нужно на всех уровнях. Поэтому также стоит быть внимательным, даже находясь на территории офиса. Категорически запрещается:
— оставлять заметки с логином и паролем на рабочем столе или прятать их в записных книжках или под клавиатурой;
— оставлять в принтере на долгое время конфиденциальные документы;
— оставлять компьютер незаблокированным, когда покидаете рабочее место;
— оставлять в общедоступных местах незашифрованные флешки;
— подключать к рабочему компьютеру некорпоративные внешние носители.
Подобные правила должны быть всегда на виду, к примеру, можно красиво оформить их в виде постеров и повесить внутри офиса в наиболее посещаемых местах. Не лишним будет поместить подобные объявления на screensaver-заставку на всех компьютерах, а также периодически делать рассылки со сводом основных правил на почту.
Кто из сотрудников наиболее подвержен атакам социальной инженерии
Есть пять основных категорий сотрудников, которые в первую очередь могут стать жертвами атак. Во-первых, это администраторы офиса, так как они первыми встречают посетителей и отвечают на входящие звонки. Во-вторых – финансисты и бухгалтера, так как они имеют доступ к данным о корпоративных счетах и платежных картах. В-третьих, это водители, которым могут доверить перевозку конфиденциальных документов и оборудования. И, как ни странно, сотрудники клининга – руководители часто пренебрегают обучением уборщиков, однако они также могут завладеть флешками, паролями или оставленными без присмотра конфиденциальными документами.
Немаловажно обратить внимание и на третьих лиц, не являющихся штатными сотрудниками, но которым может быть предоставлен доступ к некоторым данным – это субподрядчики, аутсорс, поставщики.
Необходимо одинаково внимательно относиться ко всем вышеупомянутым категориям и проводить обучение с представителями каждой из них.
Именно первый руководитель должен быть главным драйвером в пропаганде правильных ценностей компании и личным примером показать важность знаний в области кибербезопасности. Именно он должен мотивировать сотрудников на честное обучение, «не для галочки». Иначе, вне зависимости от средств, потраченных на обучение сотрудников, результат может быть нулевым, а финансы и репутация компании так и останутся под реальной угрозой изобретательных кибермошенников.