Журнал "Директор по безопасности" Февраль 2020 | Page 18
ЕСТЬ РЕШЕНИЕ
Хакеры учат
информационной
безопасности
вы можете проверить готовность вашей компании
к кибератакам
[email protected]
+7 495 108 46 98
Компании выстраивают систему инфор-
мационной безопасности (ИБ), защища-
ясь от технических киберугроз, удален-
ных хакерских взломов. Однако, если
спросить специалиста ИБ крупной ком-
пании о проблеме, которая волнует его
больше всего, то, скорее всего, речь пой-
дет вовсе не о хакерах. Сегодня одна из
самых сложных проблем, встающих перед
службой ИБ – многогранная проблема че-
ловеческого фактора.
В
сем, кто так или иначе связан
с ИБ, прекрасно известна уяз-
вимость самого слабого звена
– человека. В прошедшем 2019 году
социальная инженерия так или ина-
че применялась в 97% целевых атак,
зачастую этого было достаточно для
кражи данных с минимальным при-
менением технического мастерства
взломщика. Общепризнано, что эф-
фективно противостоять социальной
инженерии можно лишь повышая
осведомленность всех сотрудников
компаний. Однако исчерпывающего
ответа на вопрос, как мотивировать
сотрудников, занятых повседнев-
ными рабочими обязанностями, на
изучение «ненужных» вопросов ин-
формационной безопасности, у боль-
шинства руководителей ИБ нет.
Другой пример человеческого
фактора, который проявляется во
многих компаниях – это взаимодей-
ствие служб ИБ и IT. Зачастую забо-
ты IT-службы, от которой критически
зависит бизнес компании, сосредо-
точены на повседневных рутинных
задачах, а проблемы безопасности
представляются надуманными и не-
своевременными. Это приводит к
множеству не устраняемых вовремя
уязвимостей и, как итог, к тяжелым
инцидентам.
Сертифицированный этичный ха-
кер, технический директор Центра
Компетенций Электронное облако
Александр Дмитриев разберется в
масштабах проблемы и поделится
подходом к ее системному решению.
Сотрудники и их осведомленность
На рынке существует множество он-
лайн-решений по повышению ос-
ведомленности сотрудников. Не-
которые компании создают свои
собственные курсы по информацион-
ной безопасности для пользователей.
Те знания, которые несут эти плат-
формы, обычно содержат достаточно
ясный перечень правил, позволяю-
щих обычному пользователю ком-
пьютера распознать и правильно от-
реагировать на фишинговое письмо
(фишинг), на подброшенную флеш-
ку (байтинг) или звонок из «службы
техподдержки» с просьбой сообщить
пароль. Проблема, однако, состоит в
том, чтобы внедрить эти знания, про-
контролировать их усвоение, подей-
ствовать на тех сотрудников, которые
игнорируют правила и регламенты,
одним словом – добиться реально-
го повышения осведомленности со-
трудников и повышения безопасно-
сти. Использование геймификации
и прочих популярных приемов типа
командных игр, дает некоторый эф-
фект, но, как показывает практика,
не решает проблемы. В большинстве
компаний сотрудники ИБ жалуются
на отсутствие полномочий, рычагов
влияния или просто организацион-
ных возможностей для превращения
теории в практику ежедневного безо-
пасного и ответственного поведения
сотрудников.
Ответом на такой запрос является
набирающий популярность во всем
мире сервис по управлению компе-
тенциями в области ИБ. Он включа-
ет в себя не только онлайн-курсы и
тесты, но и систему сертификации,
стресс-тестов, оффлайн-тренингов,
отчетов и аналитики, обратной связи
с руководством компании и, главное,
методику выстраивания процесса об-
учения и контроля за результатами в
течении оговоренного срока. Сервис
начинается с выстраивания четких
правил взаимодействия с руковод-
ством компании и уровня его вовле-
ченности в проблему обучения ИБ
и тестового замера исходного уров-
ня осведомленности сотрудников и
их готовности противостоять типич-
ным угрозам социальной инженерии.
Комплекс непрерывных мероприя-
тий, от которых не удается увернутся
ни одному самому отчаянному со-
труднику бухгалтерии, рассчитанный
на 6 месяцев, позволяет непрерывно
следить за изменением зрелости от-
ношения к угрозам ИБ и гарантирует
уровень подготовки «на отлично» не
менее 80% сотрудников.
Внутренний аудит
Как известно, важнейшей частью
управления ИБ является непрерыв-
ный процесс внутреннего аудита,
позволяющий совершенствоваться и
своевременно отвечать на актуаль-
ные угрозы. Но это в теории. Прак-
тика же бывает очень разной. Очень
часто проблемы взаимоотношений
между ИБ и IT приводят к тому, что
дополнительная нагрузка в виде вну-
треннего аудита и необходимость
что-то менять (мы все знаем прин-
цип «работает – не трогай») приво-
дят к тому, что процедура внутрен-
него аудита проводится формально.
Нередко сотрудники ИБ сталкиваются
и с недостатком компетенций, не-
хваткой финансирования на органи-
зацию обучения и, конечно же, с не-
хваткой времени.
Выходом из ситуации в нашей
компании, который мы смело можем
порекомендовать многим, явилось
вовлечение сотрудников IT в пробле-
матику ИБ через организацию обу-
чения техникам инструментального
контроля, выявления уязвимостей и
организации внутреннего аудита пря-
мо на территории компании без от-
рыва от производства.
Курс, основанный на сертифи-
цированных международных мето-
диках, дает очень четкие и практи-
ческие знания, которые так ценят
сотрудники IT, содержит множество
практических занятий, на которых
решаются конкретные задачи компа-
нии. В то же время этот курс дает все
необходимое для организации эф-
фективного процесса внутреннего
аудита ИБ, включая все необходимые
шаблоны сопровождающих докумен-
тов, соответствующих требованиям
ГОСТов и ISO.
В результате нами был запущен
процесс внутреннего аудита при ак-
тивнейшем участии самих сотрудни-
ков IT, соответствующий лучшим прак-
тикам. Вовлеченность сотрудников IT
и общий рост компетенций в области
ИБ, превращение разовых меропри-
ятий в непрерывный системный под-
ход, и главное, формирование коман-
ды единомышленников, для которых
безопасность компании – не пустой
звук, стало важнейшим итогом такого
совместного обучения.
Вовлеченность руководства
Каждый сотрудник ИБ знает, насколь-
ко важна вовлеченность руководите-
ля компании в проблемы ИБ. Однако
часто донести свои тревоги и озабо-
ченность до руководства компании
совсем непросто. Без понимания
руководителем иерархии угроз, ак-
туальности тех или иных принципи-
альных решений по обеспечению ИБ
невозможно добиться результата.
Тренинги для топ-менеджеров
компаний по актуальным вопросам
ИБ, которые остро волнуют большин-
ство руководителей, такие как утеч-
ки конфиденциальной информации,
безопасность мессенджеров и кор-
поративных коммуникаций, топ-10
хакерских атак и, конечно, проблема
человеческого фактора, позволяют
акцентировать внимание руковод-
ства на понятных ему важных про-
блемах и превратить тренинг в ин-
струмент помощи принятия важных
для компании решений.
Наш опыт проведения таких тре-
нингов, сопровождаемый демонстра-
циями хакерских техник, перехвата
сообщений в «защищенных» публич-
ных мессенджерах, доказывает, что
лучше один раз увидеть, чем сто раз
услышать. Организовать подобные
тренинги для своего руководства мы
рекомендуем всем руководителям
служб ИБ, как эффективное средство
вовлечения в проблемы безопасно-
сти и качественного роста зрелости
компании.