ЦКЭО
Хакеры учат информационной безопасности
Компании выстраивают систему информационной безопасности, защищаясь от технических киберугроз, удаленных хакерских взломов. Однако, если спросить специалиста ИБ крупной компании о проблеме, которая волнует его больше всего, то скорее всего, речь пойдет вовсе не о хакерах. Сегодня одна из самых сложных проблем, встающих перед службой ИБ – многогранная проблема человеческого фактора.
Всем, кто так или иначе связан с ИБ, прекрасно известна уязвимость самого слабого звена - человека. В прошедшем 2019 году социнженерия так или иначе применялась в 97% целевых атак, зачастую этого было достаточно для кражи данных с минимальным применением технического мастерства взломщика. Общепризнанно, что эффективно противостоять социальной инженерии можно лишь повышая осведомленность всех сотрудников компаний. Однако исчерпывающего ответа на вопрос, как мотивировать сотрудников, занятых повседневными рабочими обязанностями, на изучение «ненужных» вопросов информационной безопасности, у большинства руководителей ИБ нет
Другой пример человеческого фактора, который проявляется во многих компаниях, это взаимодействие служб ИБ и IT. Зачастую, заботы IT службы, от которой критически зависит бизнес компании, сосредоточены на повседневных рутинных задачах, а проблемы безопасности представляются надуманными и несвоевременными. Это приводит к множеству не устраняемых вовремя уязвимостей, и как итог, к тяжелым инцидентам.

Сертифицированный этичный хакер, технический директор Центра Компетенций Электронное облако Александр Дмитриев разберется в масштабах проблемы и поделится подходом к ее системному решению.

Александр Дмитриев
Сотрудники и их осведомленность
На рынке существует множество онлайн решений по повышению осведомленности сотрудников. Некоторые компании создают свои собственные курсы по информационной безопасности для пользователей. Те знания, которые несут эти платформы, обычно содержат достаточно ясный перечень правил, позволяющий обычному пользователю компьютера распознать и правильно отреагировать на фишинговое письмо (фишинг), на подброшенную флешку (байтинг) или звонок из «службы техподдержки» с просьбой сообщить пароль. Проблема, однако состоит в том, чтобы внедрить эти знания, проконтролировать их усвоение, подействовать на тех сотрудников, которые игнорируют правила и регламенты, одним словом - добиться реального повышения осведомленности сотрудников и повышения безопасности. Использование геймификации и прочих популярных приемов типа командных игр, дает некоторый эффект, но, как показывает практика, не решает проблемы. В большинстве компаний сотрудники ИБ жалуются либо на отсутствие полномочий, рычагов влияния или просто организационных возможностей для превращения теории в практику ежедневного безопасного и ответственного поведения сотрудников.
Ответом на такой запрос является набирающий во всем мире популярность сервис по управлению компетенциями в области ИБ. Он включает в себя не только онлайн курсы и тесты, но и систему сертификации, стресс-тестов, оффлайн тренингов, отчетов и аналитики, обратной связи с руководством компании, и главное, методику выстраивания процесса обучения и контроля за результатами в течении оговоренного срока. Сервис начинается с выстраивания четких правил взаимодействия с руководством компании и уровня его вовлеченности в проблему обучения ИБ и тестового замера исходного уровня осведомленности сотрудников и их готовности противостоять типичным угрозам социальной инженерии. Комплекс непрерывных мероприятий, от которых не удается увернутся ни одному самому отчаянному сотруднику бухгалтерии, и рассчитанный на 6 месяцев, позволяет непрерывно следить за изменением зрелости отношения к угрозам ИБ и гарантирует уровень подготовки «на отлично» не менее 80% сотрудников.

Внутренний аудит
Как известно, важнейшей частью управления ИБ является непрерывный процесс внутреннего аудита, позволяющий совершенствоваться и своевременно отвечать на актуальные угрозы. Но это в теории. Практика же бывает очень разной. Очень часто проблемы взаимоотношений между ИБ и IT приводят к тому, что дополнительная нагрузка в виде внутреннего аудита и необходимость что-то менять (мы все знаем принцип «работает- не трогай») приводят к тому, что процедура внутреннего аудита проводится формально. Нередко сотрудники ИБ сталкиваются и с недостатком компетенций, нехваткой финансирования на организацию обучения и, конечно же, с нехваткой времени.
Выходом из ситуации в нашей компании, который мы смело можем порекомендовать многим, явилось вовлечение сотрудников IT в проблематику ИБ через организацию обучения техникам инструментального контроля, выявления уязвимостей и организации внутреннего аудита прямо на территории компании без отрыва от производства.

Курс, основанный на сертифицированных международных методиках, дает очень четкие и практические знания, которые так ценят сотрудники IT, содержит множество практических занятий, на которых решаются конкретные задачи компании. В то же время этот курс дает все необходимое для организации эффективного процесса внутреннего аудита ИБ, включая все необходимые шаблоны сопровождающих документов, соответствующих требованиям ГОСТов и ISO.
В результате нами был запущен процесс внутреннего аудита при активнейшем участии самих сотрудников IT, соответствующий лучшим практикам. Вовлеченность сотрудников IT и общий рост компетенций в области ИБ, превращение разовых мероприятий в непрерывный системный подход, и главное, формирование команды единомышленников, для которых безопасность компании- не пустой звук, стало важнейшим итогом такого совместного обучения.
Вовлеченность руководства
Каждый сотрудник ИБ знает, насколько важно вовлеченность руководителя компании в проблемы ИБ. Однако часто донести свои тревоги и озабоченность до руководства компании совсем непросто. Без понимания руководителем иерархии угроз, актуальности тех или иных принципиальных решений по обеспечению ИБ невозможно добиться результата.
Тренинги для топ-менеджеров компаний по актуальным вопросам ИБ, которые остро волнуют большинство руководителей, такие как утечки конфиденциальной информации, безопасность мессенджеров и корпоративных коммуникаций, топ-10 хакерских атак и, конечно, проблема человеческого фактора, позволяют акцентировать внимание руководства на понятных ему важных проблемах и превратить тренинг в инструмент помощи принятия важных для компании решений.
Наш опыт проведения таких тренингов, сопровождаемый демонстрациями хакерских техник, перехвата сообщений в «защищенных» публичных мессенджерах, доказывает, что лучше один раз увидеть, чем сто раз услышать. Организовать подобные тренинги для своего руководства мы рекомендуем всем руководителям служб ИБ как эффективное средство вовлечения в проблемы безопасности и качественного роста зрелости компании.
ВЫ МОЖЕТЕ ПРОВЕРИТЬ ГОТОВНОСТЬ ВАШЕЙ КОМПАНИИ К КИБЕРАТАКАМ