Контакты
Подписка
МЕНЮ
Контакты
Подписка

Знание – сила. Как внедрить в организации культуру кибербезопасности

Знание – сила. Как внедрить в организации культуру кибербезопасности

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Знание – сила. Как внедрить в организации культуру кибербезопасности

Цифровая трансформация окончательно перестала быть фразой из отчетов аналитических и консалтинговых компаний. “Переход в цифру” затронул в том числе представителей самых консервативных отраслей. Вне зависимости от отрасли цифровая трансформация сопровождается внедрением новых ИТ-решений и использованием новых моделей потребления ИТ-услуг. Облачные приложения и платформы, инфраструктура мобильных девайсов, Интернет вещей, необходимость автоматизировать взаимодействие с партнерами и контрагентами и другие факторы размывают периметр кибербезопасности. Это значит, что ответственным за ИБ в компании предстоит делать больше работы и нести больше ответственности.
Олег Шабуров
Руководитель департамента кибербезопасности, Softline

Да, люди разные. Одни воспринимают ответственность как дополнительную возможность профессионального роста. Другие же могут увидеть в этом угрозу для комфортного существования. Бывает так, что препятствием к осуществлению той самой цифровой трансформации становятся как раз ИБ-специалисты. Им показалось важнее попытаться сохранить существующий порядок, чем брать на себя дополнительный риск. Впрочем, владелец бизнеса и инициатор перемен на своем предприятии был иного мнения.

Он пригласил нашу компанию подготовить для его предприятия дорожную карту развития кибербезопасности в соответствии с курсом на цифровую трансформацию. Помимо потребности понять, какие фрагменты корпоративного периметра ИТ-безопасности потребуется усилить, с нашей помощью он надеялся решить еще одну задачу, не менее важную, но которую часто упускают из вида: создать и поддерживать культуру кибербезопасности на своем предприятии. Забегая вперед, могу сказать, что вовлеченность самого главного руководителя компании и поддержка данной инициативы во многом послужили одним из ключевых факторов успешного завершения проекта.

Самое слабое звено

Как превратить сотрудников, большая часть которых последствия хакерских атак видела только в кино, если не в бдительных стражей ИТ-периметра, то по крайней мере в осознанных пользователей, которые не создают лишних проблем безопасникам? Очевидно, только одним способом – развить в них эту осознанность. Кевин Митник, бывший хакер, а теперь один из самых известных в мире консультантов по кибербезопасности, любит повторять, что самое слабое звено в любой киберзащите – человек. Эта мысль регулярно находит подтверждение в отчетах ИБ-вендоров и в кейсах ИТ-консультантов. При этом опыт подсказывает, что если тему кибербезопасности подать сотрудникам в захватывающем стиле, то она с интересом воспринимается и хорошо остается в головах. В этом отношении ориентироваться можно на практику одного российского ИБ-вендора, у которого цифровая гигиена и кибербезопасность в целом – важная часть корпоративной культуры. Чем не пример для подражания?

Перед стартом проекта ни у нас, ни у заказчика нет розовых очков. Но все равно волнительно, ведь вот-вот станет ясно, как компания выглядит для зло- умышленников с точки зрения социального инжиниринга.

На следующий день собираем группу заинтересованных "топов", представляющих структурные подразделения, которые цифровая трансформация затронет в первую очередь. С их возражениями ("Зачем мне участвовать в этом? Это отвлекает меня от основных задач!") помог поработать владелец бизнеса. Коротко рассказываем им о целях, желаемых результатах первых этапов. И показываем инструментарий для повышения осведомленности сотрудников – специализированное решение и методологию известного вендора. С их помощью инициировать подобный проект можно как в стартапе на 10 человек, так и в крупной корпорации численностью в нескольких тысяч сотрудников. Без вендорского решения мы, конечно же, тоже бы обошлись, но есть ощущение, что проект растянулся бы минимум на несколько месяцев, а анализ результатов потребовал бы существенных трудозатрат.

Перед стартом проекта ни у нас, ни у заказчика нет розовых очков. Но все равно волнительно, ведь вот-вот станет ясно, как компания выглядит для злоумышленников с точки зрения социального инжиниринга. Единогласно решаем, что первую проверку нужно сделать без предупреждения. Так и изначальная статистика будет более объективной, и потом динамику улучшения будет приятнее смотреть.

Революция в сознании сотрудников

Результат? Скажу так: он получился ожидаемым – 42% сотрудников прошли по ссылкам, ведущим на специально подготовленные "зараженные" сайты. Для качественно подготовленного фишингового письма это в пределах нормы для рынка. В некоторых случаях мы встречали ситуации и за 50%. Пришло время закатывать рукава и организовывать революцию в сознании сотрудников.

Что произошло, когда мы познакомили сотрудников с результатом аудита? Одних мотивировало понимание того, что их целенаправленно проверяют, а также осознание того, что проверки продолжатся. Другие искренне хотели разобраться, какую угрозу каждый из них несет компании – ведь ничего необычного за последнее время они не делали. Были и те, кто почувствовал себя беспомощной жертвой киношных хакеров, с той лишь разницей, что эта драма произошла не на экране, а в реальной жизни. В общем, равнодушных к итогам исследования в компании практически не оказалось. На следующий день мы с помощью HR-департамента заказчика провели опрос сотрудников и поняли, что абсолютное большинство попавшихся на фишинге сотрудников приняли решение подтянуть свой уровень знаний в кибербезопасности. Желающим тут же были отправлено расписание вебинаров и ссылки на методические материалы – в основном памятки, чек-листы и обучающие видео. Очевидно, первый шаг в сторону сознательности команды в вопросах кибербезопасности можно признать успешным.

Пришло время повторения эксперимента

Чуть более 90% участников вебинаров и сотрудников, познакомившихся с методическими материалами ликбеза, уже не допустили грубых ошибок. Лишь каждый 40-й сотрудник снова попался на фишинговые техники, используемые в первоначальной рассылке. Еще приятнее было видеть, что на новые техники уже попались чуть менее 10% сотрудников. В целом практика показывает, что через 3–5 волн проведения подобных рассылок количество людей, попадающихся на уловки злоумышленников, снижается примерно до 2–5%.


Дальше дело за малым: нужно мотивировать оставшихся пройти обучение, и сделать это не для отчетности, а так, чтобы люди действительно взяли от вебинаров максимум.

Подключаем тяжелую артиллерию

Повторная коммуникация топ-менеджмента по "скептикам" с акцентом на важность осведомленности в вопросах ИБ и о том, что нужно начать с себя, – и абсолютное большинство сотрудников прослушали обучающий курс.

Пришло время сделать паузу. Не мучать же сотрудников без остановки. А еще нужно понять, насколько хорошо усвоилась информация, как быстро она выветривается из головы, и оценить, насколько изменившиеся профили угроз обесценивают результаты "культурной революции" в течение короткого времени.

По прошествии месяца делаем еще одну проверку. Видимо, введенное правило о необходимости прохождения дополнительного тренинга со сдачей экзамена за допущенные ошибки во внутренней безопасности дало знать о себе. В это время центральный офис заказчика гудел от негодования коллег – дескать, их заставляют проходить "лишние" тренинги. Ну чтож, практически любое преобразование сопряжено с выходом из зоны комфорта.

Пока прошло не так много времени, чтобы сказать, что наши усилия переросли в культуру, поэтому говорить, что стратегическая цель достигнута, я пока не стану. Но первые признаки улучшения уже заметны. Недавно я был на встрече с заказчиком, проходил через кофе-зону и уловил обрывок разговора, в котором сотрудники компании-клиента обсуждают, кто и как попался на фишинге и как после обучения оценивает с точки зрения возможной фишинговой атаки каждое входящее электронное письмо. Останавливаться точно рано, но уже можно с удовольствием констатировать: в этой компании культуре кибербезопасности – быть.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018

Приобрести этот номер или подписаться

Статьи про теме