Как обучать кибербезопасности: Security Awareness для бизнеса
Главная » Аналитика » Анализ технологий
26 Марта 2025 - 11:39

Киберграмотность: обучение сотрудников как первый рубеж обороны

Аватар пользователя Кай Михайлов
Кай Михайлов
Руководитель направления информационной безопасности iTPROTECT
Вверх
Проголосовало: 18, включая Вас
...
Киберграмотность: обучение сотрудников как первый рубеж обороны

Семь из десяти кибератак оказываются успешными из-за ошибок людей. Значит, нужно обучать персонал основам кибербезопасности. Но как правильно организовать этот процесс? Чем обосновать руководству инвестиции в Security Awareness? И даже если всё устроено идеально, как понять, было ли обучение эффективным?

 

 

 

 

 

 

  1. Введение
  2. Кто в ответе за обучение? Разделяем зоны ответственности
  3. Как выбрать курсы? Оптимизируем программу обучения
  4. Как доказать пользу обучения?
  5. Как убедиться, что сотрудники усвоили материал?
  6. Критерии выбора платформы
  7. Изменения платформы ASAP за последние годы
  8. Возможности кастомизации курсов и интеграция с LMS
  9. Обучение как инвестиция в безопасность
  10. Выводы

Введение

Отправленное по ошибке письмо с конфиденциальной информацией, скачанное ПО, которое содержит вредоносную программу, переведенные мошенникам деньги по просьбе «начальника» - ошибки сотрудников могут дорого стоить для компании - не только в денежном эквиваленте, но и в репутационных рисках. Хорошая новость: этого можно не допустить с помощью правильного обучения по киберграмотности. Вернее даже не просто обучения, а грамотно выстроенного процесса, который даёт знания, применимые на практике. Разбираем, как его выстроить на примере Kaspersky Automated Security Awareness Platform (ASAP) и реальной практики iTPROTECT.

Кто в ответе за обучение? Разделяем зоны ответственности

Давайте начнём с самого важного, на ком лежит ответственность за кибербезопасное поведение сотрудников? На первый взгляд, логично поручить обучение отделу по информационной безопасности (ИБ), но на практике это работает плохо. Почему? Потому что специалисты по безопасности - эксперты, а не преподаватели. Правильное обучение требует команды: HR, ИТ и ИБ.

У большинства крупных организаций есть выделенный отдел обучения, в компаниях поменьше роль контролирующего обучение “органа” может брать на себя HR-департамент или руководители направлений. В любом случае эта группа людей следит за тем, как новые сотрудники проходят тренинги по работе с внутренними системами: CRM, ERP, система кадрового управления и прочее - всё, что необходимо в работе, вплоть до техники безопасности. Курсы по обучению киберграмотности можно вполне сделать частью этого процесса.

Какова здесь роль отдела ИБ? Их роль — быть экспертами и консультантами. Они помогают коллегам из отдела обучения правильно распределить курсы, подсказывают, какие темы важны для разных групп сотрудников, и контролируют результаты.

 

Рисунок 1. Таблица зон ответственности при организации обучения

Таблица зон ответственности при организации обучения

 

Как мы видим из рисунка выше, отдел ИБ принимает опосредованное участие в системе, видит результаты и постфактум, на консолях средств защиты, отчитывается об этом руководству организации.

Как выбрать курсы? Оптимизируем программу обучения

Теперь перейдём к самому интересному: как выбрать курсы, чтобы они были полезны, но при этом не отнимали у сотрудников всё рабочее время? Ведь очевидно, что не всем нужно знать всё. Например, бухгалтеру вряд ли пригодится глубокое понимание сетевой безопасности, а вот ИТ-специалисту без этого никуда. Но при этом, знание ФЗ-152 пригодится всем специалистам, которые работают с персональными данными, а это большая часть корпоративного мира.

Давайте на конкретных примерах разберем, как легко разделить пользователей на группы и прописать им оптимальную программу обучения.

Начнем с базы. Платформа Kaspersky ASAP позволяет выделить базовый курс для всех, который охватывает основы киберграмотности: распознавание фишинга, создание надежных паролей, безопасное пользование корпоративной почтой и пр. А для ИТ-специалистов или сотрудников, работающих с конфиденциальными данными, следует добавить более продвинутые темы: физическая безопасность данных, безопасность промышленных систем или мобильных устройств. Главное — не перегружать сотрудников. 

Обучение должно быть полезным и релевантным тому, чем занимается сотрудник, предлагать по итогу обучения практические советы и рекомендации, но не отнимать слишком много времени. Иначе есть риск, что сотрудники будут проходить курсы "для галочки", а не для реального применения знаний.

 

Рисунок 2. Распределение курсов по группам сотрудников

Распределение курсов по группам сотрудников

 

Рисунок 3. Варианты курсов ASAP на выбор

Варианты курсов ASAP на выбор

 

Как доказать пользу обучения?

Зачастую для обоснования бюджета на средства защиты необходимо предоставить обоснование необходимости инструмента и карту рисков, которые это решение закрывает. Для традиционных средств защиты всё достаточно просто: например, DLP-система имеет прозрачные инструменты для предотвращения утечек данных, а межсетевой экран блокирует нежелательные запросы в сети. В случае с киберграмотностью всё не так очевидно. 

С точки зрения бизнеса сложно оценить пользу от “простого” повышения уровня знаний сотрудников в области ИБ. Поэтому один из самых сложных вопросов — как доказать руководству, что обучение сотрудников действительно нужно. Для обоснования хорошо работают симуляции фишинговых атак до начала обучения. В процессе можно отследить, какой процент сотрудников попадается на фишинге, оценить ущерб для бизнеса, если хотя бы одна из атак была бы реальной. Сумма ущерба и устранение последствий, включая репутационные потери, — всё вместе значительно превышает стоимость обучения.

Первый способ — отслеживать изменения в поведении сотрудников. Например, с помощью DLP-системы можно увидеть, насколько реже сотрудники стали выгружать данные на личную почту или использовать съёмные носители. Обученные сотрудники, как правило, более осторожны и реже допускают ошибки, которые могут привести к утечке данных. Пользователь, даже с базовыми знаниями ИБ, уже умеет безопасно работать с информацией. Самый яркий пример — выгрузка рабочих документов на личную почту, чтобы продолжить с ними работу удалённо или просто дома. Это поведение нельзя назвать злым умыслом, но оно явно небезопасно, и обученные пользователи не позволяют себе такого.

Второй способ — оценить, как обучение влияет на количество инцидентов. Например, если после курса по фишингу сотрудники стали реже переходить по подозрительным ссылкам, это уже результат. И чем больше компания, тем заметнее будет эффект. На больших числах даже небольшое снижение количества инцидентов может сэкономить компании значительные суммы. И не забываем про личную жизнь сотрудников. Знания, которые они получают на курсах, они применяют и дома. А это значит, что они меньше рискуют стать жертвами киберпреступников, что, в свою очередь, снижает риски и для компании. Ведь взлом личного аккаунта сотрудника может стать началом атаки на корпоративную сеть. Типичный пример подобной атаки — подбор корпоративного пароля с помощью слитых личных паролей от почты.

Как убедиться, что сотрудники усвоили материал?

А теперь самое интересное: как убедиться, что сотрудники действительно усвоили материал? Здесь и проявляется ключевое отличие систем класса security awareness от классических LMS (систем управления обучением) или стандартных тренингов по ИБ. В отличие от методов, основанных на теоретической проверке, платформы security awareness предлагают встроенные инструменты для оценки результатов через учебный целевой фишинг. 

Такие симуляции имитируют реальные киберугрозы, позволяя проверить, как сотрудники применяют знания на практике, например, распознают ли подозрительные письма, следуют ли инструкциям. Это даёт объективную картину их готовности к реальным атакам, а не просто фиксирует запоминание информации.

Помимо практической направленности, многие awareness платформы развиваются с точки зрения интеграции с другими техническими решениями по кибербезопасности, например, совместно с SIEM и антифишингом. Это позволяет отслеживать изменения в поведении пользователей и оперативно принимать меры – назначать определенные темы или дополнительные тренировки с помощью фишингового симулятора.

Не секрет, что наиболее простым вектором первоначального проникновения в сеть являются фишинговые письма. Во время бурного развития лингвистических моделей подготовка эффективных фишинговых писем практически ставится злоумышленниками на поток и сильно масштабируется. Платформы, такие как ASAP, содержат большое количество предустановленных шаблонов фишинговых сообщений, которые позволяют корректировать их и отправлять пользователям с разных фишинговых доменов, включая кастомные, контролировать действия пользователя по отношению к письму, например, переход по фишинговой ссылке. Такая проверка знаний позволяет быстро наработать навык и решить одну из самых распространённых проблем в ИБ. 

 

Рисунок 4. Обучающее фишинговое письмо из ASAP

Обучающее фишинговое письмо из ASAP

 

Рисунок 5. Страница после перехода по учебной фишинговой ссылке

Страница после перехода по учебной фишинговой ссылке

 

Некоторые организации идут дальше и весьма творчески используют возможности платформ, привлекая партнёров и интеграторов. Для того чтобы оценить реальный уровень знаний своих сотрудников, сделать атаки похожими на реальные и обратить внимание пользователя на проблему. Например, мы в своей практике нередко рассылаем письма порциями, чтобы не вызвать шум, и настраиваем проверки регулярно, но со случайными интервалами. В рамках пентеста, например, можно поставить задачу обхода антиспам фильтра для выявления его слабых мест.

Критерии выбора платформы

Банальные критерии, такие как состав курсов, рассматривать нужно, но достаточно затруднительно оценить их объективно. Без глубокой аналитики о составе курсов, простоте донесения информации, интерактивности, частоте обновления и актуальности темы составить рейтинг производителей очень сложно. Безусловно, многие интеграторы, и команда iTPROTECT тут не исключение (делаем это в обязательном порядке), тестируют и составляют независимое мнение по всем продуктам в портфеле. Кстати, по классу security awareness в нашем портфеле уже 4 платформы обучения основам киберграмотности.

Также существует множество технических моментов, которые влияют на выбор для компании. Сначала стоит подумать о том, где будут располагаться технические ресурсы. Существуют полностью облачные платформы — их преимущество заключается в том, что заказчику не требуется выделять вычислительные ресурсы для системы или интеграции платформы в инфраструктуру, что сильно экономит ресурсы. К недостаткам можно отнести тот факт, что пользователи работают во внешнем облаке, а так как в некоторых организациях политикой безопасности запрещено пользоваться облачными ресурсами, этот вариант подходит не для всех компаний. 

Однако для решения этого класса задач риск утечки не столь критичен, так как в платформе не содержится конфиденциальных данных — это просто обучающая система. Соответственно, второй тип — внутренние системы, которые интегрируются с внутренней инфраструктурой и работают локально, как и обычная бизнес-система. Например, Kaspersky ASAP относится к гибридному формату: может работать как из облака, так и внутри инфраструктуры. Как правило, выбор также определяет корпоративная политика безопасности компании.

Изменения платформы ASAP за последние годы

За последние несколько лет платформы для обучения сотрудников кибербезопасности значительно эволюционировали, став более гибкими, персонализированными и ориентированными на практику. В качестве примера, платформа Kaspersky Automated Security Awareness Platform (ASAP) регулярно обновляется, чтобы соответствовать новым вызовам в области ИБ. В платформу за последние два года были добавлены новые курсы и функции, которые сделали обучение ещё более эффективным. 

Одним из ключевых изменений стало внедрение курсов по искусственному интеллекту и нейросетям. С ростом популярности ИИ и его использования в кибератаках, ASAP добавил модули, которые объясняют, как мошенники используют ИИ для фишинга, социальной инженерии и других атак. Также сотрудники учатся безопасно использовать ИИ-инструменты в работе, чтобы не подвергать риску корпоративные данные.

Платформа также стала предлагать более реалистичные учебные фишинговые атаки с элементами ИИ. Это позволило создавать сценарии, которые сложнее отличить от реальных угроз, что помогает сотрудникам лучше распознавать современные методы атак. 

Регулярные обновления контента, добавление наиболее актуальных тем, таких как атаки на цепочку поставок или атаки на топ-менеджмент, совершенствование функционала платформы делают ASAP актуальным ИБ-инструментом.

Возможности кастомизации курсов и интеграция с LMS

Специализированные платформы по обучению обладают комплексными и сложными инструментами для выстраивания процесса, в том числе это касается и правок в курсах.

Например, в большинстве платформ класса security awareness вендоры сами предоставляют подготовленные материалы для курсов и не рекомендуют их менять. Однако это касается базовой комплектации. По индивидуальному запросу инструменты для редактирования всё же могут быть доступны. В частности, ASAP даже в базовой версии позволяет добавлять собственные слайды в произвольное место курса, например, референсы, кейсы и специфику компании. 

Администратор обучения может сделать информационный слайд с контактами местной службы безопасности и предложением в случае появления подозрительного письма сообщить об этом сотрудникам безопасности. Тем не менее важно понимать, что материалы курса подготовлены ИБ-специалистами вендора, имеющими огромный практический опыт в обнаружении и предотвращении угроз и профессионалами в области обучения. Поэтому они сделаны оптимально, и менять их не требуется в большинстве случаев. 

В случае, если у организации есть собственная LMS, и компании важно проводить все обучение в единой среде, то курсы по киберграмотности можно легко и удобно загрузить из ASAP в платформу обучения, либо наоборот, используя OpenAPI, передавать данные об обучении в LMS, чтобы у HR-департамента вся отчетность была в одном месте.

По запросу курсы предоставляются вендором в формате SCORM, который легко интегрируется в большинство LMS.

Обучение как инвестиция в безопасность

В современном мире, где киберугрозы становятся всё более изощрёнными и масштабными, грамотно выстроенный процесс обучения может значительно снизить риски кибератак, утечек данных и других инцидентов, которые могут привести к финансовым и репутационным потерям компании.

Использование специализированных платформ, таких как Kaspersky Automated Security Awareness Platform (ASAP), позволяет не только упростить процесс обучения, но и сделать его максимально эффективным. Такие платформы предлагают гибкость в настройке курсов, возможность интеграции с корпоративными системами и инструменты для оценки реальных навыков сотрудников, например, через учебные фишинговые атаки. Это помогает не только повысить уровень знаний, но и сформировать устойчивые навыки безопасного поведения в сети.

Возьмем реальный пример. В 2022 году команда iTPROTECT внедряла платформу Kaspersky Automated Security Awareness Platform (ASAP) для компании «ФосАгро», одного из мировых лидеров в производстве фосфорсодержащих удобрений. У заказчика в платформе используется более 150 обучающих модулей, охватывающих такие темы, как работа с корпоративной почтой, интернетом, социальными сетями и конфиденциальными данными. Кстати, здесь как раз мы реализовали интеграцию платформы обучения с внутренней системой обучения «ФосАгро» для формирования отчётов и управления обучения из единой системы.

Помимо стандартной цели в виде снижения рисков ИБ и формирование у более чем 8000 сотрудников навыков безопасного поведения в информационном пространстве, химический холдинг хотел также уменьшить нагрузку на ИТ-поддержку за счёт сокращения числа инцидентов. Сотрудники были разделены на 3 группы в зависимости от уровня доступа к информации: руководители, линейные сотрудники и ИТ-специалисты. Для каждой группы был подобран свой индивидуальный набор курсов, а для закрепления знаний были настроены учебные фишинговые атаки, имитирующие реальные рабочие процессы. И уже в первые месяцы внедрения число инцидентов, связанных с человеческим фактором, заметно снизилось. 

Выводы 

Подводя итоги, еще раз напомню, что большинство кибератак начинаются с человеческого фактора. Но если люди - главная уязвимость, они же являются и главным щитом любой организации. Всё, что для этого требуется в контексте противодействия угрозе - грамотное обучение. Обучение, которое становится не абстрактной теорией, а практическим инструментом, который напрямую влияет на безопасность компании. 

Сотрудники, прошедшие обучение, реже становятся жертвами фишинга, более осознанно подходят к работе с конфиденциальными данными и меньше допускают ошибок, которые могут привести к утечкам. Кроме того, такие знания полезны не только для работы, но и для личной жизни сотрудников, что делает обучение еще более ценным.

Поэтому инвестиции в обучение кибербезопасности — это вклад не только в защиту компании, но и в её долгосрочную устойчивость к внешним факторам. Если вы еще не задумывались о внедрении подобных решений, возможно, что сейчас то самое время.

Полезные ссылки: 
> Каким навыкам практической ИБ (Security Awareness) нужно обучать сотрудников?
> Обзор Kaspersky ASAP, платформы повышения осведомлённости сотрудников о кибербезопасности
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.