Security Awareness: как и зачем повышать киберграмотность сотрудников?

Security Awareness: как и зачем повышать киберграмотность сотрудников?

Security Awareness: как и зачем повышать киберграмотность сотрудников?

Security Awareness: в прямом эфире AM Live эксперты обсудили необходимость обучения работников российских компаний основам борьбы с угрозами. По мнению собравшихся, такие навыки позволят значительно снизить число киберинцидентов и повысить защищённость в целом.

 

 

 

 

 

 

  1. Введение
  2. ИБ-осведомлённость в российских компаниях
    1. 2.1. Что такое Security Awareness
    2. 2.2. Насколько компании включились в процесс?
    3. 2.3. Как изменилось регулирование Security Awareness?
  3. Почему нужно вкладываться в Security Awareness?
  4. Итоги эфира
  5. Выводы

Введение

Успешные предприниматели давно поняли, что сотрудники являются основной ценностью компании, но вместе с тем могут стать и основной проблемой в вопросах информационной безопасности (ИБ). О том, что такое повышение осведомлённости в области борьбы с угрозами (Security Awareness) и как повысить киберграмотность специалистов, говорилось в прямом эфире AM Live.

 

Рисунок 1. Эксперты в студии AM Live

Эксперты в студии AM Live

 

Спикеры прямого эфира:

  • Илья Одинцов, руководитель направления Security Awareness в МТС RED;
  • Мария Павленко, эксперт по вопросам кибербезопасности пользователей в «Лаборатории Касперского»;
  • Олег Игнатов, руководитель отдела взаимодействия с вузами в Positive Technologies;
  • Александр Соколов, руководитель направления Security Awareness в ГК «Солар»;
  • Александр Голубчиков, руководитель направления развития продуктов кибербезопасности в «МегаФон ПроБизнес».

Ведущий и модератор дискуссии — Алексей Гуревич, заместитель начальника управления в «СИБИНТЕК».

 

 

ИБ-осведомлённость в российских компаниях

Что такое Security Awareness

Мария Павленко:

— Информационная безопасность — это процесс, причём процесс непрерывный, постоянно развивающийся, модифицирующийся. Security Awareness не стал исключением: это процесс непрерывного повышения осведомлённости, улучшения и модификации навыков. И именно процесс — главная составляющая этого определения.

 

Мария Павленко, эксперт по вопросам кибербезопасности пользователей, «Лаборатория Касперского»

Мария Павленко, эксперт по вопросам кибербезопасности пользователей, «Лаборатория Касперского»

 

Александр Соколов:

— Security Awareness включает три подпункта: кибергигиена, киберграмотность и киберосведомлённость.

Олег Игнатов:

— Для нас Security Awareness — более широкое понятие. Это осведомлённость не только рядовых сотрудников, но и всей компании. Мы видим количество реальных кибератак через сотрудников компаний и поэтому проводим большую работу в этом направлении как со своими сотрудниками внутри, так и с сотрудниками заказчиков.

Александр Голубчиков:

— Основная цель осведомлённости — сформировать осознанность и некие привычки поведения для сотрудников. Нужно для каждой роли или риска в компании создать осознанность в вопросах информационной безопасности. Руководство должно понимать, что необходимо внедрять ИБ-процессы. Если в компании есть разработчики, им нужно знать, что код, который они создают, безопасен. В результате в зависимости от ролей сотрудники понимают, с какой информацией они работают и какую угрозу при воздействии на них потенциальных злоумышленников это может создать.

Согласно проведённому опросу зрителей AM Live, лишь 27 % из них информируют сотрудников об угрозах, организовывают краткие курсы. Ещё 24 % проводят периодическое обучение и тестирование сотрудников. 15 % отметили, что всё знают, но руки не дошли до реализации. В компаниях 14 % опрошенных выстроен непрерывный процесс обучения сотрудников. 20 % заявили, что ничего не слышали о Security Awareness до эфира.

 

Рисунок 2. Что вы знаете о Security Awareness?

Что вы знаете о Security Awareness?

 

Насколько компании включились в процесс?

Олег Игнатов:

— Бурный рост Security Awareness начался в пандемию коронавируса, потому что многие перешли на удалённую работу. Эта тенденция сейчас частично сохранилась. Если человек работает из дома, ему нужны более широкие права доступа, чем в защищённой офисной сети. В 2023 году заметен активный рост Security Awareness, компании стали уделять этому больше внимания.

 

Олег Игнатов, руководитель отдела взаимодействия с вузами в Positive Technologies

Олег Игнатов, руководитель отдела взаимодействия с вузами в Positive Technologies

 

Илья Одинцов:

— Всё это началось несколько раньше пандемии. Россия идёт впереди многих стран по уровню цифровизации как государственных услуг, так и банковского сектора. Всё это несёт за собой определённые риски хакерских атак.

Зрители эфира AM Live в опросе рассказали, что они делают в рамках процесса Security Awareness в своей компании. Самым частым ответом оказался «Проводим обучение своими силами», так заявили 40 % респондентов. Ещё 29 % информируют сотрудников об угрозах, 9 % проводят киберучения и «разбор полётов», а 2 % — обучение и проверку знаний силами внешнего подрядчика. 7 % опрошенных делают всё из вышеперечисленного, а 13 % — наоборот, ничего.

 

Рисунок 3. Что вы делаете в рамках процесса Security Awareness в своей компании?

Что вы делаете в рамках процесса Security Awareness в своей компании?

 

Как изменилось регулирование Security Awareness?

Мария Павленко:

— Жёстких требований к материалам по Security Awareness сейчас нет, есть только требование о повышении осведомлённости пользователей. Для тех, кто никогда не задавался таким вопросом, это стало поводом для раздумий, а те, кто и раньше задумывался о безопасности, отправились покупать ИБ-решения.

Александр Соколов:

— «Бумажная» защита уже не работает, нужна реальная. События прошлого года дали понять, что «бумажная» защита ничего не даёт, а реальные навыки способны защитить твою организацию.

Важным законом для Security Awareness эксперт считает 152-ФЗ «О персональных данных», который в скором времени может предусматривать оборотные штрафы за утечки. Александр Соколов выразил уверенность в том, что это заставит компании усилить уровень защищённости информации.

 

Александр Соколов, руководитель направления Security Awareness в ГК «Солар»

Александр Соколов, руководитель направления Security Awareness в ГК «Солар»

 

Олег Игнатов:

— Девять из десяти попыток взлома проводятся через человека. Это самое уязвимое, что есть в компаниях, и является главным риском, с которым должен бороться Security Awareness.

Мария Павленко добавила, что сотрудникам важно знать, к кому обращаться в случае возникновения киберинцидента, чтобы откровенно сообщить о возникшей проблеме. По словам Ильи Одинцова, иногда человеку бывает стыдно и страшно, поэтому он не сообщает о проблеме и ждёт её развития. В итоге злоумышленники проникают в сеть компании и наносят ущерб.

На вопрос о том, как зрители эфира измеряют эффективность обучения и уровень знаний по кибербезопасности у сотрудников, 25 % ответили, что делают это с помощью специальных тестов. Ещё 27 % используют контрольные фишинговые рассылки, 13 % делают выводы по количеству инцидентов и обращений в службу ИБ, 6 % выясняют положение дел в ходе плановых киберучений. Для 29 % респондентов измерения и оценки — нечто чуждое.

 

Рисунок 4. Как вы измеряете эффективность обучения и уровень знаний по кибербезопасности у сотрудников?

Как вы измеряете эффективность обучения и уровень знаний по кибербезопасности у сотрудников?

 

Почему нужно вкладываться в Security Awareness?

Илья Одинцов:

— Мы вкладываем огромные средства в периметровые средства защиты, в сопутствующие средства информационной безопасности, но при этом инциденты сохраняются. Инвестировать в Security Awareness очень важно, это не так затратно, как вкладываться во всю систему, но даёт отличный эффект.

 

Илья Одинцов, руководитель направления Security Awareness в МТС RED

Илья Одинцов, руководитель направления Security Awareness в МТС RED

 

Мария Павленко отметила, что более 80 % пользователей замечают улучшение поведения относительно событий связанных с безопасностью. Если работодатель будет стимулировать своих сотрудников, этот показатель продолжит расти.

Александр Голубчиков:

— Расходы на одного сотрудника по Security Awareness в месяц сопоставимы со стоимостью кружки кофе. Кроме того, эти платформы снимают нагрузку с ИБ-департамента и HR, так как разработкой занимаются специалисты.

 

Александр Голубчиков, руководитель направления развития продуктов кибербезопасности в «МегаФон ПроБизнес»

Александр Голубчиков, руководитель направления развития продуктов кибербезопасности в «МегаФон ПроБизнес»

 

Согласно опросу AM Live о том, что не устраивает зрителей эфира в российских платформах и сервисах Security Awareness, 37 % указали на низкое качество обучающих материалов, 11 % — на ограниченное количество сценариев. По 6 % ответов пришлось на ограниченные возможности индивидуализации и высокую цену. 4 % всем довольны. Более трети зрителей (36 %) затруднились дать ответ.

 

Рисунок 5. Что вас не устраивает в российских платформах и сервисах Security Awareness?

Что вас не устраивает в российских платформах и сервисах Security Awareness?

 

«Большая тройка» операторов связи так или иначе приложила руку к Security Awareness, говорит Илья Одинцов. Это свидетельствует о том, что крупные игроки рынка заинтересованы в информационной безопасности.

По данным «Лаборатории Касперского», в данный момент на мировом рынке осведомлённости о кибербезопасности Россия занимает долю в 11 %. Примерно такой же показатель (11,3 %) зафиксирован в странах Латинской Америки. Более высокий уровень демонстрируют Северная Америка (15,1 %) и страны Азиатско-Тихоокеанского региона (16,8 %).

Итоги эфира

Финальный опрос зрителей AM Live показал, что 48 % участников эфира планируют попробовать новые инструменты. Ещё 24 % заинтересовались и готовы тестировать, 21 % — убедились, что используют лучшие практики. Кроме того, 4 % сказали, что это интересно, но пока избыточно для их компании, а 3 % — что участники эфира не смогли доказать необходимость Security Awareness.

 

Рисунок 6. Каково ваше мнение относительно Security Awareness после эфира?

Каково ваше мнение относительно Security Awareness после эфира?

 

Выводы

В перспективе рынок Security Awareness будет только расти с учётом изменения векторов хакерских атак, уверены эксперты. По их мнению, люди сами будут по мере входа в цифровой мир поддерживать развитие киберграмотности. Наиболее актуальным для рынка станет корпоративный сектор. Вместе с ростом осознанности сотрудников будут расти и ИБ-платформы. Одной из важных целей станет повышение стоимости атак для злоумышленника.

Тренд на кибербезопасность также задают крупные зарубежные ИТ-компании. Например, Google начала задумываться о том, чтобы очищать данные о пользователе по запросу.

Проект AM Live продолжает работу. На следующей неделе эксперты отрасли снова соберутся в студии и обсудят актуальные темы российского рынка информационной безопасности. Будьте в курсе трендов и важных событий. Для этого обязательно подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru