Security Awareness: в прямом эфире AM Live эксперты обсудили необходимость обучения работников российских компаний основам борьбы с угрозами. По мнению собравшихся, такие навыки позволят значительно снизить число киберинцидентов и повысить защищённость в целом.
- Введение
- ИБ-осведомлённость в российских компаниях
- Почему нужно вкладываться в Security Awareness?
- Итоги эфира
- Выводы
Введение
Успешные предприниматели давно поняли, что сотрудники являются основной ценностью компании, но вместе с тем могут стать и основной проблемой в вопросах информационной безопасности (ИБ). О том, что такое повышение осведомлённости в области борьбы с угрозами (Security Awareness) и как повысить киберграмотность специалистов, говорилось в прямом эфире AM Live.
Рисунок 1. Эксперты в студии AM Live
Спикеры прямого эфира:
- Илья Одинцов, руководитель направления Security Awareness в МТС RED;
- Мария Павленко, эксперт по вопросам кибербезопасности пользователей в «Лаборатории Касперского»;
- Олег Игнатов, руководитель отдела взаимодействия с вузами в Positive Technologies;
- Александр Соколов, руководитель направления Security Awareness в ГК «Солар»;
- Александр Голубчиков, руководитель направления развития продуктов кибербезопасности в «МегаФон ПроБизнес».
Ведущий и модератор дискуссии — Алексей Гуревич, заместитель начальника управления в «СИБИНТЕК».
ИБ-осведомлённость в российских компаниях
Что такое Security Awareness
Мария Павленко:
— Информационная безопасность — это процесс, причём процесс непрерывный, постоянно развивающийся, модифицирующийся. Security Awareness не стал исключением: это процесс непрерывного повышения осведомлённости, улучшения и модификации навыков. И именно процесс — главная составляющая этого определения.
Мария Павленко, эксперт по вопросам кибербезопасности пользователей, «Лаборатория Касперского»
Александр Соколов:
— Security Awareness включает три подпункта: кибергигиена, киберграмотность и киберосведомлённость.
Олег Игнатов:
— Для нас Security Awareness — более широкое понятие. Это осведомлённость не только рядовых сотрудников, но и всей компании. Мы видим количество реальных кибератак через сотрудников компаний и поэтому проводим большую работу в этом направлении как со своими сотрудниками внутри, так и с сотрудниками заказчиков.
Александр Голубчиков:
— Основная цель осведомлённости — сформировать осознанность и некие привычки поведения для сотрудников. Нужно для каждой роли или риска в компании создать осознанность в вопросах информационной безопасности. Руководство должно понимать, что необходимо внедрять ИБ-процессы. Если в компании есть разработчики, им нужно знать, что код, который они создают, безопасен. В результате в зависимости от ролей сотрудники понимают, с какой информацией они работают и какую угрозу при воздействии на них потенциальных злоумышленников это может создать.
Согласно проведённому опросу зрителей AM Live, лишь 27 % из них информируют сотрудников об угрозах, организовывают краткие курсы. Ещё 24 % проводят периодическое обучение и тестирование сотрудников. 15 % отметили, что всё знают, но руки не дошли до реализации. В компаниях 14 % опрошенных выстроен непрерывный процесс обучения сотрудников. 20 % заявили, что ничего не слышали о Security Awareness до эфира.
Рисунок 2. Что вы знаете о Security Awareness?
Насколько компании включились в процесс?
Олег Игнатов:
— Бурный рост Security Awareness начался в пандемию коронавируса, потому что многие перешли на удалённую работу. Эта тенденция сейчас частично сохранилась. Если человек работает из дома, ему нужны более широкие права доступа, чем в защищённой офисной сети. В 2023 году заметен активный рост Security Awareness, компании стали уделять этому больше внимания.
Олег Игнатов, руководитель отдела взаимодействия с вузами в Positive Technologies
Илья Одинцов:
— Всё это началось несколько раньше пандемии. Россия идёт впереди многих стран по уровню цифровизации как государственных услуг, так и банковского сектора. Всё это несёт за собой определённые риски хакерских атак.
Зрители эфира AM Live в опросе рассказали, что они делают в рамках процесса Security Awareness в своей компании. Самым частым ответом оказался «Проводим обучение своими силами», так заявили 40 % респондентов. Ещё 29 % информируют сотрудников об угрозах, 9 % проводят киберучения и «разбор полётов», а 2 % — обучение и проверку знаний силами внешнего подрядчика. 7 % опрошенных делают всё из вышеперечисленного, а 13 % — наоборот, ничего.
Рисунок 3. Что вы делаете в рамках процесса Security Awareness в своей компании?
Как изменилось регулирование Security Awareness?
Мария Павленко:
— Жёстких требований к материалам по Security Awareness сейчас нет, есть только требование о повышении осведомлённости пользователей. Для тех, кто никогда не задавался таким вопросом, это стало поводом для раздумий, а те, кто и раньше задумывался о безопасности, отправились покупать ИБ-решения.
Александр Соколов:
— «Бумажная» защита уже не работает, нужна реальная. События прошлого года дали понять, что «бумажная» защита ничего не даёт, а реальные навыки способны защитить твою организацию.
Важным законом для Security Awareness эксперт считает 152-ФЗ «О персональных данных», который в скором времени может предусматривать оборотные штрафы за утечки. Александр Соколов выразил уверенность в том, что это заставит компании усилить уровень защищённости информации.
Александр Соколов, руководитель направления Security Awareness в ГК «Солар»
Олег Игнатов:
— Девять из десяти попыток взлома проводятся через человека. Это самое уязвимое, что есть в компаниях, и является главным риском, с которым должен бороться Security Awareness.
Мария Павленко добавила, что сотрудникам важно знать, к кому обращаться в случае возникновения киберинцидента, чтобы откровенно сообщить о возникшей проблеме. По словам Ильи Одинцова, иногда человеку бывает стыдно и страшно, поэтому он не сообщает о проблеме и ждёт её развития. В итоге злоумышленники проникают в сеть компании и наносят ущерб.
На вопрос о том, как зрители эфира измеряют эффективность обучения и уровень знаний по кибербезопасности у сотрудников, 25 % ответили, что делают это с помощью специальных тестов. Ещё 27 % используют контрольные фишинговые рассылки, 13 % делают выводы по количеству инцидентов и обращений в службу ИБ, 6 % выясняют положение дел в ходе плановых киберучений. Для 29 % респондентов измерения и оценки — нечто чуждое.
Рисунок 4. Как вы измеряете эффективность обучения и уровень знаний по кибербезопасности у сотрудников?
Почему нужно вкладываться в Security Awareness?
Илья Одинцов:
— Мы вкладываем огромные средства в периметровые средства защиты, в сопутствующие средства информационной безопасности, но при этом инциденты сохраняются. Инвестировать в Security Awareness очень важно, это не так затратно, как вкладываться во всю систему, но даёт отличный эффект.
Илья Одинцов, руководитель направления Security Awareness в МТС RED
Мария Павленко отметила, что более 80 % пользователей замечают улучшение поведения относительно событий связанных с безопасностью. Если работодатель будет стимулировать своих сотрудников, этот показатель продолжит расти.
Александр Голубчиков:
— Расходы на одного сотрудника по Security Awareness в месяц сопоставимы со стоимостью кружки кофе. Кроме того, эти платформы снимают нагрузку с ИБ-департамента и HR, так как разработкой занимаются специалисты.
Александр Голубчиков, руководитель направления развития продуктов кибербезопасности в «МегаФон ПроБизнес»
Согласно опросу AM Live о том, что не устраивает зрителей эфира в российских платформах и сервисах Security Awareness, 37 % указали на низкое качество обучающих материалов, 11 % — на ограниченное количество сценариев. По 6 % ответов пришлось на ограниченные возможности индивидуализации и высокую цену. 4 % всем довольны. Более трети зрителей (36 %) затруднились дать ответ.
Рисунок 5. Что вас не устраивает в российских платформах и сервисах Security Awareness?
«Большая тройка» операторов связи так или иначе приложила руку к Security Awareness, говорит Илья Одинцов. Это свидетельствует о том, что крупные игроки рынка заинтересованы в информационной безопасности.
По данным «Лаборатории Касперского», в данный момент на мировом рынке осведомлённости о кибербезопасности Россия занимает долю в 11 %. Примерно такой же показатель (11,3 %) зафиксирован в странах Латинской Америки. Более высокий уровень демонстрируют Северная Америка (15,1 %) и страны Азиатско-Тихоокеанского региона (16,8 %).
Итоги эфира
Финальный опрос зрителей AM Live показал, что 48 % участников эфира планируют попробовать новые инструменты. Ещё 24 % заинтересовались и готовы тестировать, 21 % — убедились, что используют лучшие практики. Кроме того, 4 % сказали, что это интересно, но пока избыточно для их компании, а 3 % — что участники эфира не смогли доказать необходимость Security Awareness.
Рисунок 6. Каково ваше мнение относительно Security Awareness после эфира?
Выводы
В перспективе рынок Security Awareness будет только расти с учётом изменения векторов хакерских атак, уверены эксперты. По их мнению, люди сами будут по мере входа в цифровой мир поддерживать развитие киберграмотности. Наиболее актуальным для рынка станет корпоративный сектор. Вместе с ростом осознанности сотрудников будут расти и ИБ-платформы. Одной из важных целей станет повышение стоимости атак для злоумышленника.
Тренд на кибербезопасность также задают крупные зарубежные ИТ-компании. Например, Google начала задумываться о том, чтобы очищать данные о пользователе по запросу.
Проект AM Live продолжает работу. На следующей неделе эксперты отрасли снова соберутся в студии и обсудят актуальные темы российского рынка информационной безопасности. Будьте в курсе трендов и важных событий. Для этого обязательно подпишитесь на наш YouTube-канал. До новых встреч!
