Кибербезопасность компании во многом зависит от уровня знаний и осведомлённости сотрудников. Важно понимать, каким практическим навыкам в области борьбы с угрозами следует обучать персонал и как организовать этот процесс, чтобы он был наиболее эффективным. Какие российские платформы и сервисы Security Awareness есть на рынке?
- Введение
- Культура Security Awareness в России
- Методы и инструменты Security Awareness
- Прогнозы экспертов по развитию рынка Security Awareness
- Выводы
Введение
Повышение осведомлённости пользователей в области информационной безопасности — важный аспект защиты организаций от киберугроз. Процесс обучения сотрудников основам ИБ охватывает распознавание фишинговых атак, безопасное использование паролей, защиту конфиденциальной информации и соблюдение политик безопасности.
Эффективная программа повышения осведомлённости помогает создать культуру безопасности внутри организации, уменьшая вероятность инцидентов связанных с человеческим фактором. Ключевыми компонентами программ повышения осведомлённости являются регулярные тренинги, симуляции атак и информирование о текущих угрозах. Использование различных форматов обучения, таких как интерактивные модули, вебинары и практические занятия, способствует лучшему усвоению материала.
Кроме того, важно интегрировать осведомлённость о безопасности в повседневные рабочие процессы и практики. Это включает в себя внедрение политик безопасного поведения, регулярные извещения о новых угрозах и поощрение сотрудников к активному участию в процессе обеспечения безопасности. В условиях постоянно изменяющегося ландшафта киберугроз осведомлённость пользователей становится ключевым элементом стратегии защиты информационных активов. Инвестирование в программы повышения осведомлённости не только снижает риски инцидентов, но и способствует повышению общей устойчивости организации к киберугрозам.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами, «Бастион».
- Елисей Вишнёв, эксперт по решениям инфраструктурной безопасности, «Лаборатория Касперского».
- Анастасия Федоренко, руководитель направления автоматизации ИБ, УЦСБ.
- Илья Одинцов, руководитель направления Security Awareness, МТС RED.
- Харитон Никишкин, директор платформы Security Awareness, ГК «Солар».
- Павел Покровский, директор по управлению сервисами, Angara Security.
- Максим Анненков, эксперт по ИБ, Security Vision.
Ведущий и модератор дискуссии — Артём Калашников, управляющий директор центра информационной безопасности дочерних и зависимых обществ «Газпромбанка».
Культура Security Awareness в России
Развитие культуры Security Awareness способствует повышению общей безопасности информации и снижению количества уязвимостей. Помимо глобальной специфики оно имеет и национальные особенности.
Методы социальной инженерии
Методы воздействия злоумышленников на пользователей стали более изощрёнными и продуманными, отмечает Анастасия Федоренко.
Анастасия Федоренко, руководитель направления автоматизации ИБ, УЦСБ
Нарушители стараются разместить вредоносную программу таким образом, чтобы она дольше оставалась незамеченной. Основным приёмом социальной инженерии всё так же остаётся фишинг. Наибольшую популярность в последнее время набирает распространение с помощью фишинга вредоносных программ, которые позволяют удалённо управлять ресурсами компании-жертвы.
Подобная атака при успешной реализации позволяет похищать конфиденциальные данные, а также может служить механизмом доставки других нежелательных сущностей, таких как трояны, шифровальщики, шпионские программы. Не теряют актуальности и другие виды фишинга: смишинг (с помощью СМС и других мессенджеров), вишинг, позволяющий получать информацию через телефонные звонки, а также целевой фишинг, когда выбирается определённый объект, о котором собираются данные. Навыки психологических манипуляций у злоумышленников постоянно совершенствуются и развиваются.
Самым массовым атакам подвергаются маркетплейсы, добавил Харитон Никишкин. Это связано с тем, что такие площадки активно развивают встроенные финансовые сервисы, что позволяет получить доступ не только к аккаунту пользователя, но и к его денежным средствам. Вторая по популярности разновидность атаки — это Business Email Compromise, рассылка недостоверной информации от имени доверенных лиц, которая позволяет нарушителям получать нужные сведения.
Всё больше используются передовые методики обхода технических средств защиты, отмечает Елисей Вишнёв. В таких случаях пользователь остаётся один на один со злоумышленником и может не отличить легитимную информацию от подставной.
Елисей Вишнёв, эксперт по решениям инфраструктурной безопасности, «Лаборатория Касперского»
Фишинг является наиболее эффективным способом кражи данных и другой информации, напомнил Дмитрий Калинин. Иногда у получателей всё же появляются сомнения, и тогда на первый план выходит вишинг. Воздействие через голос зачастую приносит практически стопроцентный результат.
Культура осведомлённости и киберграмотности в российских компаниях
Культура осведомлённости в российских компаниях, по мнению Павла Покровского, развита слабо. Пользователи, которые не погружены в информационные технологии, туманно представляют себе область кибербезопасности. Согласно статистике, хорошо спланированная атака приводит к тому, что 60 % пользователей переходят по ссылке из письма, а 30 % ещё и вводят свои данные в предложенную форму.
Рисунок 2. Какая угроза, связанная с навыками рядовых сотрудников, является для вас наиболее значимой?
Результаты опроса показали, что наибольшее беспокойство вызывает угроза фишинга, о которой упомянули 54 % респондентов. На втором месте по значимости оказались шифровальщики, которые были отмечены 19 % участников опроса. Утечки конфиденциальных данных вызывают серьёзные опасения у 16 % респондентов.
Результаты опроса подчёркивают необходимость акцентировать внимание на фишинге и шифровальщиках в рамках программ повышения осведомлённости о безопасности.
Обучение сотрудников может значительно сократить периметр атаки, добавил Илья Одинцов. Такая мера со стороны руководства позволит улучшить показатели безопасности.
Илья Одинцов, руководитель направления Security Awareness, МТС RED
Решение класса Security Awareness предоставляет удобные количественные метрики, которые позволяют на протяжении периода отслеживать влияние человеческого фактора на периметр информационной безопасности, отметил Харитон Никишкин.
Харитон Никишкин, директор платформы Security Awareness, ГК «Солар»
Начать лучше всего с количественных характеристик, легко поддающихся измерению и анализу. Однако не стоит забывать и о коммуникации, обратной связи с пользователями, прошедшими обучение. Это необходимо для построения эффективных и качественных программ обучения сотрудников.
Ведущий поинтересовался у спикеров, как часто нужно обучаться, чтобы риск вовлечения в инциденты снижался. Павел Покровский ответил, что тренинги необходимо проводить хотя бы один раз в квартал, чтобы поддерживать необходимый уровень осведомлённости.
Павел Покровский, директор по управлению сервисами, Angara Security
Киберосознанность, по мнению эксперта Анастасии Федоренко, также является важным фактором, поскольку помогает сотрудникам понять, что они ответственны за свои действия, и позволяет значительно снизить риски. Измерить её сложно, но она необходима и может быть достигнута постоянным качественным обучением.
Показателями хорошей работы Security Awareness, добавил Илья Одинцов, являются удачно пройденный аудит, независимый сторонний пентест (в т. ч. социотехнический), метрики из SIEM или SOC.
По мере появления новых атак закономерно меняются и методы борьбы с ними, отмечает Елисей Вишнёв. Необходимо постоянно совершенствовать инструменты таким образом, чтобы повышение осведомлённости сводило ущерб от инцидентов к минимуму. Важно модифицировать как материал, по которому осуществляется обучение, так и методологию.
Обучение и повышение мотивации сотрудников
Сотрудник будет заинтересован в обучении только в том случае, когда материал будет перекликаться со спецификой компании, подчеркнул Максим Анненков. Примеры должны быть близкими и понятными сотруднику, опираться на особенности той сферы, в которой он работает.
Повышение осведомлённости должно быть постоянным процессом, причём важно, чтобы сотрудники не только регулярно проходили обучение, но и непрерывно получали различные полезные информационные рассылки, новости об актуальных угрозах и атаках. Можно использовать, например, различные скринсейверы с необходимой информацией.
Максим Анненков, эксперт по ИБ, Security Vision
Дмитрий Калинин отметил, что наиболее эффективный способ — это не заставлять сотрудника обучаться, а ввести стимулирующую систему, которая за успешное освоение программы будет предлагать бонусы. Так, например, специалист, проходя обучение, может накапливать баллы, которые будет вправе обменять на бесплатные обеды или другие подарки. Кроме того, в коллективе появится стремление стать лучше и пройти больше курсов, чем другие.
Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами, «Бастион»
Формальный фактор также должен применяться, но в меньшей степени, считает Павел Покровский. Локальные нормативные акты, дополнительные соглашения к трудовому договору позволят снизить недовольство сотрудников, основанное на нежелании обучаться. Повысить мотивацию в коллективе поможет открытость руководства компании и специалистов по информационной безопасности к любым вопросам пользователей.
Примеры должны быть практическими, добавил Елисей Вишнёв. Сотрудники лучше запоминают и, соответственно, чаще используют те практики, которые попробовали сами. Например, лучше один раз дать обучаемому перейти по фишинговой ссылке и увидеть последствия, чем несколько раз повторить, что этого не стоит делать.
Также у всех специалистов компании полезно развивать навык взаимодействия с отделом по информационной безопасности, чтобы при возникновении нарушения можно было оперативно отреагировать. Целесообразно устраивать бизнес-игры, формирующие чёткое представление о том, что прибыль компании напрямую зависит от информационной безопасности.
На российском рынке в настоящий момент мало предложений, которые реализовывают обучение для разработчиков с реальной практикой, добавил Павел Покровский.
Харитон Никишкин напомнил, что по международным стандартам коллектив любой организации делится на четыре группы, которые нужно обучать по-разному: топ-менеджеры, специалисты в области информационных технологий, специалисты по информационной безопасности и все остальные.
Необходимо составить поэтапный план обучения каждой группы, определить, каким образом выстроить процесс, чтобы он приносил наилучшие результаты. Например, менеджеров лучше обучать на лекционных занятиях и делать при этом акцент на тематике прибыли, а специалистов по информационной безопасности эффективнее собрать на киберполигоне и проще заинтересовать практикой по безопасной разработке.
Методы и инструменты Security Awareness
Повышение осведомлённости — это обучающие программы, симуляции фишинга и других атак, периодические проверки безопасности. Компании должны проводить регулярные аудиты, чтобы выявлять уязвимости и исправлять их до того, как ими воспользуются злоумышленники. Методы и инструменты Security Awareness помогают обучить сотрудников лучшим практикам безопасности информации и защитить организацию от потенциальных угроз.
Возможности российских платформ и сервисов Security Awareness
Платформа Security Awareness обязательно должна включать в себя такие базовые компоненты, как модуль обучения, имитатор фишинговых атак, механизм тестирования пользователей, средство анализа полученных данных для выявления наиболее уязвимых мест.
В качестве дополнительных компонентов могут выступать модуль индивидуализации, позволяющий заказчику загрузить свой обучающий контент или подстроить его под потребности компании, а также модуль мобильности, который даст пользователю возможность удобно встроить в свой день процесс повышения киберосознанности благодаря специальному приложению для смартфона.
Рисунок 3. Какова основная причина, по которой ваша компания не пользуется платформами Security Awareness?
В ходе второго опроса участники поделились мнением о причинах, по которым их компания не пользуется платформами для повышения осведомлённости о безопасности. Наиболее распространённой причиной, указанной 38 % респондентов, стал недостаток бюджета. Почти столько же участников опроса (36 %) сообщили, что их компания пока только присматривается к доступным на рынке решениям.
Лишь 5 % респондентов пожаловались на отсутствие подходящих решений для своих задач. Это свидетельствует о том, что рынок может предложить варианты для самых различных потребностей.
Заказчики зачастую ошибочно полагают, что обучение сотрудников не требуется, так как внешний сетевой периметр защищён, отметил Дмитрий Калинин. Однако различные средства защиты информации не исключают полностью возможность возникновения инцидента, поэтому сотрудники обязательно должны уметь правильно реагировать на подозрительные события.
Ведущий попросил каждого из экспертов рассказать об особенностях работы своей родной организации и о предлагаемых ею возможностях.
Артём Калашников, ведущий и модератор дискуссии — управляющий директор центра информационной безопасности дочерних и зависимых обществ «Газпромбанка»
Павел Покровский рассказал, что Angara Security предлагает заказчикам проводить пилотные проекты, чтобы у клиентов была возможность оценить платформу. Компания гибко реагирует на запросы относительно индивидуализации, доработки контента и фирменных сценариев.
Илья Одинцов акцентировал внимание на том, что МТС RED поддерживает интеграцию с различными сервисами, предлагает индивидуализацию курсов и дополнительную разработку.
Анастасия Федоренко рассказала, что компания УЦСБ может внедрить практически любую платформу Security Awareness. Преимущество интегратора заключается в возможности настроить по желанию заказчика смежные средства защиты.
Харитон Никишкин отметил, что ГК «Солар» может предоставлять заказчикам не только сервис, но и платформу, локальное развёртывание и другие форматы, что удобно и позволяет гибко подстраиваться под потребности компании-клиента.
Дмитрий Калинин подчеркнул, что гордость компании «Бастион» — это не только многообразие различных модулей, но и широкие возможности индивидуализации. Пользователи могут загружать курсы в различных форматах, вносить корректировки и видоизменять контент на своё усмотрение.
Елисей Вишнёв рассказал, что у «Лаборатории Касперского» есть несколько отдельных решений, которые направлены на разные группы пользователей, имеются разные модули, возможна индивидуализация. Добавление пользователей и отслеживание их прогресса автоматизированы.
Максим Анненков отметил, что компания Security Vision позволяет интегрировать любую из имеющихся платформ Security Awareness, LMS-систему или собственные курсы организации для того, чтобы добиться автоматизации таких процессов, как переоценка рисков по результатам прохождения курсов, оценка эффективности обучающих программ, подведение итогов расследования инцидентов.
Развитие киберкультуры в организациях
Возможно ли оценить повышение киберкультуры и как это сделать? Харитон Никишкин считает, что этот аспект отражает показатель уровня риска, который должен отслеживаться по каждому пользователю. Такая мера позволит выявить группу риска и наблюдать за динамикой прогресса. В долгосрочной перспективе оценка кибербезопасности поможет адаптировать обучающий материал и повысить киберкультуру организации в целом.
Необходимо также уделять внимание оценке количества инцидентов, чтобы исключить повторение нежелательных ситуаций, добавил Павел Покровский.
Качество обучающего контента трудно оценить, так как оно зависит от уровня киберграмотности в разных компаниях, отметил Илья Одинцов. Актуальность информации меняется со временем, важно регулярно обновлять её. Социотехнический пентест раз в полгода или год поможет оценить качество учебных материалов.
Заказчику целесообразно проверить качество контента на практике во время реализации пилотного проекта, добавила Анастасия Федоренко. Важно, чтобы контент был понятен и доходчив, а не только красиво оформлен.
Харитон Никишкин отметил, что существуют международные стандарты, но они не всегда применимы в России. Каждый ищет свои подходы к обучению, что требует актуализации стандартов.
Рисунок 4. Что вас не устраивает в российских платформах и сервисах Security Awareness?
В 2024 году по сравнению с 2023-м значительно снизилась (с 37 до 18 %) доля респондентов, которые пожаловались на низкое качество обучающих материалов. В то же время стало больше тех, кому не нравятся ограниченные возможности индивидуализации. Это может указывать на растущие ожидания пользователей в отношении адаптации решений под конкретные нужды компаний. Что касается ограниченного количества сценариев, то в 2024 году этот аспект беспокоит лишь 6 % респондентов, в то время как в 2023 году их доля составляла 11 %. Это может говорить о том, что предложения на рынке стали более разнообразными. Заметно увеличилась и доля тех, кого всё устраивает.
Высокая цена на платформы и сервисы Security Awareness стала проблемой для 10 % участников опроса. В 2023 году этот показатель был почти вдвое ниже — всего 6 %.
Отметим, что более трети опрошенных и сейчас, и год назад затруднились ответить на вопрос о недостатках платформ повышения осведомлённости.
Для обеспечения информационной безопасности, как подчеркнул Елисей Вишнёв, необходима интеграция платформы Security Awareness с другими системами безопасности. Также важно автоматически назначать обучение на основе данных из службы каталогов и контроллера домена.
Прогнозы экспертов по развитию рынка Security Awareness
Эксперты отмечают следующие основные тенденции по развитию рынка Security Awareness в России.
Харитон Никишкин прогнозирует развитие смишинга и фишинга. Популярность вишинга будет, по его мнению, постепенно снижаться. В дальнейшем также необходимо вести активную борьбу с дипфейками путём повышения киберграмотности, поскольку технической защиты от этого вида атак пока не существует.
Анастасия Федоренко отмечает, что будущее за новыми должностями, такими как менеджер по Security Awareness. Специалисты этого класса будут работать с платформами и персоналом, анализировать поведение злоумышленников, выявляя новые психологические уловки. Автоматизация будет дополняться человеческим фактором для построения наиболее эффективного обучения.
Елисей Вишнёв указал на важность отслеживания отчётов компаний, а также прогнозов для разработки актуальных курсов и методологий. Вероятно, основными рисками станут криптовалюты и вредоносные программы, поэтому необходимо разрабатывать курсы обучения с учётом этих факторов. Важность постоянного повторения материала и последующего формирования полезных привычек подтверждают как повседневный опыт, так и научные исследования.
Максим Анненков добавил, что в будущем понадобится активнее собирать обратную связь от обучающихся сотрудников и повышать их культуру кибербезопасности.
Илья Одинцов отметил, что необходимо нанимать на работу редакторов и журналистов. Такие специалисты более качественно донесут информацию до сотрудников, а также помогут пересмотреть и повысить качество обучающего контента. Искусственный интеллект может использоваться для формирования курсов на основе данных из внутренних и внешних источников.
Рисунок 5. Каково ваше мнение относительно Security Awareness после эфира?
После просмотра эфира 38 % респондентов выразили высокий уровень доверия к собственным практикам обеспечения ИБ. 24 % опрошенных заинтересовались и готовы тестировать Security Awareness у себя в компании. 19 % настроились на эксперименты и хотят попробовать новые инструменты. 14 % находят тему интересной, но избыточной для своих нынешних потребностей.
Отметим: никто из респондентов не заявил, что участники эфира не смогли доказать необходимость Security Awareness.
Выводы
Развивать Security Awareness в России необходимо. Это связано с потребностью компаний повышать осведомлённость о киберугрозах как среди сотрудников, так и в обществе в целом. Учитывая рост числа инцидентов связанных с социальной инженерией, таких как фишинг, организации должны осознавать важность обучения и информирования людей. Методы социальной инженерии становятся всё более изощрёнными, что делает регулярное обучение критически важным для минимизации рисков.
В последние годы наблюдается положительная динамика в развитии киберграмотности в российских компаниях. Многие организации начали понимать, что обучение сотрудников не только снижает вероятность инцидентов, но и способствует созданию более безопасной рабочей среды. Тем не менее уровень киберграмотности всё ещё недостаточен, что требует приложения больших усилий в этой области.
Российские платформы и сервисы предлагают разнообразные инструменты для повышения осведомлённости о киберугрозах. Интерактивные тренинги, симуляции фишинга и регулярные тестирования на знание основ кибербезопасности становятся важными компонентами обучения. Эффективное использование этих ресурсов может значительно повысить уровень осведомлённости сотрудников и снизить вероятность инцидентов.
Прогнозы экспертов указывают на дальнейший рост рынка Security Awareness, с акцентом на инновационных технологиях. Ожидается, что компании будут инвестировать в более совершенные решения для автоматизации процессов обучения и повышения уровня безопасности.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!