Российские компании столкнулись с беспрецедентной активностью киберпреступников. Фишинг на этом фоне несёт ещё больше рисков. В связи с этим необходимо повышать киберграмотность людей, рассказывать об угрозах и показывать, как им противостоять. Поговорим о том, как выстроить этот процесс, чтобы он был максимально эффективным.
- Введение
- Повышаем киберграмотность персонала: ключевые задачи и подходы к их решению
- Как устроен процесс обучения
- Каковы результаты — на примере реального кейса
- За счёт чего достигаем успеха?
- Security Awareness своими силами: в чём вызовы для клиента
- Выводы
Введение
Как кибермошенники нас обманывают? Фишинг подстерегает нас повсюду. Чтобы добраться до персональных данных, платёжной информации и корпоративных секретов, злоумышленники идут на самые разные уловки. Они присылают на электронную почту супервыгодные предложения, подделывают сайты и платёжные страницы, распространяют под видом полезных документов вредоносные скрипты, получая доступ к компьютеру пользователя. По данным центра противодействия кибератакам Solar JSOC компании «РТК-Солар», в 2022 году почти 40 % атак было реализовано с помощью вредоносных программ, большая часть которых доставлялась на компьютер жертвы именно с помощью фишинговой рассылки на корпоративную почту человека.
Хакеру нужно, чтобы сотрудник перешёл по ссылке из письма на фишинговый сайт, ввёл там данные своей учётной записи или другую конфиденциальную информацию, открыл и загрузил на свой компьютер вредоносное вложение — файл, содержащий в себе вирус или другие вредоносные программы. Существуют и целевые рассылки: в этом случае фишинговое письмо и инструменты «похищения» выглядят более правдоподобно. Злоумышленники могут выдавать себя за контрагентов, сотрудников отдела кадров или ИТ-службы. Цель — та же: заразить компьютер жертвы или получить обманом конфиденциальные данные сотрудника.
Кроме почтовых рассылок хакеры могут использовать и другие способы. При возможности физического доступа в офис это, например, разбрасывание там флешек в надежде на то, что кто-то из любопытных сотрудников вставит носитель информации в свой компьютер. На флешке может быть злонамеренный софт различного действия — от шифровальщика до программы, которая выведет ПК из строя. Также был реальный кейс, где в одном из офисов на стенах появились листовки с объявлением о раздаче остатков брендированной продукции со склада. Чтобы попасть в списки счастливчиков, требовалось отсканировать QR-код, перейти на страницу с анкетой и ввести контактные данные. В итоге оказалось, что это была работа ИБ-службы компании, которая хотела продемонстрировать руководству, как легко злоумышленники могут собрать интересующие их данные для проведения адресных фишинговых рассылок. Но и настоящие мошенники, проникшие в офис, вполне могут действовать так же.
Повышаем киберграмотность персонала: ключевые задачи и подходы к их решению
Сегодня перед организациями стоит целый ряд актуальных задач в области повышения осведомлённости о кибербезопасности:
- обеспечить безопасную удалённую работу сотрудников — да, мы, кажется, начали забывать про пандемию, но гибридный режим работы стал привычным явлением и отказываться от него многие не хотят;
- обеспечить безопасную работу с конфиденциальными данными — сегодня мы часто видим новости о случившихся утечках информации, их предотвращение во многом зависит от действий самих сотрудников;
- внедрить и поддерживать корпоративную культуру в части кибергигиены — без этого не получится решить первые две задачи;
- измерять уровень осведомлённости сотрудников об актуальных киберугрозах — компаниям нужно знать, насколько они уязвимы, чтобы вовремя принять меры;
- помимо закрытия уязвимостей в ПО закрыть «уязвимости» сотрудников, сделать кибербезопасность делом каждого.
Подходы к обучению сотрудников и инструменты, которые для этого применяются, могут быть разными. Мы провели открытый опрос по используемым способам обучения и проанализировали эффективность наиболее популярных из них.
Рисунок 1. Результат опроса по используемым способам обучения
Самые простые в реализации способы обучения вряд ли решат описанные выше задачи в полной и достаточной мере (да и к тому же они сопряжены с рядом сложностей и проблем в реализации).
На буклеты и памятки надежды совсем мало: возможно, люди просто проигнорируют их, да и получить обратную связь не удастся.
Наставничество точно не подойдёт крупным компаниям: вы просто не найдёте столько людей с нужными компетенциями, чтобы обучить тех, у кого навыков кибербезопасности пока нет.
Наиболее эффективным и современным вариантом из представленных могли бы стать электронные курсы с геймификацией и диалоговыми тренажёрами — если бы не одно значительное «но»: отсутствие в них практики и контакта с киберугрозой, за счёт которых и вырабатывается устойчивый навык противодействия фишингу.
Обычно в компаниях есть кадровый департамент и какая-либо СДО (система дистанционного обучения). Но всё же необходимых задач они не решают: для проведения киберучений СДО не предназначены, у кадровиков нет экспертизы в этом вопросе. Да и вообще тематика курсов по ИБ требует определённой технической подготовки и понимания процесса, приведения обучения в соответствие с регламентами, краткого и понятного изложения этих самых регламентов.
Из-за этого ответственность за повышение осведомлённости сотрудников о киберугрозах часто переходит в руки ИБ- или ИТ-служб, у которых нет кадровой практики. Согласитесь, парадокс и вызов?
К тому же службам ИБ и ИТ нужен инструментарий, позволяющий реализовать все необходимые мероприятия по повышению осведомлённости. Согласитесь, снова вызов?
Как устроен процесс обучения
Теория не будет работать без практики. Чтобы выработать у конкретного сотрудника устойчивые навыки, необходимо постоянно повышать уровень знаний, проводить проверки и тренировки. Речь идёт о тестовых фишинговых атаках, которые позволяют снизить уязвимость персонала к фишингу и узнать, насколько хорошо усвоен материал курсов. Из тех, кто не прошёл проверку, формируется отдельная фокус-группа, которой назначаются дополнительные курсы.
Процесс обучения должен быть постоянным и цикличным. Только так можно реально повысить защищённость компании и снизить влияние человеческого фактора. Без регулярных тренировок навыки утрачиваются.
Выстроить процессы и определить методологию своими силами весьма трудно. Гораздо удобнее обратиться к тем, кто обладает соответствующей экспертизой, отслеживает актуальные методики киберпреступников, а также может оценить риски и предложить меры по повышению уровня киберграмотности сотрудников. При этом важно, чтобы организаторы обучения учитывали специфику компании. Опытные злоумышленники при подготовке целевых атак используют максимально правдоподобные фишинговые рассылки, которые могут быть предназначены для конкретных сотрудников или конкретных отделов. Письма при этом составляются таким образом, чтобы не вызывать подозрений, в том числе с точки зрения профессиональной специфики.
Каковы результаты — на примере реального кейса
К нам обратился клиент с просьбой повысить навыки кибербезопасности у его сотрудников. В составе сервиса Security Awareness заказчик получил «под ключ» адаптированные под его задачи обучающие курсы, а также разработанные фишинговые сценарии атак. Всё началось с получения первичного среза знаний сотрудников, и результат оказался неутешительным: более 30 % всех работников перешли по фишинговой ссылке. После прохождения первого обучающего курса количество пользователей, которые совершают потенциально опасные действия в ходе имитированных фишинговых рассылок, уже сократилось на треть. По результатам же 12 месяцев оказания услуг доля сотрудников, которые попались на учебный фишинг, составляла всего 1,5 %, притом что за этот период штат вырос в 2,5 раза. Очевидно, что это существенно снижает шансы злоумышленников провести успешную атаку.
Такие же результаты мы видим и по другим нашим заказчикам, обучающимся у нас не менее года (примерно столько времени нужно для формирования устойчивого навыка).
Заказчик с помощью сервиса Security Awareness решает следующие задачи:
- оценить текущий уровень киберграмотности сотрудников;
- обучить персонал практическим навыкам кибербезопасности;
- повысить осведомлённость о цифровых угрозах;
- провести обучение сотрудников с контролем его прохождения и развить у них устойчивые навыки реагирования на фишинговые атаки.
За счёт чего достигаем успеха?
- Теория не будет работать без практики — мы регулярно проводим киберучения (тестовые фишинговые рассылки по актуальной повестке угроз), у сотрудников повышается уровень киберграмотности и вырабатываются навыки реагирования на фишинг.
- Проводим обучение классическими обучающими курсами. Базовые курсы уже покрывают все необходимые потребности в теоретических знаниях, но по запросу могут быть индивидуализированы под специфику заказчика.
- Выявляем «опасных» сотрудников — тех, кто не усвоил материал курсов, а также совершает небезопасные действия во время тестовых фишинговых атак.
- Формируем отдельную фокус-группу «высокого риска» — за их навыками мы следим более пристально и постоянно дообучаем их на дополнительных курсах.
- Таргетируем фишинг с учётом профессиональной деятельности сотрудников — важно, чтобы рассылки были актуальными.
- Этот процесс постоянен и цикличен — только так можно реально повысить защищённость компании и снизить влияние человеческого фактора. Без регулярных тренировок навыки утрачиваются, к появлению более сложных атак сотрудники тем более оказываются неготовыми.
- Все этапы процесса объединены общей методологией и чётким движением к цели.
- Важен анализ результатов — исходя из этого курс корректируется.
Security Awareness своими силами: в чём вызовы для клиента
Итак, мы видим, сколько всего нужно знать и уметь для выстраивания эффективной программы повышения осведомлённости сотрудников о киберугрозах.
А с какими задачами сталкивается подразделение, отвечающее за SA в компании? Выстроить процесс, создать с нуля методологию своими силами весьма трудно. Нужно понимать специфику задачи, иметь опыт.
Обучающие курсы должны быть содержательными, точными и одновременно лёгкими для восприятия. К стандартным ИБ- и кадровым навыкам добавляется необходимость понимать психологию, человеческие уязвимости; умение выстраивать коммуникацию как в живом общении, так и посредством материалов курса.
Приходится работать с большим числом сотрудников — их нужно делить на группы, приоритизировать, адаптировать контент. Нужна практика — проведение имитированных фишинговых рассылок.
Нужно уметь вовлекать сотрудников в этот процесс — геймификация здесь не поможет, а поможет грамотная коммуникация. Важен контент обучающих курсов, важна подача.
Не стоит забывать о специфике компании и фоне киберугроз для неё: опытные злоумышленники при подготовке целевых атак используют максимально правдоподобные фишинговые рассылки, которые могут быть предназначены для конкретных сотрудников или конкретных отделов и попадать точно в цель.
Очень важно найти баланс между осторожностью и осведомлённостью: сотрудники должны научиться распознавать угрозу, а не бояться открывать любые письма, иначе рабочие процессы встанут.
Помимо своевременного распознавания фишинговой атаки сотрудником важно быстрое информирование о ней ИБ- / ИТ-подразделений. Этому моменту во время обучения должно уделяться особенное внимание. Сообщить об инциденте — единственное правильное действие с фишингом.
Выводы
Фишинг — самый распространённый и в то же время наиболее эффективный инструмент злоумышленников. Повышать киберустойчивость персонала к подобным атакам, особенно в условиях сегодняшнего жёсткого киберпротивостояния, — одна из ключевых задач в информационной безопасности. Как и в любой сфере, подходов к улучшению навыков много, нужно выбрать наиболее эффективный. Для компаний зачастую гораздо эффективнее обратиться к подрядчику, который обладает соответствующей экспертизой, отслеживает актуальные методики киберпреступников, может оценить риски и предложить адекватные меры по повышению уровня осведомлённости сотрудников. Таким образом заказчик избавляется от необходимости «поднимать» свою платформу и организовывать процессы, требующие разнонаправленных компетенций.