По странным ссылкам не гуляю: как в Rambler&Co кибербезопасности учат

При невероятном техническом прогрессе главной проблемой кибербезопасности по-прежнему остается человеческий фактор. Без личной вовлеченности не помогут даже самые совершенные решения. Поэтому Департамент кибербезопасности Rambler&Co в первую очередь выстраивает культуру КБ и формирует заинтересованное сообщество.

Стратегия обучения сотрудников основам кибербезопасности стоит на трёх китах: информирование, стимулирование и анализ эффективности.

По данным компаний, занимающихся исследованиями в области кибербезопасности, около 80% успешных кибератак происходят из-за человеческих ошибок. Например: жертвы запускают вредоносные вложения из писем или «сливают» хакерам свой пароль. Мы, как и многие другие IT-компании, уделяем много внимания не только технической защите, но и формированию в команде культуры кибербезопасности. Каждый сотрудник Rambler&Co должен понимать важность своего вклада в защиту компании, уметь распознавать угрозы и правильно на них реагировать.

Антон Ивершень, Старший аналитик направления методологии и контроля Департамента кибербезопасности Rambler&Co

ОБУЧЕНИЕ

В Rambler&Co проводится личный инструктаж для всех новичков: в доковидную эру — в офлайне, с начала пандемии — в онлайне. Для топ-менеджеров и профильных подразделений подготовлены отдельные программы.

В 2021 году Департамент кибербезопасности добавил новый формат — видеокурс. Он размещен в цифровом пространстве для сотрудников, в разделе «Обучение», и пока состоит из трёх тематических уроков:

  • вводного (основы КБ и базовые правила создания надежных паролей);
  • про защиту ПК;
  • про фишинг.

Видеокурс сделан в формате детективного сериала. В главной роли снялся профессиональный актёр театра и кино Сергей Беляев (театр им. Маяковского, сериалы «Чики», «Миллионер из Балашихи»). Он играет Инспектора кибербезопасности, который расследует информационные преступления и проводит профилактическую работу с доверчивыми сотрудниками.

В цифровом пространстве для сотрудников также есть блог, в котором безопасники неформальным стилем рассказывают об актуальных угрозах, схемах мошенничества, результатах киберучений. Статьи дополняются мемами, внутренними шутками, картинками и гифками. Подписываются, например, так:

«Из-под одеялка, Департамент кибербезопасности»,

«С заботой о вашем обеденном перерыве, Департамент кибербезопасности».

Безопасники регулярно проводят фишинговые атаки и пытаются найти доверчивых сотрудников: рассылают письма от ненастоящих руководителей, с поддельных доменов, с предложениями от фальшивых партнеров, штрафами и даже прикидываются IT-сотрудниками. Например, одна из последних учебных атак — рассылка фейковых инвайтов в Clubhouse, для получения которых, требовалось ввести корпоративные логин и пароль.

По странным ссылкам не гуляю: как в Rambler&Co кибербезопасности учат

СТИМУЛИРОВАНИЕ СОТРУДНИКОВ

Когда дело касается защиты компании крайне важна личная ответственность каждого. Поэтому большую часть работы Департамента составляет не только обучение, но и вовлечение сотрудников в процесс — важно донести, что это общее дело.

Всем нравятся призы, а возможность выиграть что-то приятное и полезное непременно повышает привлекательность задачи, которую для этого нужно выполнить. Поэтому все участники вводного инструктажа получают блок стикеров и подставки под кружки.

Стикеры, которые выдают за прохождение инструктажа
Стикеры, которые выдают за прохождение инструктажа

Ответственных сотрудников мы награждаем бейджами в профилях цифрового пространства. Например, бейдж «Безопасная личность» выдаётся за прохождение вводного инструктажа, «CoolИБин» — тем, кто проявляет инициативу, «Орден За Заслуги в ИБ» трёх степеней можно получить за активное участие в повышении уровня ИБ. Например, оповещая о подозрительных вещах и инцидентах. Кроме того, Департамент публично благодарит и поощряет сотрудников, отличившихся на фронтах борьбы с киберугрозами.

В «Звездных войнах» есть светлая сторона и темная — всё как в жизни любого кибербезопасника
В «Звездных войнах» есть светлая сторона и темная — всё как в жизни любого кибербезопасника

Кто сказал, что обучение по КБ должно быть скучным и неинтересным? Мы делаем игровые и соревновательные элементы обязательной составляющей любого обучения. Например, за 1,5 года мы выдали сотрудникам более 400 бейджей на корпоративном портале, более 300 наклеек и костеров.

Александр Ларичев, Директор по методологии и контролю кибербезопасности и управлению рисками Rambler&Co

Обычно всем интересны итоги фишинговых атак, и мы публикуем их в цифровом пространстве для сотрудников.

По странным ссылкам не гуляю: как в Rambler&Co кибербезопасности учат

Однажды их даже публиковали в виде квиза — это и развлечение, и интерактивная памятка.

По странным ссылкам не гуляю: как в Rambler&Co кибербезопасности учат

Для сотрудников организовываются офлайн- и онлайн-митапы, где проводится награждение коллег за вклад в обеспечение кибербезопасности и вручается брендированный мерч. Департамент организует соревнование в формате CTF — capture the flag. За определённое время участникам нужно взломать несколько уязвимых серверов и получить их «флаг». Победителям — толстовки, шампанское и почёт.

Толстовка Security Guru
Толстовка Security Guru

ЭФФЕКТИВНОСТЬ

Департамент кибербезопасности следит за эффективностью обучения сотрудников следующим образом:

  • считает процент тех, кто открыл письмо, перешёл по ссылке, ввёл пароль, запустил вложение, сообщил об атаке;
  • оценивает влияние вводного инструктажа на поведение коллег;
  • оценивает их поведение после ряда тренировочных атак;
  • фиксирует просмотры статей в блоге Департамента в цифровом пространстве для сотрудников;
  • собирает обратную связь по фишинговым письмам;
  • принимает сообщения на анонимную форму обратной связи.

Регулярные тренировки и фишинговые атаки держат персонал Rambler&Co в тонусе, что эффективно сказывается на их готовности к реальным киберугрозам.

Об этом говорит статистика по итогам фишинговых атак:

  • сотрудники, которые были на вводном инструктаже, в три раза чаще сообщали о получении подозрительных писем;
  • новички в 1,7 раза чаще открывали «вредоносную» ссылку и в 4 раза чаще вводили пароль в фишинговую форму, чем те, кто уже проходил обучение КБ;
  • 18% сотрудников, которых «фишили» впервые, открыли вредоносное вложение. При этом те, кого атаковали в пятый раз, ни разу на него не кликнули.
1616
9 комментариев

Бля, рамблер еще жив
@Rambler Group а успешные сервисы отжимать у вас новичков учат? Или это только для более прокачанных сотрудников? И есть ли актуальные примеры, а то nginx уже давно был

3

А вообще интересно — видно людей, которые «горят» своей работой (безопасников). Даже ролик неплохой вышел (ожидал увидеть кринжатину). Правда, всё-таки не покидает ощущение того, что поставленных целей можно было бы добиться за меньшие средства. Хотя с другой стороны, каждый развлекается, как может — надо же и безопасникам ощутить себя «творческими единицами», в конце концов. 

1

На фишинговой страничке специально опечатку на кнопке сделали? 

1

Вот это внимательность!) Спасибо за вопрос. Ошибку сделали специально – это один из признаков фишинговых рассылок.

2

Много там сейчас народу работает? вроде контора в глубокой минусе

Это Сбер-то в минусе? 

1

ооо.. когда работал в Рамблере меня всегда напрягала какая-то сверхмощная озабоченность безопасностью, теперь вы и тут 😄 Я конечно понимаю, что весь этот движ нужен безопасникам для красивых строчек в резюме, но статья на VC... это прицел на визу O1?)