По странным ссылкам не гуляю: как в Rambler&Co кибербезопасности учат
При невероятном техническом прогрессе главной проблемой кибербезопасности по-прежнему остается человеческий фактор. Без личной вовлеченности не помогут даже самые совершенные решения. Поэтому Департамент кибербезопасности Rambler&Co в первую очередь выстраивает культуру КБ и формирует заинтересованное сообщество.
Стратегия обучения сотрудников основам кибербезопасности стоит на трёх китах: информирование, стимулирование и анализ эффективности.
По данным компаний, занимающихся исследованиями в области кибербезопасности, около 80% успешных кибератак происходят из-за человеческих ошибок. Например: жертвы запускают вредоносные вложения из писем или «сливают» хакерам свой пароль. Мы, как и многие другие IT-компании, уделяем много внимания не только технической защите, но и формированию в команде культуры кибербезопасности. Каждый сотрудник Rambler&Co должен понимать важность своего вклада в защиту компании, уметь распознавать угрозы и правильно на них реагировать.
ОБУЧЕНИЕ
В Rambler&Co проводится личный инструктаж для всех новичков: в доковидную эру — в офлайне, с начала пандемии — в онлайне. Для топ-менеджеров и профильных подразделений подготовлены отдельные программы.
В 2021 году Департамент кибербезопасности добавил новый формат — видеокурс. Он размещен в цифровом пространстве для сотрудников, в разделе «Обучение», и пока состоит из трёх тематических уроков:
- вводного (основы КБ и базовые правила создания надежных паролей);
- про защиту ПК;
- про фишинг.
Видеокурс сделан в формате детективного сериала. В главной роли снялся профессиональный актёр театра и кино Сергей Беляев (театр им. Маяковского, сериалы «Чики», «Миллионер из Балашихи»). Он играет Инспектора кибербезопасности, который расследует информационные преступления и проводит профилактическую работу с доверчивыми сотрудниками.
В цифровом пространстве для сотрудников также есть блог, в котором безопасники неформальным стилем рассказывают об актуальных угрозах, схемах мошенничества, результатах киберучений. Статьи дополняются мемами, внутренними шутками, картинками и гифками. Подписываются, например, так:
«Из-под одеялка, Департамент кибербезопасности»,
«С заботой о вашем обеденном перерыве, Департамент кибербезопасности».
Безопасники регулярно проводят фишинговые атаки и пытаются найти доверчивых сотрудников: рассылают письма от ненастоящих руководителей, с поддельных доменов, с предложениями от фальшивых партнеров, штрафами и даже прикидываются IT-сотрудниками. Например, одна из последних учебных атак — рассылка фейковых инвайтов в Clubhouse, для получения которых, требовалось ввести корпоративные логин и пароль.
СТИМУЛИРОВАНИЕ СОТРУДНИКОВ
Когда дело касается защиты компании крайне важна личная ответственность каждого. Поэтому большую часть работы Департамента составляет не только обучение, но и вовлечение сотрудников в процесс — важно донести, что это общее дело.
Всем нравятся призы, а возможность выиграть что-то приятное и полезное непременно повышает привлекательность задачи, которую для этого нужно выполнить. Поэтому все участники вводного инструктажа получают блок стикеров и подставки под кружки.
Ответственных сотрудников мы награждаем бейджами в профилях цифрового пространства. Например, бейдж «Безопасная личность» выдаётся за прохождение вводного инструктажа, «CoolИБин» — тем, кто проявляет инициативу, «Орден За Заслуги в ИБ» трёх степеней можно получить за активное участие в повышении уровня ИБ. Например, оповещая о подозрительных вещах и инцидентах. Кроме того, Департамент публично благодарит и поощряет сотрудников, отличившихся на фронтах борьбы с киберугрозами.
Кто сказал, что обучение по КБ должно быть скучным и неинтересным? Мы делаем игровые и соревновательные элементы обязательной составляющей любого обучения. Например, за 1,5 года мы выдали сотрудникам более 400 бейджей на корпоративном портале, более 300 наклеек и костеров.
Обычно всем интересны итоги фишинговых атак, и мы публикуем их в цифровом пространстве для сотрудников.
Однажды их даже публиковали в виде квиза — это и развлечение, и интерактивная памятка.
Для сотрудников организовываются офлайн- и онлайн-митапы, где проводится награждение коллег за вклад в обеспечение кибербезопасности и вручается брендированный мерч. Департамент организует соревнование в формате CTF — capture the flag. За определённое время участникам нужно взломать несколько уязвимых серверов и получить их «флаг». Победителям — толстовки, шампанское и почёт.
ЭФФЕКТИВНОСТЬ
Департамент кибербезопасности следит за эффективностью обучения сотрудников следующим образом:
- считает процент тех, кто открыл письмо, перешёл по ссылке, ввёл пароль, запустил вложение, сообщил об атаке;
- оценивает влияние вводного инструктажа на поведение коллег;
- оценивает их поведение после ряда тренировочных атак;
- фиксирует просмотры статей в блоге Департамента в цифровом пространстве для сотрудников;
- собирает обратную связь по фишинговым письмам;
- принимает сообщения на анонимную форму обратной связи.
Регулярные тренировки и фишинговые атаки держат персонал Rambler&Co в тонусе, что эффективно сказывается на их готовности к реальным киберугрозам.
Об этом говорит статистика по итогам фишинговых атак:
- сотрудники, которые были на вводном инструктаже, в три раза чаще сообщали о получении подозрительных писем;
- новички в 1,7 раза чаще открывали «вредоносную» ссылку и в 4 раза чаще вводили пароль в фишинговую форму, чем те, кто уже проходил обучение КБ;
- 18% сотрудников, которых «фишили» впервые, открыли вредоносное вложение. При этом те, кого атаковали в пятый раз, ни разу на него не кликнули.
Бля, рамблер еще жив
@Rambler&Co а успешные сервисы отжимать у вас новичков учат? Или это только для более прокачанных сотрудников? И есть ли актуальные примеры, а то nginx уже давно был
А вообще интересно — видно людей, которые «горят» своей работой (безопасников). Даже ролик неплохой вышел (ожидал увидеть кринжатину). Правда, всё-таки не покидает ощущение того, что поставленных целей можно было бы добиться за меньшие средства. Хотя с другой стороны, каждый развлекается, как может — надо же и безопасникам ощутить себя «творческими единицами», в конце концов.
На фишинговой страничке специально опечатку на кнопке сделали?
Вот это внимательность!) Спасибо за вопрос. Ошибку сделали специально – это один из признаков фишинговых рассылок.
Много там сейчас народу работает? вроде контора в глубокой минусе
Это Сбер-то в минусе?
ооо.. когда работал в Рамблере меня всегда напрягала какая-то сверхмощная озабоченность безопасностью, теперь вы и тут 😄 Я конечно понимаю, что весь этот движ нужен безопасникам для красивых строчек в резюме, но статья на VC... это прицел на визу O1?)
Лучше сверхмощная озабоченность безопасности, чем ее отсутствие
Работы у них нет, лучше бы пару песочниц вряд поставили и dlp корреляции поправили