По странным ссылкам не гуляю: как в Rambler&Co кибербезопасности учат

При невероятном техническом прогрессе главной проблемой кибербезопасности по-прежнему остается человеческий фактор. Без личной вовлеченности не помогут даже самые совершенные решения. Поэтому Департамент кибербезопасности Rambler&Co в первую очередь выстраивает культуру КБ и формирует заинтересованное сообщество.

Стратегия обучения сотрудников основам кибербезопасности стоит на трёх китах: информирование, стимулирование и анализ эффективности.

ОБУЧЕНИЕ

В Rambler&Co проводится личный инструктаж для всех новичков: в доковидную эру — в офлайне, с начала пандемии — в онлайне. Для топ-менеджеров и профильных подразделений подготовлены отдельные программы.

В 2021 году Департамент кибербезопасности добавил новый формат — видеокурс. Он размещен в цифровом пространстве для сотрудников, в разделе «Обучение», и пока состоит из трёх тематических уроков:

Видеокурс сделан в формате детективного сериала. В главной роли снялся профессиональный актёр театра и кино Сергей Беляев (театр им. Маяковского, сериалы «Чики», «Миллионер из Балашихи»). Он играет Инспектора кибербезопасности, который расследует информационные преступления и проводит профилактическую работу с доверчивыми сотрудниками.

В цифровом пространстве для сотрудников также есть блог, в котором безопасники неформальным стилем рассказывают об актуальных угрозах, схемах мошенничества, результатах киберучений. Статьи дополняются мемами, внутренними шутками, картинками и гифками. Подписываются, например, так:

«Из-под одеялка, Департамент кибербезопасности»,

«С заботой о вашем обеденном перерыве, Департамент кибербезопасности».

Безопасники регулярно проводят фишинговые атаки и пытаются найти доверчивых сотрудников: рассылают письма от ненастоящих руководителей, с поддельных доменов, с предложениями от фальшивых партнеров, штрафами и даже прикидываются IT-сотрудниками. Например, одна из последних учебных атак — рассылка фейковых инвайтов в Clubhouse, для получения которых, требовалось ввести корпоративные логин и пароль.

СТИМУЛИРОВАНИЕ СОТРУДНИКОВ

Когда дело касается защиты компании крайне важна личная ответственность каждого. Поэтому большую часть работы Департамента составляет не только обучение, но и вовлечение сотрудников в процесс — важно донести, что это общее дело.

Всем нравятся призы, а возможность выиграть что-то приятное и полезное непременно повышает привлекательность задачи, которую для этого нужно выполнить. Поэтому все участники вводного инструктажа получают блок стикеров и подставки под кружки.

Ответственных сотрудников мы награждаем бейджами в профилях цифрового пространства. Например, бейдж «Безопасная личность» выдаётся за прохождение вводного инструктажа, «CoolИБин» — тем, кто проявляет инициативу, «Орден За Заслуги в ИБ» трёх степеней можно получить за активное участие в повышении уровня ИБ. Например, оповещая о подозрительных вещах и инцидентах. Кроме того, Департамент публично благодарит и поощряет сотрудников, отличившихся на фронтах борьбы с киберугрозами.

Обычно всем интересны итоги фишинговых атак, и мы публикуем их в цифровом пространстве для сотрудников.

Однажды их даже публиковали в виде квиза — это и развлечение, и интерактивная памятка.

Для сотрудников организовываются офлайн- и онлайн-митапы, где проводится награждение коллег за вклад в обеспечение кибербезопасности и вручается брендированный мерч. Департамент организует соревнование в формате CTF — capture the flag. За определённое время участникам нужно взломать несколько уязвимых серверов и получить их «флаг». Победителям — толстовки, шампанское и почёт.

ЭФФЕКТИВНОСТЬ

Департамент кибербезопасности следит за эффективностью обучения сотрудников следующим образом:

Регулярные тренировки и фишинговые атаки держат персонал Rambler&Co в тонусе, что эффективно сказывается на их готовности к реальным киберугрозам.

Об этом говорит статистика по итогам фишинговых атак: