Предупрежден — значит вооружен: как научить сотрудников противостоять киберугрозам

Вам пришло новое письмо. Тема: «Приказ. Срочно ознакомиться». Вы открываете вложенный файл и — вжух — данные вашей компании в руках злоумышленников.

Российский бизнес осознал необходимость защиты от постоянно усложняющихся кибератак и начал активно внедрять СЗИ. Хакеры, в свою очередь, стали делать ставку на социальную инженерию, ведь именно через рядового сотрудника легче всего украсть критически важную информацию и получить доступ к инфраструктуре организации. И все, что для этого нужно — убедить работника перейти по фишинговой ссылке или открыть вредоносное вложение, скрывающееся в письме.

По нашим данным, 71% сложных кибератак начинаются с фишинга посредством электронной почты. Результатом такой атаки для компании может стать как утечка данных с последующим штрафом от регулятора, репутационные потери, финансовый ущерб, так и остановка критически важных бизнес-процессов. С негативными последствиями сталкивается и сотрудник, по чьей вине произошла атака и последующая утечка данных — от дисциплинарных взысканий вплоть до возможного увольнения. А если он отвечал за защиту объектов КИИ, есть перспектива уголовного преследования.

Важно сформировать комплексный подход к защите инфраструктуры компании, который состоит не только из технических средств защиты, но и из постоянного повышения киберграмотности сотрудников. В этом материале мы расскажем про наш метод работы с человеческим фактором, но для начала немного статистики.

Мы в сервисе управления навыками кибербезопасности Security Awareness (SA) выяснили, что более трети всех писем относятся к нежелательными, то есть содержат вирусы, фишинг и спам. Это следует из результатов анализа данных клиентов наших сервисов: защиты электронной почты Secure e-mail gateway (SEG) и защиты от продвинутых угроз Sandbox ГК «Солар».

По результатам, 94% вредоносов (ВПО) прячется в самых популярных файлах, с которыми ежедневно сталкиваются все офисные сотрудники.

ВПО часто бывает скрыто в письмах с такими темами как:

Нашему мозгу свойственно забывать не закрепленные постоянной практикой навыки, поэтому теоретическое и практическое обучения должно быть цикличным и непрерывным.

На первом этапе необходимо выяснить текущий уровень киберграмотности в компании. Именно поэтому перед началом обучения мы исследуем навыки распознавания фишинга — делаем тренировочные рассылки среди сотрудников.

По результатам этой проверки определяется начальный уровень осведомленности пользователей, чтобы в дальнейшем отслеживать их прогресс. В первой итерации обучения мы назначаем базовый набор курсов на нашей LMS‑платформе (системе дистанционного обучения), чтобы все сотрудники получили основной кибергигиенический набор и обязательно прошли тесты по изученной теории.

Затем мы снова проводим контрольные «фишинговые» рассылки и формируем промежуточный аналитический отчет со списком сотрудников, совершавших небезопасные действия и плохо усвоивших материал, а также даем наши рекомендации. Для тех, кто не прошел обучение или плохо сдал финальный тест, назначаются дополнительные занятия. А затем… да, все повторяется заново, с одним «но»: обучение уже назначается точечно, по тем небезопасным действиям, которые команда совершала. А фишинг с каждым разом становится все сложнее, чтобы навыки сотрудников развивались.

Как правило, устойчивый навык начинает формироваться в течение первого года или через год. По нашему опыту, за это время более 75% сотрудников меняют свои реакции на фишинговые атаки. Переходы по опасным ссылкам в среднем сокращаются в шесть раз, а также в пять раз увеличивается количество сообщений от сотрудников о фишинге по итогам тренировок.

Но и это еще не все — полученный навык все равно впоследствии нужно прокачивать. Киберпреступность не стоит на месте: появляются все новые способы и инструменты кибератак, в том числе и фишинга. Избежать атак с новыми приемами социальной инженерии поможет осведомленность сотрудников об актуальных примерах.

К тому же, в компании время от времени появляются новые сотрудники, поэтому регулярное корпоративное обучение может помочь закрыть разрыв в ИБ‑знаниях и навыках между новыми и старыми сотрудниками.

В процессе обучения могут возникнуть две основные сложности. Их не нужно бояться, нужно помнить, что для каждой есть решение.

Сложность №1: научить, а не напугать. Цель учебных атак — выработать привычку тщательно проверять входящие письма, а не страх. Слишком частые проверки могут снижать эффективность. Человек начнет видеть угрозу в письмах, где ее нет, и отправлять ИБ-департаменту на проверку обычные рабочие переписки, либо пропускать по‑настоящему важные сообщения. Это может вызвать стресс, снизить работоспособность команды, а также привести к увеличению нагрузки на департамент ИБ.

Решение: проводить учебные фишинговые атаки нужно не чаще одного раза в месяц, чтобы у сотрудников сформировался именно навык, а не страх.

Сложность №2: организация. Развитие киберграмотности — это задача на стыке компетенций HR и ИБ-департаментов: обучением занимается первый, а обеспечением защиты инфраструктуры — второй. Поэтому может возникнуть проблема с формированием бюджета.

Решение: синхронизировать работу HR и ИБ-департаментов, а также использовать единое решение Security Awareness (SA), которое реализует процессы как обучения, так и практического тестирования сотрудников.

Бонус: дополнительные рекомендации по повышению киберграмотности персонала

Киберграмотность — ключевой навык, которым в современном мире должны обладать абсолютно все сотрудники организаций. Технологии средств киберзащиты ушли далеко вперед, однако рядовой сотрудник до сих пор остается одной из главных «уязвимостей». Один переход по ссылке, один открытый офисный файл может подставить под угрозу инфраструктуру всей компании, а также ее клиентов и партнеров.

Важно помнить, что кибербезопасность едина и неделима, именно поэтому только комплексный подход к формированию ИБ поможет усилить киберзащиту компании изнутри. Единый микс из технических средств защиты и постоянного повышения киберграмотности сотрудников поможет минимизировать риски успешной атаки на инфраструктуру.