Как киберграмотно продать стол или что такое Security Awareness?

Привет! Меня зовут Кирилл Лукьянов. Я работаю в компании iTPROTECT, выступаю в роли инженера в проектах по кибербезопасности. В этом посте я расскажу про сервисы повышения киберграмотности и свой эксперимент по продаже б/у стола. Все трюки выполнены профессионалами, просьба не повторять без подготовки.

Кибербезопасность сейчас особенно важна, ведь хакеры один за одним взламывают ресурсы ведомств, а интернет пестрит фейковыми сайтами по продаже техники, косметики и других товаров. Недавно я хотел продать стол-трансформер через один известный маркетплейс. Создал объявление и стал ждать откликов потенциальных покупателей. Как-то вечером, попивая чай, я получил сообщение, что стол заинтересовал одного покупателя и ему нужна доставка. Но не любая, а конкретная. Он скинул ссылку на форму, которая вела на сайт-двойник одной известной всем службы доставки, но с разницей в один символ в домене. Конечно, тут я уже понял, что меня пытаются обмануть, но природное любопытство и профессиональный интерес подтолкнули посмотреть, что будет дальше. А дальше меня попросили ввести данные карты. Я взял буферную карту без денег, по которой нельзя уйти в минус, и заполнил форму. На телефон пришла смска о попытке снятия денег. Притворившись «чайником», я «удивленно» написал «покупателю» о том, что доставка платная. Интересно, что они предусмотрели и такое развитие событий - меня попытались успокоить и отправили в техподдержку. На том же сайте была опция чата со специалистом, который моментально ответил, что нужно использовать другую карту, т.к. остаток на карте должен быть не меньше «выводимой суммы». На том и закончили. Карту я, естественно, заблокировал и перевыпустил новую. Поэтому все это не так страшно, когда понимаешь, с чем столкнулся. А если нет?

И подобных, а иногда и более изощренных способов обмана в сети, к сожалению, существует множество, поэтому очень важно иметь представление о том, что такое киберграмотность, и как она помогает в жизни. Ведь все же знают, что нельзя переходить дорогу на красный свет, так как это опасно для жизни. Такой же принцип работает и здесь: «Знание – сила!»

Говоря простым языком, киберграмотность – это знание азов информационной безопасности, следуя которым можно защитить свои персональные данные от распространения, денежные средства - от хищения, а устройство – от заражения вирусами и прочим вредоносным ПО.

Этот вопрос очень актуален как для простых пользователей, так и для целых компаний, сотрудники которых также могут по незнанию или неосторожности «попасться» на уловки мошенников. Чтобы нивелировать эти риски в корпоративной среде, придумали специальные платформы повышения киберграмотности для сотрудников - Security Awareness Platform.

Первым лицам компаний - если они не хотят попасть в сводку юрлиц в СМИ, в которых произошла утечка, и потерять бизнес/деньги из-за невнимательности сотрудников.

ИБ-директорам, для которых огромное число инцидентов ежедневно – это лишняя нагрузка, которую нужно сокращать.

ИТ-директорам – ведь большое число неграмотных в ИБ сотрудников приводит к большому количеству запросов на ИТ-поддержку.

HR-директорам и руководителям HR-отделов – они в принципе отвечают за развитие компетенций и управление обучением в компании.

Обычным пользователям, которые могут потерять работу и собственные деньги из-за того, что отправили мошенникам конфиденциальные данные или оплатили «левый» счет.

По данным компании Phishman от 40 до 80% сотрудников компаний уязвимы к фишинговым атакам. При этом более 50% ошибок происходит потому, что сотрудники просто не задумываются над тем, что они делают и почему. Среди значимых с точки зрения ИБ ошибок пользователей - бездумное использование найденных флешек, переход по сомнительным ссылкам, отключение антивируса, «чтобы не мешал» и т.д. У части сотрудников «выключается» критическое мышление, когда дело касается информационных технологий. То есть это не какой-то злой умысел, и не ситуация, когда человек понимает, что он нарушает правила, но всё равно отправляет конфиденциальной файл себе на личную почту, как пример. Нет, сотрудники делают ошибки автоматически, не задумываясь. И с этим автоматизмом можно бороться только с помощью повышения уровня осознанности.

На втором месте по частоте встречаются инциденты, связанные с нехваткой у сотрудников знаний в области ИБ. Это сотрудники, которые хотят противостоять угрозам, но не знают как. Не знают, как распознать фишинговое письмо, не знают, что делать, если есть подозрение на вирус на их устройстве, не знают, как понять, что по ссылке лучше не переходить. Тут помогут курсы, направленные на развитие навыков, которые помогут выработать верные паттерны действий.

Если упростить, то больше всего ошибок происходит либо потому, что люди совершают какие-то действия автоматически, либо у них недостаточно навыков для того, чтобы проанализировать и вычислить атаку на них самих или компанию в целом.

Чаще всего, клиенты приходят уже после инцидентов. К сожалению, в России всё ещё работает принцип «пока гром не грянет, мужик не перекрестится». Я очень люблю один кейс, где руководитель ИБ-отдела промышленной компании почувствовал потребность во внедрении системы Security Awareness после фишинговых атак, на которые сотрудники отреагировали бездумно. Более 60% сотрудников «попадались на крючок». К чему это привело, по понятным причинам не раскрывается. Но интересно, что когда мы делали тестовую рассылку во время пилота, то уже тут случился показательный кейс. Фишинговая рассылка была будто бы от отдела HR, но по домену можно было понять, что письмо фишинговое. Письмо содержало ссылку, которая вела на пустой белый экран. Руководитель IT-отдела перешел по ссылке с нескольких браузеров, а затем написал в HR-отдел, что ссылка не работает. Мне кажется, это довольно интересный случай, который показывает, что даже сотрудник с высоким уровнем технической грамотности, доступа и привилегиями может совершать подобные ошибки.

В целом кажется, что ИТ-специалисты должны разбираться в подобных вопросах, но это иллюзии. Да, они могут развернуть домен и настроить все необходимые доступы, но при этом не понимать, почему не надо переходить по присланным ссылкам или использовать один пароль везде. Поэтому их надо обучать так же, как и специалистов, далёких от ИТ.

Другой кейс - в химическом холдинге было большое число инцидентов в средствах защиты информации - антивирус, межсетевой экран, DLP-система, сотрудники ИБ и техподдержки реально зашивались. Но самое важное - это риск утечки конфиденциальных данных. Представьте, в крупном холдинге вдруг утечет база клиентов или внутренняя управленческая отчетность. Это же будет скандал! DLP предотвращает этот риск, но не до конца. Мы провели проверочную фишинговую атаку, посмотрели по группам - сколько людей перешли, эти данные сейчас учитываются как стартовые для оценки эффективности обучения, которое сейчас проходит.

Если вкратце, то процесс обучения строится так. В вендорских платформах уже есть обучающие онлайн-курсы, их можно использовать как есть или дополнять собственными, плюс распределять по группам сотрудников и персонифицировать. Курсы содержат короткие (обычно до 30 минут) видео-сценарии безопасного использования устройств и разных видов защиты. Например, как пользоваться парольной защитой, зачем нужны антивирусы, как установить безопасные настройки на смартфоне, как обеспечить безопасный обмен электронной почтой, что такое конфиденциальные и персональные данные и пр. Набор курсов под каждого сотрудника (или группу сотрудников) прописывается индивидуально в зависимости от уровня доступа к конфиденциальной информации.

В конце каждого курса пользователь проходит тестирование, в котором необходимо набрать проходной балл (устанавливается индивидуально сотрудником ИБ). Плюс системы имеют встроенные модули, с помощью которых осуществляется имитация фишинговых атак, а также выявление самых «уязвимых» пользователей.

По результатам атак и практических киберучений система предоставляет аналитические отчеты и визуализирует сводные данные об уровне риска ИБ, а также уровне устойчивости к атакам злоумышленников. Контролируя эти два показателя на разном уровне (от всей организации до конкретного пользователя), сотрудник службы ИБ может корректировать планы мер по безопасности и давать прогнозы развития ситуации.

В России рынок платформ класса Security Awareness только начал формироваться, но уже есть несколько вендоров с системами этого направления. Среди них такие компании, как Phishman, Лаборатория Касперского, Антифишинг и др.

1. Выбрать подходящую для целей компании платформу. Лучший вариант здесь - начать с пилота или демо-доступа, который предоставляют многие. Например, Phishman дает возможность бесплатно попользоваться системой в течение месяца. Это позволит понять, удобен ли интерфейс, легко ли администрировать, какой конкретный набор курсов нужен или, наоборот, чего-то не хватает и нужна доработка. Кстати, некоторые пилоты показывают сокращение числа ИБ-событий до 70% уже в первый месяц использования. Поэтому пилот – это еще и возможность получить первые реальные результаты.

2. Скорректировать набор курсов. Разным сотрудникам нужны разные знания в зависимости от должности и уровня доступа. Например, при изучении английского языка кто-то делает акцент на грамматике, кто-то на разговорной практике, а кому-то нужен business english - в зависимости от потребностей. Так же и тут.

3. Продумать методику оценки эффективности обучения. Другими словами – как и через какое время мы поймем эффективно ли обучение. Здесь речь не только минимальный пропускной балл и общие показатели успеваемости, но и, например, время, затрачиваемое сотрудниками на обучение, результаты прохождения имитированных фишинговых атак, количество инцидентов в ИБ-системах «до» и «после». Кстати, по поводу ИБ-систем, очень нелишним будет интегрировать платформу с системами SIEM, DLP, NGFW или антивирусом. Это позволит выстроить процесс обучения. Например, прошла Марфа Ивановна из отдела логистики по фишинговой ссылке, ИБ-инспектор это отследил и назначил ей дополнительный курс киберграмотности.

Также в ходе формирования методики оценки эффективности важно выделить ответственных за обучение отдельных категорий сотрудников и учесть их пожелания к формированию статистики результатов – обычно отделы HR и ИБ хотят немного разного. Например, кадровикам важно – сколько людей из запланированных прошли обучение, кто отлынивает, какой показатель успеваемости, а ИБ – какие темы вызывают сложности, из каких отделов, как люди реагируют на фишинг и т.п. Но при этом и тем и другим нужно контролировать ход обучения. Вот пример отчета:

4. Составить план активностей для вовлечения аудитории. Несмотря на то, что обучение будет обязательным, нам нужно правильно вовлечь сотрудников в процесс – провести обучающие семинары по разным группам, предусмотреть FAQ и оперативную поддержку, предусмотреть премирование «отличников» и т.п. От простоты, удобства и нативности обучения будет зависеть и финальный результат. В некоторых платформах класса Security Awareness используются игровой подход, например, интерактивные викторины или даже онлайн-игры с виртуальными персонажами. Геймификация позволяет формировать устойчивые привычки и укреплять кибербезопасность в долгосрочной перспективе.

Вот примеры интерактивных форматов:

Скриншоты из Awareness-платформы Phishman

Скриншоты из онлайн-игры Лаборатории Касперского

Самые частые возражения, с которыми мы сталкиваемся. И ответы, которые отвечаем.

а) Мы уже провели обучение своими силами. Зачем мне еще какая-то там система?

Во-первых, разовое обучение не дает должного эффекта, оно должно быть на постоянной основе. Во-вторых, проходя свой курс в системе, сотруднику будет сложнее «списать» результаты тестов. В-третьих, сможет отработать полученные знания на практике, например, показав свою реакцию на фишинговую рассылку. И тому подобное - список еще длинный.

б) Мы проводим тестовые фишинговые рассылки, разве этого недостаточно?

К сожалению, нет. Новые угрозы и разновидности атак появляются каждый день, вендоры ведут свои базы данных и обновляют обучающие платформы новыми курсами, которые можно оперативно добавлять в систему.

в) Мои сотрудники не захотят в этом участвовать, что делать? Как мотивировать сотрудников мотивации к обучению и способах их решения.

Самая распространенная практика - прописать в должностной инструкции + использовать геймификацию, о которой я писал выше, например, поощрение тем, кто лучше проявил себя. Еще вариант – выделять сотрудников, которые трудно поддаются обучению или не хотят обучаться по разным причинам в отдельную группу с повышенной безопасностью и более пристально за ними следить. То есть мы наблюдаем, что реально есть сотрудники, которые не хотят обучаться, но огромный плюс, когда мы знаем, кто это, когда этот круг лиц ограничен - становится понятно, что риски, которые могут через этих людей быть реализованы, минимизируются.

И наконец, у нас есть кейсы, где сотрудники не только с радостью проходят обучение и тестирование, но и благодарят за это работодателя, так как полученные знания полезны не только в работе, но и в реальной жизни.

Лучше всего про выгоду в автоматизации повышения уровня киберграмотности расскажут примеры из практики. Вот несколько из них.

1. Химический холдинг, который сократил число ИБ-инцидентов

Клиент: тот самый химический холдинг, 8 тыс сотрудников

Проблема: Большое число инцидентов в средствах защиты информации - антивирус, межсетевой экран, DLP-система, высокие риски утечки конфиденциональных данных и нецелевая трата рабочего времени - использование личной почты с корпоративных рабочих станций, посещение развлекательных сайтов и другие активности, которые могли привести к реализации фишинговых атак.

Что сделали: В рамках внедрения системы, мы персонализировали набор курсов, разработали план-график обучения и методику оценки эффективности обучения. Кроме того, заказчик попросил нас интегрировать систему с LMS и создать отдельный раздел, посвященный кибербезопасности, в рамках внутреннего корппортала. Сейчас они активно эксплуатируют систему, она рассчитана на 8000 сотрудников по 8 тематикам в зависимости под разные группы пользователей. В результате количество инцидентов в компании заметно снизилось, а сотрудники получили удобный и понятный инструмент для обучения.

2. Энергетики: пошли дальше и интегрировали с SIEM

Клиент: организация из сферы атомной энергетики, 10 тыс человек

Проблема: Заказчик имел физическую и программную защиту контура, но это не решало проблему с уязвимостью сотрудников к фишинговым письмам, а также с ошибочными действиями в вопросах ИБ. Более 60% пользователей переходили по “вредоносным” ссылкам по результатам пилотного проекта.

Что сделали: Внедрили систему повышения киберграмотности. Настроили интеграцию с SIEM (Security information and event management). На основе полученных данных система автоматически назначает сотрудникам курсы по ИБ, в зависимости от выявленного события. Каждый курс завершается контрольным тестированием. Интеграция с системами обработки инцидентов и SIEM нужна для того, чтобы минимизировать число повторных инцидентов, и чтобы инциденты закрывались не только с технической стороны, но и благодаря уменьшению вероятности повтора ошибочных действий со стороны человека.

Результат: По результату работы с системой за первый квартал % уязвимых сотрудников снизился с 60 % до 10%, а через год функционирования было уже менее 3% сотрудников уязвимых к социальной инженерии.

3. Строители: в 7 раз сократили число уязвимых сотрудников

Клиент: международный производитель строительных материалов, 20 тыс сотрудников.

Проблема: Возросло количество событий в SIEM при удаленной работе - переход по фишинговым ссылкам увеличился до 70% сотрудников.

Что сделали: Провели пилотный проект, по результатам которого количество “уязвимых” сотрудников повторно подтвердилось - 74%. Внедрили систему повышения осведомленности с настройкой того самого автоназначения обучения по итогам тестовых фишинговых писем.

Результат: По результатам работы с системой за первый месяц % уязвимых сотрудников снизился с 74% до 11%. Также внедрение системы позволило решить вопрос с соответствием стандарту ISO 27001 и снизило риски возникновения ситуаций с утечкой информации в соответствии GDPR.

_________________________

В заключении хочется сказать, что количество угроз и мошеннических схем постоянно увеличивается. Технические способы борьбы важны и нужны, но 80% успеха в кибербезопасности – это осознанность и киберграмотность самого человека. Поэтому, надеюсь, что мой лонгрид был вам полезен. Если остались вопросы – задавайте в комментариях или пишите на [email protected].

P.S. А стол я в итоге продал другу, который пришел ко мне в гости тем же вечером: «Какой интересный стол, где покупал?» - спросил он😊