«Киберграмотность — это мышца, нужно ее тренировать». Как сделать безопасность частью культуры компании
«У нас даже уборщица проверяет, на каком сайте покупает билеты» — примерно так можно описать желаемый уровень культуры кибербезопасности в компании. Но как добиться, чтобы каждый сотрудник осознавал, что тоже причастен к защите данных и систем бизнеса? Поговорили с руководителем технического центра «АйТи Бастион» Владимиром Алтуховым о том, как сделать кибербезопасность частью корпоративной культуры компании. Спойлер: задача будет со звездочкой.
Компания «АйТи Бастион» — ведущий игрок на рынке кибербезопасности, предлагающий широкий спектр услуг для защиты информации и управления рисками. Она работает с различными секторами, включая банки и телекоммуникационные компании, и активно развивает программы обучения по кибербезопасности.
Продукт СКДПУ НТ (Система Контроля Действий Поставщиков ИТ-Услуг) предназначен для управления привилегированным доступом в корпоративных системах. Он обеспечивает контроль за пользователями с повышенными правами, минимизируя риски несанкционированного доступа и утечек данных. Система реализует модель нулевого доверия и принцип наименьших привилегий, позволяя точно контролировать, кто и когда имеет доступ к критически важным ресурсам.
«Думаете, это не обязательно? Игнорируете реальность»
— Почему забота о кибербезопасности вообще важна для бизнеса? Может показаться, что переживать об этом нужно только компаниям-гигантам, у которых бизнес построен на Data.
— Киберграмотность и кибербезопасность стали неотъемлемой частью нашей жизни. Относиться к этому как к чему-то необязательному — значит игнорировать реальность.
У нас есть культура общения и морально-этические нормы поведения в обществе… И поскольку сфера информационных технологий является важной частью нашей жизни, правила безопасности в ней тоже необходимы.
— Знаю, что вы принимали участие в форуме по кибербезопасности, который прошел в Минске в начале октября. Насколько эта тематика в белорусских компаниях актуальна?
— Актуальна в высшей степени — не только в России или Беларуси, но для компаний во всем мире. Мы живем в информационном обществе. Без качественно выстроенной кибергигиены, культуры общения и взаимодействия с информационной средой мы получаем дырявое решето, где все знают обо всех всё и о конфиденциальности не может быть и речи. А это не совсем хорошая история.
— Но как кибербезопасность связана с бизнесом?
— Для бизнеса данные — это актив. Утечка информации может привести к репутационным рискам. Например, если имя компании появляется в новостях из-за утечки данных, это может вызвать недовольство клиентов и партнеров. Или «слив» базы данных даст преимущество конкурентам. Кроме того, последствия могут быть и более разрушительными: приостановка производства или шифрование инфраструктуры бизнеса приведет к значительным финансовым потерям.
— Утечки данных в общий доступ — это основная киберугроза для бизнеса?
— Наиболее распространенные угрозы — не только утечки данных, но и фишинговые атаки или заражение вирусом-шифровальщиком.
Что касается фишинга: часто сотрудники открывают подозрительные письма с рабочих устройств и ставят под угрозу всю структуру. Злоумышленники используют доверительные обращения и создают стрессовые ситуации, чтобы заставить людей действовать иррационально. Например, могут написать от лица директора с сообщением о проверке ФСБ. Сотрудник пугается и может предоставить доступ мошенникам, перейдя по фишинговой ссылке.
Но есть и банальные истории. Например, обидевшийся сотрудник может унести критически важную информацию или даже оставить «запасную дверь» — брешь в системе для доступа к информации после увольнения.
Для сотрудника — это козырь при дальнейшем трудоустройстве или личная выгода. А для компании в перспективе потери потенциальных тысяч долларов выручки.Также стоит упомянуть случайные ошибки сотрудников. Неправильное обращение с конфиденциальной информацией может произойти даже без злого умысла: кто-то мог случайно отправить не то письмо или нажать не ту кнопку.
«Раз и навсегда — не получится»
— Каждый сотрудник должен быть в курсе хотя бы базовых правил кибербезопасности. Как компании могут внедрить такую культуру?
— Важно проводить регулярные аудиты системы безопасности в компании и обучение сотрудников. Кроме того периодически нужно устраивать «учения», которые проверят эффективность предпринятых мер и выявят тонкие места. Работает только системный подход.
Киберграмотность — это мышца, которую нужно постоянно тренировать.Основная ошибка — считать, что достаточно провести обучение один раз для всех. Но необходимо учитывать новых сотрудников и постоянно обновлять знания действующих. А еще обучение должно быть адаптировано под разные группы сотрудников в зависимости от их роли и доступа к критически важным данным. Например, уборщицы и главные бухгалтера должны получать разные уровни обучения (и доступа), но базовые принципы безопасности должны быть известны всем.
Надо понимать, что раз и навсегда — не получится. Не только потому, что сотрудникам нужно освежать в памяти какие-то знания и правила, но и потому, что кибератаки тоже постоянно совершенствуются.
Можно, например, использовать так называемые Security Awareness платформы. Это уже готовые решения, которые предназначены для того, чтобы обучать персонал.
Весь процесс обучения по безопасности нужно разделить на несколько этапов:
- инструктажи или видеоинструкции для новеньких;
- регулярные тестирования для закрепления знаний и оценки эффективности обучения;
- тренинги по новым рискам и угрозам + повторение пройденных моментов.
Важно понимать, что содержание курса обучения может и должно отличаться для разных сотрудников. Одно дело — для менеджера по продажам, другое — для директора, третье — для инженеров и программистов. Разработать единое и для всех — не вариант. Нужен гибкий подход.
Бонусом можно сделать кибербезопасность прикольным «внутрячком». Например, в некоторых офисах есть тематические плакаты в духе «Болтун — находка для шпиона». Но еще лучше придумать практику ежемесячных напоминалок от директора. Если получится это сделать в легкой форме с мемами и шутками — это может быть эффективно.
— Вернёмся к корпоративной культуре. Считается, что отношение к вопросам кибербезопасности формируется руководством. По вашему опыту, это так? Только прогрессивные руководители способны выстраивать киберзащиту?
— Распространенное заблуждение: информационная безопасность только тратит бюджет и не приносит денег. Бизнес говорит на языке цифр. И, как правило, сначала руководитель службы информационной безопасности должен «продать» руководству идею выстраивания системы безопасности и обучения персонала. Для руководства важнее понимание эффективности и выгоды в цифрах: если мы не начнем использовать то или иное решение, то в случае проблем мы столько-то денег потеряем.
Информационная безопасность — это вопрос не о том, чтобы не взломали, а о том, что мы будем делать, когда взломают.К счастью, уровень осознанности в части информационной безопасности растёт. В компаниях понимают, что мы должны адаптироваться к новому миру, где угрозы есть и будут на каждом шагу.
— А как «заразить» сотрудников желанием выстраивать систему безопасности в компании?
— Есть очень циничный, но рабочий подход — обратная финансовая мотивация. Если руководству нужно продавать эффективность, то сотрудников предупреждать о том. что будет при неэффективности.
Как показывает практика, сотрудника способна мотивировать именно персональная ответственность.Но к счастью, отношение к кибергигиене — это хороший показатель в целом ответственности и зрелости сотрудника. Можно по этому принципу прямо и отсеять ненадежных. Если человек не готов пойти на обучение и соблюдать элементарные правила в своей работе, то это потенциально проблемный сотрудник. Если он в таких вопросах ненадежен, то где гарантия, что он будет надежен в остальной работе?
— Можем ли мы составить маст-хэв технических решений для обеспечения кибербезопасности бизнеса?
— Если мы говорим о построении контура информационной безопасности, то нельзя обойтись без таких вещей:
- межсетевые экраны;
- SIEM-системы, которые будут собирать информацию об инцидентах со всех источников;
- решения класса DLP (Data Leak Prevention) для защиты от утечек;
- PAM-системы для контроля внутренних администраторов и сотрудников подрядных организаций.
- SOAR-решения (средства автоматизации реагирования на инциденты);
- EDR-решения (Endpoint Detection and Response) — для обеспечения безопасности конечных точек;
- антивирусная защита;
- LMS (Learning Management System) для повышения киберграмотности сотрудников.
Это могут быть готовые стандартные решения от интеграторов или кастомные продукты, доработанные специально под нужды и специфику компаний. В редких случаях могут быть уникальные собственные разработки. Но в любом случае все эти составляющие для крупной компании — базовые вещи.
«Всегда будут атакующие, всегда будут защитники»
— Ваш продукт СКДПУ НТ помогает контролировать действия привилегированных пользователей. Расскажите, зачем это нужно компаниям?
— По сути наш продукт представляет собой комплексную PAM-платформу (Privileged Access Management). Он нужен, чтобы осуществлять контроль за пользователями, которые имеют повышенные права внутри инфраструктуры.
При любой атаке обязательным этапом взлома является повышение привилегий пользователя. Для того, чтобы это не происходило бесконтрольно, существует такие системы как наша.
Во-первых, СКДПУ НТ помогает определить и настроить права доступа для всех сотрудников. Можно задать правила, вплоть до конкретных временных промежутков для доступа. Мы берем за основу принцип Zero Trust (нулевого доверия). Это значит, что доступ будет ограничен ко всему, что не относится непосредственно к работе конкретного сотрудника.
Также система обеспечивает защиту самого администратора. Ведётся полная запись его действий, логирование, отправка этих логов во всевозможные системы мониторинга (SIEM). Можно в любой момент обратиться к этим логам и найти бреши, подозрительные действия или ошибки.
— Ваша система контролирует доступ только для сотрудников? Или использование систем извне тоже возможно под контролем СКПДУ НТ?
— Даже больше скажу, PAM-решения изначально появились для того, чтобы контролировать внешних специалистов. К сожалению, наиболее актуальная на сегодняшний день угроза — атака на подрядчика. Потому что, как правило, крупная компания или корпорация — защищена по высшему уровню, т.к. вложила в защиту миллионы. Но вот подрядчик корпорации, который разрабатывал для нее что-то, не тратился и гораздо более легкая добыча. К тому же такой подход увеличивает радиус атаки, потому что атака на подрядчика — это атака фактически на все компании, которые обслуживаются у данного подрядчика.
— Верно ли я понимаю, что ваш продукт работает в комплексе с корпоративной культурой кибербезопасности в компании?
— Наша компания заинтересована в построении доверенной среды: когда решения, установленные в контуре безопасности, взаимодействуют друг с другом органично и взаимно дополняют друг друга. И в том числе одним из важнейших элементов является киберграмотность персонала.
Да, не существует серебряной пули, которае бы решила все проблемы. Но есть решения, которые хороши каждое для своей конкретной задачи. И чем большее количество решений взаимодействует друг с другом, тем выше общий уровень кибербезопасности в организации.
— Напоследок, давайте пофантазируем. Насколько критическим вопросом станет кибербезопасность в будущем?
— Мошенники, попытки атаковать, хакеры и утечки данных — будут всегда. Как и попытки этому противостоять. Будут меняться методы атак и методы защиты от них. Но, чем выше осознанность сотрудников в части информационной безопасности, тем более успешной будет компания. Поэтому киберграмотность будут прививать уже с детского сада, как минимум вводить в школьные программы. Дети хорошо впитывают информацию, поэтому будут расти с базисом кибербезопасности. И когда в следующий раз придет фишинговое письмо, дети его проигнорируют так же легко, как мы пропускаем спам.
Всегда будут атакующие, всегда будут защитники. Но я просто уверен, что мы будем с интересом раскусывать все новые мошеннические схемы. Кибербезопасность — это история вдолгую, но чем дальше, тем интереснее.