ООО "Центр Корпоративных Решений" внедрил систему повышения осведомленности персонала в области информационной безопасности
Проект внедрения системы Антифишинг был проведен ООО "Центр корпоративных разработок" (внутренняя ИТ-компания НЛМАК) при участии сотрудников интегратора "Информзащита". Система интегрирована с корпоративными средствами защиты и обеспечивает непрерывный процесс обучения, формирования необходимых навыков поведения в информационном пространстве и снижения числа инцидентов кибербезопасности, связанных с человеческим фактором.
Социальная инженерия — атаки на сотрудников и небезопасные действия людей — остается наиболее успешным вектором, на долю которого приходится основное число проникновений в систему. Год пандемии тоже обнажил многочисленные проблемы кибербезопасности, поскольку компании были вынуждены срочно адаптироваться к "новой норме" удаленной и гибридной работы, что повлекло за собой расширение поверхности атаки и новые риски.
По данным специалистов по пентестам "Информзащиты", атаки с использованием методов социальной инженерии в 80% имеют успех. Это говорит о невнимательности и неумении пользователей применить основные принципы обеспечения информационной безопасности. Даже если компания будет оснащена самыми современными и дорогими системами ИБ, невыполнение персоналом основных правил кибербезопасности будет подвергать угрозам всю инфраструктуру компании.
"Информационная безопасность — это не просто установленный антивирус на компьютере пользователя," - говорит CISO "Центра Корпоративных Решений" Кузнецов Алексей. – Даже при слаженной профессиональной работе службы информационной безопасности и установке всех современных автоматизированных систем мониторинга и предотвращения киберугроз мы не можем утверждать, что компания полностью защищена от всех угроз. У нас тысячи сотрудников, распределенная по всей стране филиальная сеть: для нас повышение осведомленности и формирование правильных привычек безопасного поведения наших сотрудников в цифровом пространстве – одно из приоритетных направлений в рамках обеспечения кибербезопасности всей компании".
На то, как и чему обучать персонал, влияют различные факторы: размер компании, задачи, поставленные руководством, бюджет и так далее. В связи с этим могут быть использованы и различные методы обучения – от самостоятельного прохождения учебного материала до интерактивных тренингов и тренировок на практике, в реалистичных условиях. Опросы пользователей показывают, что ряд существующих программ повышения осведомленности в сфере ИБ недостаточно эффективны: работникам скучно читать описание политик и техническую документацию, термины не всегда понятны и плохо усваиваются, описание атак вызывает недоверие. Упор делается на запреты, а не на понимание природы атаки и примеры правильных действий.
"Учебный процесс, по нашему мнению, должен быть непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках интерактивного обучения, - говорит Алексей Сова, директор по маркетингу компании "Информзащита". – Для реализации проекта в ООО ЦКР мы выбрали платформу "Антифишинг", которая входит в реестр российского программного обеспечения Минкомсвязи. Она обеспечивает дистанционное обучение сотрудников и непрерывную тренировку навыков по безопасности, а также интеграцию с IDM-системой и другими корпоративными средствами защиты".
Система включает в себя обучающие интерактивные материалы в виде курсов с соответствующим тестированием, и имитации атак, "подкидывает" пользователю фишинговые письма, содержащие подозрительные ссылки и "вредоносные" вложения. По результатам реагирования на такие атаки у сотрудника компании формируется рейтинг — объективная метрика, которая показывает уровень защищенности сотрудника, его подразделения и всей организации от угроз человеческого фактора. Отрицательный рейтинг означает, что в большинстве случаев сотрудник совершал небезопасные действия (открывал фишинговые письма, переходил по небезопасным ссылкам и т.д.). Это позволяет компании отследить, ухудшились или улучшились навыки сотрудника по информационной безопасности. Пользователи с низким рейтингом проходят предустановленные курсы по вопросам ИБ в обязательном порядке.
Интеграция "Антифишинга" с системой котроля и аутентификации пользователей позволила команде ИБ ООО ЦКР автоматизировано контролировать, что все сотрудники и подрядчики, имеющие право доступа к корпоративным системам, обладают необходимыми знаниями и нужным уровнем навыков безопасной работы. Если этот уровень знаний или навыков снижается, доступы автоматически блокируются.
Важно, что система повышения осведомленности пользователей позволяет формировать устойчивые привычки и укреплять кибербезопасность в долгосрочной перспективе, а значит снижает число типовых нарушений информационной безопасности, допускаемых работниками. Конечной целью подобных программ является снижение ущерба и потерь (материальных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами компании.