В прошлой части я рассказала про три активности в рамках security awareness — CTF, quiz и квесты. Сегодня рассказ пойдет о не совсем классических вариантах обучения, но не менее интересных, при этом затрону и провальные истории.

Сериал

В первый год проведения наших “недель безопасности” было принято решение снять мини-сериал. Само собой, сериал должен был быть с образовательным смыслом и показывать сотрудникам основные угрозы и как нужно правильно поступать в различных ситуациях. В качестве основной сюжетной линии была выбрана история шпиона, который внедрился в компанию, разослал фишинговые письма и на протяжении нескольких серий пытался выведать конфиденциальную информацию. 

Всего 4 серии по 15 минут. В каждой серии раскрывались отдельные проблемы: основы информационной безопасности, фишинговые письма, бесхозные флешки, обращение с конфиденциальными документами и носителями, блокировка компьютера и подобное. 

Снять и смонтировать самостоятельно и без опыта крайне сложно, поэтому была приглашена профессиональная команда. Сериал снимался в офисе компании и главными героями были сотрудники. Лучших выбирал сам режиссер на кастинге. Все эти приготовления очень сплачивают и развлекают людей: вряд ли в обычной жизни кто-то может позволить себе сняться в сериале или фильме. Смеха ради, меня выбрали на роль глупой блондинки, но даже эту роль непрофессиональному актеру играть очень непросто. Сюжет был написан совместно с командой ИБ и сценаристом, таким образом, чтобы в нем был образовательный посыл и в то же время зрителю было интересно посмотреть следующую серию. 

Советы из опыта:

  • Съемка сериала – это серьезное занятие, будьте готовы, что на 15 минут готового материала придется потратить несколько дней съемок. 

  • Как и в истории с квестом, сценаристы не смогут сделать всю работу за вас, придется совместно думать над сюжетом, образовательными моментами и разными нюансами.

  • Лучше, чтобы хотя бы несколько ролей играли сотрудники ИБ, так будет достигнута цель — знакомство с командой. Не бойтесь показаться глупыми) 

  • Игра "актеров". Если у ваших сотрудников нет актерского образования (а, скорее всего, так и есть), то итоговый сериал будет выглядеть довольно смешно. Когда сам снимаешься в сериале, кажется, что отлично вжился в роль, но когда смотришь это все со стороны — сразу становится видна разница между актерами и теми, кто играет в актеров. Поэтому у нас вышло даже хуже и смешнее, чем в ролике из сериала

  • И в этом весь смак, цель “собрать большое количество зрителей” точно будет достигнута. 

Общий вывод — активность самая сложная по подготовке и одна из самых дорогих (закладывайте не меньше 3-4 млн руб. на короткий сериал), но вау-эффект вам обеспечен. 

Плакаты

Один из самых классических методов повышения осведомленности. Выбираешь единую стилистику, конкретные темы, которые хочешь донести до сотрудников, и... приглашаешь дизайнера. Мы старались придумать не стандартные плакаты в формате "не болтай", а что-то оригинальное и с элементами именно нашего офиса (чтобы свое, родное). Вот примеры того, как это выглядело:

Такой способ донесения информации подходит, если большинство сотрудников находится в офисе. В текущее время удаленки нужно придумывать что-то другое. Можно плакаты ставить в качестве фона на компьютере, но это может вызвать больше негативный эффект, чем познавательный.

Лекции

Лекции от коллег, которые разбираются в тематике и умеют об этом рассказывать, всегда будут пользоваться популярностью. Мы стараемся постоянно принимать участие во внутренних DemoDay, рассказывая о новых достижениях и интересных продуктах внутри компании. В рамках недели безопасности тоже можно затронуть ряд тем, относящихся к информационной безопасности. Если хотите охватить как можно больше людей внутри компании, то стоит рассказать про те темы, которые затрагивают всех сотрудников — например, EDR или NGFW. Либо рассказать про те решения, которые помогли вам обнаружить реальные инциденты или атаки в рамках redteam/pentest. 

Также в рамках лекций можно охватить технических специалистов компании, в этом случае тематику лекций можно поменять на то, какие технические сложности были при внедрении или разработке какого-то решения и как удалось это решить. У себя мы также делали доклад из серии web hacking 101 с базовым разбором, как и что можно ломать (конечно же, в рамках официальных программ bug bounty). 

Для внешних лекций мы приглашали коллег из компаний в сфере ИБ, которые рассказали про различные интересные сценарии проникновения внутрь компании, в том числе такие, которые бывают в шпионских фильмах: удаленное копирование пропуска, проникновение через кладовку и прочее. Также интересные доклады есть у коллег из Антифишинга — разбор различных психологических паттернов и примеры того, на что может быть направлена та или иная фишинговая атака: желание помочь, жажда наживы, любопытство и другое.

Hackit

Идея этого задания казалась невероятно крутой, и одновременно мы думали, что она будет нести огромный эффект в образовательных целях. Но уже после сбора фидбека мы поняли, что большинство сотрудников просто прошли задания, поиграли, но ничего не вынесли из этого. И все равно, несмотря на это, считаю, что идея и реализация стоили того. Но не буду томить и расскажу подробнее. 

Идея была основана на первых сериях сериала mr. Robot — когда главный герой загружал все ключевые теги о жертве в специальный софт и далее с его помощью перебирал все возможные пароли. Образовательная идея была в показе сотрудникам, что пароль должен быть полностью произвольным и не основан на какой-то личной информации. Для этого мы создали рабочий стол сотрудника и разместили на нем подсказки, которые что-то говорят о человеке, либо которые этот сотрудник мог использовать, когда придумывал свой пароль. И далее нужно было угадать пароль сотрудника. Подобную активность можно использовать в качестве около развлекательной, но не более.

Фильмы

Все любят фильмы,  тем более — фильмы про хакеров. Так мы думали, когда запускали кино-вечера в рамках недели безопасности. Мы выбрали самые известные на наш взгляд фильмы про хакеров: "Взлом" и "Хакеры". Закупили пиццу, пиво, попкорн, сделали заранее анонсы и ждали огромную очередь на вход в конференц-холл!

По факту смотрели фильмы в уютной обстановке только безопасники и парочка увлеченных разработчиков :) Возможно, если как следует пропиарить эту активность, то это будет иметь право на жизнь. Обучающую составляющую можно тут поискать, но надо ли? ;)

Игра от Касперского

Уже не помню, когда и в какой момент мы наткнулись на KIPS (Kaspersky Interactive Protection Simulation), не знаю, есть ли сейчас какие-то аналоги, но формат довольно уникальный, поэтому стоит рассказать подробно. Тут есть информация от вендора, а здесь еще один неплохой обзор.

KIPS представляет из себя настольную игру, в рамках которой вы должны выстраивать систему защиты вашей компании и реагировать на те или иные атаки. Причем так же, как и в реальном мире, у вас есть ограниченный ресурс (деньги и время), а реальность меняется каждый ход. Игра рассчитана на senior-management и представителей от бизнеса. Приведу цитату от вендора: "В условиях реалистичных атак командам необходимо найти баланс между приоритетами технологического процесса, бизнеса и безопасности. Они анализируют данные и принимают стратегические решения на основе неполной информации и ограниченных ресурсов. Таким образом создается приближенная к жизни ситуация – в основе каждого сценария лежат события, которые могут произойти на самом деле". 

Как это было у нас. 

Во-первых, мы выбрали очный формат проведения (с карточками, как в настольной игре, и ведущими). Онлайн-формат не даст нужного погружения и возможности смотреть, как принимают решения ваши соперники. При этом мы заранее сами протестировали (как и всегда!) ускоренный формат в онлайне, чтобы понять, про что игра и насколько она нам нужна.

Игра длится около 2—2,5 часов, при этом лучше заранее сделать разделение по командам, чтобы в каждой из команд был кто-нибудь с техническим или около техническим бэкграундом, иначе будет сложно ориентироваться в незнакомых терминах.

Советы из опыта:

  • за счет того, что игра рассчитана на менеджмент, планировать встречу стоит сильно заранее

  • если приглашать людей на "игру" без детального объяснения, что это и зачем, то может оказаться, что практически никто не придет. Заранее продумайте, для кого это будет полезно и как привлечь к такой активности 

  • как и говорила ранее, лучше оффлайн формат, тем более сейчас, когда все привыкли видеть друг друга только через экраны ноутбуков

Вывод: игра точно стоит времени и денег, чтобы ее провести, познакомить менеджмент с базовыми подходами безопасности и немного погрузить в проблематику. И бюджет на средства защиты будет немножко проще согласовывать ).

Стикеры — наклейки и в телеграм

Все IT-шники любят стикеры. Кроме сотрудников helpdesk, которые вынуждены очищать ноутбуки от этих стикеров :). Мы несколько раз выпускали серию стикеров, при этом самое сложное было не брать обычные стереотипные изображения, связанные с информационной безопасностью (замОк, горящий экран и прочее). Также в период пандемии и тотального перехода рабочего общения в мессенджеры мы сделали стикеры для telegram, при этом изобразив в том числе и корпоративного бота, который следит за составом групп (у нас он называется Wiggum в честь шерифа из Simpsons). 

Советы из опыта:

  • Стикерами в телеграм реально будут пользоваться, только тематику сделайте приближенную именно к вам. 

  • Про наклейки мало что можно добавить, единственное, смотрите на материал, из которого они сделаны, чтобы можно было относительно безболезненно удалить их с ноутбука.

Видеоролики

Если у вас в офисе есть какие-то мониторы, где транслируется важная информация или новости, то отлично могут подойти видеоролики. Тут, в отличие от сериала, мы сделали это в мультяшном формате, но при этом все еще стараясь ухватить какие-то уникальные элементы офиса или сделать персонажей похожим на кого-то из сотрудников. 

Тематики стандартные: не приклеивайте стикеры с паролями на монитор, блокируйте компьютер, используйте шредер для уничтожения важной информации, etc. 

Делайте короткие мультики и подходите с креативом, тогда можно вызвать положительный отклик у коллег.

Если у вас есть корпоративный портал, то в том числе для новых сотрудников такие ролики станут хорошим познавательным материалом.

1 часть статьи читайте тут.

Outro

На этом у меня все, как вы видите, security awareness можно и нужно делать с креативом, хоть это и сильно сложнее, чем надоевшие всем опросники, стандартные брошюры и тесты. 

А какие у вас есть подходы и какой из форматов вам понравился больше всего?

Комментарии (0)