О чем же статья?
В этой статье не будут подробно разбираться основы и принципы информационной безопасности, почему это так важно в современном мире и т.д.
Статья существует чтобы обратить внимание на важность осведомлённости всех сотрудников любой компании, от большой до маленькой, о возможных подводных камнях на пути, а также о возможных инструментах, которые могут помочь.
Почему это вообще важно?
Всем прекрасно известно с какой скоростью и в каких объёмах происходит процесс цифровой трансформации в нашей жизни. Практически все старые и привычные физические документы уже имеют свои цифровые аналоги. Это же касается и процессов в различных компаниях, будь то коммерческие предприятия или государственные.
Запрос на специалистов в сфере Информационной безопасности (ИБ) продолжает расти вместе с предложением, законы покрывают всё больше аспектов её обеспечения, а вопрос о защищенности тех или иных процессов всё чаще встречается в кабинетах начальников. Но говорит ли это о том, что все работники знаю обо всех «постулатах» и требованиях соблюдения безопасности и уж тем более выполняют их?
Конечно же нет…
Большая часть успешных атак основана на невнимательности или ошибках сотрудников, проще говоря человеческом факторе, чем и пользуются злоумышленники. 74% успешных атак связанны с человеческим фактором по данным исследования на 2023 год DBIR Report 2023 | Verizon . За прошлые годы статистика схожая:
Именно поэтому повышение осведомлённости всех сотрудников – важная задача как сотрудников ИБ компании, так и руководителей.
Несколько классических примеров
-
Группа разработчиков в бо́льшей степени работает удалённо. Для них специально была подготовлена и развёрнута среда для защищенного удалённого подключения во избежание возможных инцидентов. Но ведь подключаться с помощью каких-то сложных средств защиты так неприятно и неудобно, правда? Ещё и какие-то заявки писать надо, куда-то подходить, что-то подписывать. Поэтому бравые разработчики спокойно подняли себе свой VPN или, не дай бог, просто подключаются удалённо напрямую к своим рабочим компьютерам в офисе и пишут свои программки.
-
Впереди новогодние праздники и почтовые ящики сотрудников забиты различными письмами с поздравлениями, новостями о так ожидаемых премиях и других интересных предложениях от Компании ООО "Рога и Копыта". Однако среди всего это списка неожиданно затесалось письмо от знакомого адреса hr@r0gaikopita[.]ru со специальным срочным предложением только для своих на путёвки со скидкой в тёплые края в новогодние праздники. А в письме ссылочка на оформление. Но вот проблема, адрес отправителя на самом деле с ошибкой, а наш бухгалтер Наталья Ивановна была не внимательна, да и очень хотела попасть на отдых подешевле. И конечно же она нажимает на эту замечательную ссылку, а дальше всё как в тумане…
Почему-то на следующий день оказывается, что Наталья Ивановна умудрилась написать всем сотрудникам личные письма с прекрасными новостями о повышенной премии и со ссылкой на пересчёт премии в этом году. А всё дело в том, что ссылка, что так заинтересовала нашего бухгалтера, была на самом деле фишинговой и через неё был заражен компьютер Натальи Ивановны.
Замечательный кабинет отдела HR. Работа кипит, утро, уборщица приходит протереть полы, столы от пыли, полить цветочки. На время уборки наши прекрасные сотрудники и сотрудницы HR решили выйти, не мешать же человеку во время уборки. И тут наша трудолюбивая уборщица Тамара вспоминает, что совсем забыла купить билеты на поезд домой на время отпуска, а как назло, телефон у неё кнопочный, компьютер у неё только дома. Как хорошо, что наши любимые сотрудники HR оставили на столе бумажки с паролями, которые им выдали вместе с рабочими местами, и просили уничтожить после проверки. Тамара спокойно садится за компьютер, вводит неспеша буквы и цифры с бумажки и попадет в компьютер сотрудника. И тут Тамара вспоминает, ведь у неё сынок работу как раз ищет, а здесь такая возможность хорошая, возьми, да запиши его в списочки в программке, которая удобно открыта на компьютере. Так Тамара и поступила. Конечно же спустя время это раскрылось, но уволили по итогам не только Тамару, но и бедного сотрудника HR.
Это были самые банальные и классические примеры, однако достаточно показательные и часто встречающиеся на практике.
Как же быть и что же делать?
В первую очередь нужно осознать простую истину – большинству работников, не связанных с информационной безопасностью, глубоко на неё плевать. Программисту важно написать функционально рабочий код, финансистам высчитать все затраты и прибыль, а HR не потерять потенциальных новых сотрудников среди кучи анкет. Они и так загружены своими проблемами и задачами, сроки горят, а придумывать новые пароли и запоминать их некогда. Именно в этом и кроется главная сложность. Необходимо донести до сотрудников всю важность информационной безопасности, не помешав им при этом и не завалив лишней информацией.
Именно поэтому посвящать всех в сложности защиты информации необходимо осторожно, плавно, без давления. Если, конечно, ситуация не критична, и сотрудники не успели уже насобирать кучу вирусов и майнеров…
Здесь я бы хотел выделить несколько основных типов сотрудников по их характеру и отношению к информации и информационным технологиям в компании:
Моя хата с краю…
Пожалуй, самый неприятный тип сотрудников. Основной загвоздкой тут является то, что им просто безразлична безопасность и всё, что пытаются донести сотрудники ИБ. У них есть свои обязанности, и они только ими и занимаются. Для такого рода сотрудников важно создать ощущение, что все эти сложные процедуры со сменой паролей, обновлениями операционных систем, проверками антивирусом и так далее – это нормальный рабочий процесс, часть именно их работы. Если все вокруг будут выполнять подобные «обряды», для них это будет меньшим триггером.
Ой, я случайно…
К данному типу я отношу тех сотрудников и сотрудниц, кто может и слушал внимательно (или делал вид, что внимательно) сотрудника ИБ, когда он рассказывал про опасные ссылки и бумажки с паролем, однако по итогу в одно ухо вошло, а в другое вылетело. Многим из нас свойственно забывать вещи, которые не касаются нас постоянно и не вошли в привычку. Именно поэтому важно чаще напоминать о самых важных и простых мелочах, из которых может сложиться в дальнейшем инцидент.
А судьи кто?..
Есть такой тип людей, которым важно убедиться, что где-то кем-то было написано точно слово в слово, что это запрещено делать (я и сам из таких…). Если вдруг в ваших внутренних документах компании или в каких-либо законах или приказах не написано, что нельзя играть со своими коллегами в танки на рабочем месте, то с них взятки гладки, и не прикопаешься. Так что придётся достаточно хорошо знать законодательную базу и внутренние документы или хотя бы уметь быстро найти нужный абзац и знать где искать.
Но ведь я всего лишь уборщица…
В любой компании всегда будут сотрудники, которые не взаимодействуют с защищаемой информацией или какими-либо информационными системами и т. д. Однако это не отменяет факта, что они также могут повлиять на безопасность, в том числе нарушить её (вспомним пример с добродушной Тамарой). Для таких сотрудников обязательно стоит уделять время, особенно если это какие-то сторонние клининг компании или сантехники, а не работники вашей компании. Тут главное контроль и уверенность в том, что они поняли и приняли информацию. А если остальные ваши сотрудники будут выполнять основные требования ИБ, то это упростит вопрос.
Есть ли выход?
Разобравшись с основными типами сотрудников, можно перейти и к способам решения нашей глобальной проблемы. Далее будут перечислены основные мысли и предложения по улучшению ситуации с ИБ. Одни покрывают сразу несколько типов сотрудников, другие могут быть направленны только на один тип, но все эти предложения сто́ят рассмотрения к применению. Многие из них были проверены временем и взяты из моего личного опыта.
1. Площадка обучения
Достаточно удобным вариантом для мягкого внедрения ИБ для всех сотрудников является существование площадки для обучения сотрудников. Если в компании уже существует такая площадка по компетенциям, в рамках неё также стоит рассмотреть варианты курсов или небольших уроков по различным аспектам информационной безопасности. Это могут быть простые видеоролики с пояснениями тем, тестами с выбором ответов и другие базовые методы обучения. Такие курсы стоит назначать новым сотрудникам, а также периодически давать проходить уже давним сотрудникам, чтобы освежить память и напомнить о важных вещах.
Если в вашей организации вдруг существуют объекты критической информационной инфраструктуры, также стоит обратить внимание сотрудников на эту важную тему, особенно учитывая серьёзность возможных последствий нарушения безопасности.
Курсы не должны быть нагружены большими объёмами сложной информации об обеспечении ИБ, а скорее говорить о базовых вещах: важность сложности и периодической сменяемости паролей, внимательность к письмам на почте, странным звонкам и так далее. Любой сотрудник даже с базовыми познаниями в информационных технологиях должен понять все то, что им будет предлагаться в курсах.
Если же обучающей площадки нет, то стоит подумать о возможных небольших лекциях с презентациями для сотрудников, по возможности не массовые, а направленные на отдельные группы, отделы и т. д. Так Вы сможете уделить внимание каждому и лучше удержать их заинтересованность в теме.
2. Почтовые рассылки и другие способы обратить внимание
Важно не только единожды объяснить сотрудникам основы ИБ в компании, но также напоминать им. Самыми удобными вариантами будет создавать периодические рассылки на почту, например с напоминанием о сложности пароля и необходимостью периодически менять. Даже если сотрудники не станут читать письмо полностью, у них перед глазами всегда будет всплывать напоминание. Если вдруг, не дай бог, в организации произойдёт какой-то инцидент, важно будет оповестить сотрудников о случившемся, в таком случае это послужит для них примером возможных последствий.
Также, можно немного потратиться и сделать различные постеры, плакаты и подобные вещи, напоминающие сотрудникам о тех же важных аспектах. Тогда у них перед глазами постоянно будет мелькать информация и со временем она может уйти на подсознание (как с назойливой рекламой и джинглами по телевизору).
3. Обновление внутренних документов
Частой проблемой является постоянная изменчивость как законодательной базы страны, так и внутренних процессов компании. В связи с этим актуальность внутренних документов часто не поддерживается. А это означает, что сотрудники могут нарушить какие-то постулаты, просто не зная о том, что они нарушают что-то. Да, незнание не освобождает от ответственности, но мы ведь не хотим получить утечку данных, даже если найдём виноватого, верно?
Поэтому стоит возвращаться к различным приказам, инструкциям и другим документам хотя бы раз в год, а то и чаще, актуализировать их, приводить к понятному виду, который просто будет читаться сотрудниками, не знакомыми со сложными формулировками.
Зачастую так получается, что многие формулировки таких документов очень расплывчаты и интерпретировать их можно разными вариантами. Отсюда и может вылезти проблема доказывания своим же сотрудникам, что они что-то нарушают. Важно донести мысли кратко и чётко, чтобы каждый мог понять, что от него требуется с точки зрения ИБ.
И конечно же важно не забыть донести информацию об изменениях в документах, чтобы в дальнейшем не случились казусные ситуации. Верным решением будет оповестить всех сотрудников об изменениях, например по почте, однако для небольшого количества можно сделать лист ознакомления и собрать подписи. В первом случае рекомендуется не забыть закрепить документально факт согласия сотрудников с последующими версиями документов при первичном ознакомлении и подписании согласия.
И, конечно же, сотрудникам ИБ важно и самим помнить, где и что в различных ситуациях можно найти и указать на конкретный документ, чтобы доказать свою позицию (вспоминаем про тех, кому нужны доказательства).
4. Начинаем с головы
Какой бы ни была компания, для большинства сотрудников их непосредственные и вышестоящие начальники являются примером. Если начальник отдела разработки ни во что не будет ставить просьбы соблюдать правила, то его подопечные точно также будут забивать на всё. Потому стоит первоначально постараться донести информацию до вышестоящих сотрудников, тогда будет гораздо проще в дальнейшем внедрить в головы сотрудников важность соблюдения правил. Дополнительно эти руководители будут опорой для отслеживания соблюдения требований ИБ и упростят задачу сотрудникам информационной безопасности.
5. VIP
Говоря о руководстве, не стоит забывать, и о директорате. Для этой группы сотрудников также крайне важно соблюдение всех правил, всё-таки в первую очередь пострадает их компания в случае инцидентов. Но в силу своих обязанностей, зачастую они чисто физически не могут отслеживать все изменения и новшества в сфере ИБ их компании и сами устанавливать различные обновления, менять пароли и так далее. Потому стоит задуматься о возможности максимальной автоматизации всех процессов или, в крайних случаях, всегда рассматривать данную группу отдельно, заранее предполагая какие дополнительные действия понадобится совершить.
6. Удобство превыше всего
Как бы банально это ни звучало, но многие вещи нарушаются в первую очередь из-за сложности или неудобства для сотрудников. Именно поэтому стоит всегда рассматривать самый оптимальные и простые варианты применения различных средств или методов защиты информации. Чем проще людям будет подключаться удалённо, чем проще им будет ознакомиться с документацией, чем проще будут работать все защитные механизмы, тем больше вероятность того, что сотрудники будут участвовать в корпоративной защите.
7. Диалог тоже инструмент
Как бы хорошо или плохо не относились к сотрудникам ИБ в компании, очень важно поддерживать диалог со всеми группами сотрудников. Без нормально выстроенного диалога не будет возможности донести нужную информацию. Будь то участие группы ИБ в каких-то проектах или простой мониторинг ситуации в компании, необходимо иметь грамотный подход ко всем коллегам, знать, как и к кому подойти, какие вещи и как сказать, чтобы Вас послушали.
8. Наглядные успехи
Чтобы сотрудники не чувствовали, что все те правила, что их заставляют соблюдать не приносят ничего, кроме лишних проблем и забот, стоит делиться с ними успехами. Например, к концу года сообщить об уменьшении инцидентов или событий ИБ, сказать о том, какие атаки были предотвращены благодаря сотрудникам. Можно также сделать статистику самых преданных сотрудников, выполняющих всё, тем самым выделив их и замотивировав остальных. Если внимательные сотрудники, получив фишинговое письмо, сразу же сообщали об этом сотрудникам ИБ, то можно как-то их за это наградить.
9. Доверяй, но проверяй
Хорошим вариантом для проверки знаний сотрудников может послужить тестовое фишинговое письмо или звонок с целью получения выгоды. Если сотрудникам ИБ время позволяет, они могут подготовить плановую проверку, имитируя атаки через фишинг, звонки с "левых" номеров и другие инструменты, которыми пользуются злоумышленники. Таким образом возможно будет собрать статистику с Вашей Компании, а также обнаружить уязвимых сотрудников. В дальнейшем с ними можно провести дополнительную беседу, объяснив в чём была их ошибка, как впредь не попадаться и к кому обращаться в случаях возникновения подобных ситуаций.
Эпилог
Этот большой список, как уже говорилось, основан на личном опыте и может быть дополнен иными инструментами. Однако его можно использовать как некий чек-лист, при возникновении вопроса о сознательности сотрудников в теме информационной безопасности. Надеюсь статья была Вам полезна и Вы нашли для себя какие-то новые инструменты.