Всем привет! Меня зовут Джамил Меджидов, и я лидирую внутреннее направление Security Awareness в МТС RED. Что бы вы сказали, если бы компании удалось снизить вероятность возникновения киберинцидентов на 70%? Мы постоянно работаем над тем, чтобы минимизировать хакерам векторы для атак. И обнаружили, что несмотря на то, что технические средства защиты работают эффективно, этого недостаточно. Всегда остаётся открытая дверь — социальная инженерия. Здесь на помощь приходят методики повышения киберграмотности пользователей Security Awareness (SA). Мы в компании провели эксперимент — решили не ограничиваться классическими методами SA и ввели роль Security Buddy. Что это такое, как это решение повысило общий уровень киберграмотности сотрудников и чем оно отличается от привычных инструментов Security Awareness — под катом!

Как Security Awareness связан с киберинцидентами

74% инцидентов с данными вызваны человеческим фактором. Неосмотрительные действия пользователя могут привести к проникновению злоумышленников внутрь защищённого контура компании. Последствия — вплоть до утечки данных, остановки бизнес-процессов и прямого финансового ущерба. При этом средства ИБ могут не распознать фишинговое письмо или другую атаку методом социальной инженерии (например, вишинг или сообщение от «генерального директора» в Telegram). Тогда киберграмотность сотрудника остаётся последним эшелоном защиты.

Если компания заботится о повышении киберграмотности сотрудников, она проводит обучающие курсы в рамках Security Awareness. На Хабре можно найти разные трактовки термина SA, поэтому уточним, что мы под ним подразумеваем комплекс мер, направленных на повышение осведомлённости человека в области информационной безопасности. Как правило, это обучающие курсы, памятки, инструкции, воркшопы и т. д. Полученные знания закрепляются киберучениями, которые могут включать рассылку тренировочных (фишинговых) писем, оставленные без присмотра флешки, развешенные QR-коды и др.

Практика показывает, что примерно 30% пользователей, прошедших обучение по информационной безопасности, по-прежнему пересылают конфиденциальную информацию на личную почту, не блокируют компьютеры перед уходом и попадаются на учебный фишинг. Поэтому в МТС RED мы решили не останавливаться на популярных инструментах и попробовать нововведение. Так у нас появилась роль Security Buddy (приятель-наставник в вопросах кибербезопасности, дальше мы будем звать его просто «бадди») — ключевой фигуры в процессе обучения киберграмотности в компании.

Кто такой Security Buddy

Скорее всего, вы знакомы с подходом в HR: за каждым новым сотрудником на период адаптации закрепляется бадди, который знакомит с коллективом, отвечает на вопросы о компании, показывает место, где можно выпить вкусный кофе. Наш герой выполняет такую же роль, только в контексте информационной безопасности.

Полагаю, стоит объяснить различие с ещё одной популярной ролью — Security Champions. «Чемпионы» — это участники команд разработки, DevSecOps и AppSec. Они формируют и внедряют концепцию безопасной разработки. Однако в любой компании есть и другие немаловажные команды: отделы продаж, маркетинга, аналитики, HR и т. д. Им на помощь придут Security Buddy, которые несут культуру информационной безопасности в массы, вне зависимости от отдела. Чтобы бадди знали специфику каждого процесса в компании и были «своими среди своих», их представитель должен быть в каждой команде, а не только в разработке — это одно из ключевых отличий от Security Champions.

Security Buddy не заменяют службу информационной безопасности и техподдержку. Основная задача бадди — это менторинг и просветительская деятельность по вопросам ИБ внутри компании. Без «принудиловки», без назойливости — преимущественно благодаря нетворкингу.

И это работает — к нашим бадди обращаются по многим вопросам. Например: «Каковы требования по ИБ в компании и где их можно найти?», «А можно использовать свою флешку?», «Допустимо ли переслать этот файл себе на личную почту?», «А это фишинг или нет? Что нужно делать?».

Это те вопросы, ответы на которые сотрудник, скорее всего, не сможет нагуглить, а по официальным каналам постесняется выяснить — он же прошёл курс по киберграмотности и вроде бы должен всё знать.

С какими трудностями мы столкнулись

Первые трудности у нас возникли на этапе формирования команды Security Buddy. Эта активность не закреплена в должностной инструкции. Можно назначить человека с позиции «я — начальник». Но эффект от исполнителей «для галочки» будет околонулевой. Нам же нужны заряженные, инициативные коллеги, которые готовы делиться своей энергией и знаниями с окружающими и получать от этого истинный кайф. Как их искать и мотивировать?

Мы привлекли внимание наших коллег к проблеме информационной безопасности, рассказали им про наше нововведение, нашли добровольцев на участие в нашем эксперименте и провели отбор. Чтобы дополнительно замотивировать наших бадди, мы предложили им внешнее обучение по любому направлению в сфере ИБ за счёт компании, а также обеспечили участие в роли спикеров и зрителей в мероприятиях. В качестве дополнительного бонуса наши бадди получают крутой мерч, созданный специально для них (за помощь в реализации отдельная благодарность нашим коллегам из маркетинга и HR). И не стоит забывать про нематериальную награду — благодарность от коллег.

Что в итоге

Подходим к самому интересному — результатам. Стоила ли игра свеч? Однозначно — да! У нас есть результаты за первый квартал, некоторыми мы можем поделиться:

  • количество сотрудников, успешно прошедших киберучение, выросло на 24% по сравнению с аналогичным периодом до введения бадди. Кстати, мы рекомендуем проводить киберучения не реже одного раза в три месяца, иначе бдительность сотрудников постепенно снижается

  • ежедневно к Security Buddy обращаются в среднем 9 человек. И это в ясный солнечный день. В период проведения киберучений к Security Buddy могут обращаться более 40 раз. Значит, в случае реального киберинцидента пользователь также обратится к бадди, что повысит вероятность отражения кибератаки

  • пользователи стали активнее сообщать в SOC о письмах с признаками фишинга. Хотя необязательно эти сообщения от злоумышленников, но сотрудники хотят убедиться в их безопасности

  • каждый сотрудник нашей компании знает, что означает Security Awareness и почему это важно для всех нас

Кроме того, бадди регулярно дают CISO оперативную обратную связь «с полей» — и мы улучшаем защиту цифровых активов компании с учётом особенностей рабочих процессов. Даже если процессы в организации отлажены, может обнаружиться привычка, которая противоречит современным требованиям информационной безопасности. Например, кто-то передаёт файлы подрядчикам через внешнее облако. Если данные не конфиденциальные, система DLP не поднимет тревогу, но в будущем подобная привычка может привести к утечке, безопаснее будет перенести этот процесс в корпоративное облако. Бадди может подсветить такие риски на раннем этапе.

Важно, что требования информационной безопасности не всегда комфортны и могут вызывать у пользователей раздражение и дискомфорт, а Security Buddy — это кибербез «с человеческим лицом». Такой сотрудник объясняет правила ИБ простым языком и стимулирует коллег лояльно относиться к необходимости соблюдать их. Уловки злоумышленников становятся регулярной темой для разговора, обнаружение фишингового письма — предметом для соревнования, кто первый заметит и перешлёт его в службу ИБ или Security Buddy. В результате сотрудники всегда начеку. Вместе с другими инструментами киберзащиты внедрение роли Security Buddy позволяет минимизировать вероятность успешной кибератаки, потому что нивелирует один из главных факторов — человеческую ошибку.

Впереди нас ждёт ещё много работы: Security Awareness — процесс непрерывный, здесь нет финишной прямой. Мы всегда в поисках новых идей и подходов, которые помогают нам в повышении уровня киберграмотности сотрудников.

Комментарии (4)


  1. Grigory_Otrepyev
    26.03.2024 13:55
    +2

    Что бы вы сказали, если бы компании удалось снизить вероятность возникновения киберинцидентов на 70%?

    Лучше расскажите, когда будет пост мортем и рассказ, что там у вас в облаке насмерть упало?


    1. Vadiara50
      26.03.2024 13:55

      возможно, это был такой радикальный (но эффективный) способ снизить количество киберинцидентов.


  1. labyrinth
    26.03.2024 13:55
    +1

    Интересный эксперимент. ИМХО, здесь приёмы внешней и внутренней аттракции сработали + риторика. Информацию доносит не "чужой" безопасник, а "свой" коллега, к которому отношение изначально более лояльное.

    Был ли негатив к "бадди"? То есть, ретранслировались ли у коллег на них страхи перед ИБ? "Стукач", "теперь напрямую ИБшникам о нас докладывать будешь" и прочее? Неужели все сотрудники во всех отделах восприняли "бадди" позитивно?


    1. Dzhamil Автор
      26.03.2024 13:55
      +3

      Хороший вопрос. Концепция строилась на принципе "Бадди - не про запреты, а про помощь". Поэтому, в процессе эксперимента, с негативом мы не сталкивались. Наоборот, была положительная обратная связь от коллег. И еще важный момент, Security Buddy - не сотрудник службы ИБ. Аура "страшных безопасников" обошла их стороной :)