Обеспечение информационной безопасности у большинства технических специалистов ассоциируется прежде всего с техническими средствами, такими как межсетевые экраны, антивирусы и т.д. Однако, эти средства могут оказаться абсолютно бесполезны, если пользователи сами будут разглашать информацию, к которой они имеют доступ в соответствии со своими должностными обязанностями. Здесь речь может идти как об умышленном разглашении (инсайдерах), так и об использовании злоумышленниками методов социальной инженерии. В рамках этой статьи мы будем рассматривать как раз второй случай, когда пользователей сознательно вводят в заблуждение для того, чтобы тем или иным способом получить от них нужную информацию. Мы рассмотрим основные механизмы защиты от социальной инженерии и общие методы обучения пользователей вопросам информационной безопасности.
Обучение по вопросам безопасности
Обучение по вопросам безопасности - это формальный процесс обучения сотрудников передовым методам обеспечения кибербезопасности, позволяющий им лучше ориентироваться во многих угрозах, с которыми они могут столкнуться на работе и дома. Повышение осведомленности о безопасности может включать в себя:
Программы по информированию сотрудников о распространенных угрозах
Моделирование фишинга и другие интерактивные методы для демонстрации реальных примеров угроз
Индивидуальная ответственность за политику безопасности компании
Показатели, позволяющие оценить успешность компании — от уровня фишинга до опросов культуры
Эффективная программа повышения осведомленности о безопасности имеет решающее значение для любой организации, но недостаточно просто провести обучение сотрудников. Организации должны оценивать эффективность программы. Подотчетность также имеет ключевое значение, поскольку сотрудники должны понимать важность соблюдения протоколов безопасности и последствия их несоблюдения. Предпринимая эти шаги, организации могут лучше защитить себя от угроз безопасности и снизить риск утечки данных. Обучение по повышению осведомленности о безопасности можно разделить на четыре этапа:
Определение текущего уровня информированности сотрудников о безопасности и культуры ее соблюдения
Разработка программы повышения осведомленности о безопасности — от тематики до частоты и целевых показателей успеха
Внедрение программы повышения осведомленности о безопасности среди сотрудников
Оценка эффективности программы и внесение изменений по мере необходимости
Основные угрозы социальной инженерии
Прежде чем начать разговор об обучении кибербезопасности, не лишним будет рассмотреть основные угрозы, с которыми мы можем столкнуться.
Начнем с хорошо всем знакомым звонков от «служб безопасности банков», «следователей» и прочих «интересных» людей. В ИТ подобные методы тоже активно используются. Да здесь мошенники реже звонят напрямую своим жертвам, хотя и такое бывает. Но сейчас гораздо чаще в качестве канала связи с жертвами злоумышленники используют мессенджеры.
Типичная история, когда сотруднику в мессенджер стучится кто-то из руководства компании (имя и аватар совпадают) и говорит, что произошел какой-то серьезный инцидент и сейчас с ним свяжется некий советник по безопасности (как-то раз написали по госбезопасности, звучит скорее смешно, чем сурово) и дальше уже этот субъект начинает рассказывать страшные истории про то, что нужно срочно что-то сделать (перевести деньги, передать информацию и т.д.) иначе всем будет очень плохо.
Еще одна классика - это мошенничество с электронной почтой, тот самый фишинг. Это мошеннические действия, при которых мошенники выдают себя за законные компании или знакомых, чтобы обманом заставить людей раскрыть личную или финансовую информацию. Очень важно внимательно изучать адреса электронной почты, ссылки и вложения и проверять их на наличие признаков обмана.
Типовой пример, сотруднику приходит письмо якобы от ИТ службы (с соблюдением нужного оформления) с просьбой помочь протестировать некий новый веб портал. Для этого нужно перейти по ссылке из письма и ввести свои учетные данные. Этот фишинговый ресурс может иметь полное сходство с аналогичным корпоративным ресурсом, отличаясь только в названии (другой домен). В результате злоумышленник получит учетные данные пользователей.
Вредоносное ПО это те самые вирусы, черви, трояны, программы-вымогатели, шпионское и рекламное ПО. Сотрудники должны понимать, как распространяется вредоносное ПО (через вложения электронной почты, загрузки зараженного программного обеспечения, вредоносные веб-сайты) и как защитить себя с помощью надежного антивирусного программного обеспечения, брандмауэра и привычек безопасного просмотра веб-страниц.
Понимание безопасной работы с паролями предполагает понимание важности надежных, уникальных паролей для всех учетных записей и следование рекомендациям компании в отношении безопасных паролей (парольные фразы или сочетание прописных и строчных букв, цифр и символов). Здесь важно донести до пользователей, что нельзя использовать одинаковые пароли для личных ресурсов (почты, соцсетей) и для корпоративных учетных данных. Понимание безопасной работы с паролями также предполагает знание методов многофакторной аутентификации (MFA) и отказ от обмена паролями.
Еще один интересный вектор атак - это съемные носители Использование съемных носителей, таких как USB-накопители, внешние жесткие диски и SD-карты, сопряжено с определенными рисками. Найденная перед входом в офис флешка может содержать вредонос, специально разработанный для атаки на вашу сеть. Также под видом флешки может скрываться другое устройство, претворяющиеся клавиатурой и при подключении выполняющие определенные команды от имени текущего пользователя (атака BadUSB). Заражение может привести к непреднамеренному распространению вредоносных программ. Утеря таких носителей может привести к утечке данных. Рекомендуется использовать только надежные устройства, проверять все съемные носители на наличие вирусов перед использованием и по возможности избегать их использования для хранения конфиденциальных данных.
Правила безопасного использования Интернета включают в себя понимание рекомендаций по безопасному просмотру веб-страниц, включая распознавание защищенных веб-сайтов (https), осторожность при загрузке файлов или программного обеспечения из неизвестных источников, отказ от перехода по подозрительным ссылкам и внимательное отношение к обмену личной или финансовой информацией в Интернете.
И наконец, социальные сети. Пользователи должны быть осведомлены об угрозах, связанных с использованием платформ социальных сетей, таких, как попытки фишинга, кража личных данных, кибератаки и т.д. К хорошим практикам относятся корректировка настроек конфиденциальности, осторожность в отношении передаваемой информации и бдительность в отношении лиц, выдающих себя за других, или подозрительных сообщений. В частности, не стоит указывать номера телефонов, адреса служебной электронной почты в открытом доступе.
Рассмотрев основные угрозы, посмотрим, как от них можно защититься.
Стратегии повышения осведомленности о безопасности
Учитывая вышесказанное, становится ясно, что необходимо серьезно отнестись к мероприятиям по повышению осведомленности о безопасности. Рассмотрим несколько рекомендаций несколько рекомендаций по организации таких мероприятий.
Понятно, что у обычных пользователей (бухгалтеров, менеджеров) как правило нет глубоких познаний в вопросах информационной безопасности. Это также в полной мере относится и к топ менеджерам, которые также являются лакомым куском для мошенников, ведь приказ высокого руководства вряд ли кто-то осмелится не выполнить.
В связи с этих необходимо наладить в организации процесс обучения персонала вопросам ИБ. Конечно можно организовать курсы по вопросам кибербезопасности в офлайн формате. Но есть большая вероятность, что посещаемость у таки мероприятий будет не очень, так как у сотрудников всегда много конкретной работы и им не очень хочется отвлекаться на неважные, по их мнению, вещи.
Гораздо лучше подготовить материалы в формате лонгридов, возможно, с видеофрагментами. В таком случае пользователи могут сами находить время, когда им удобно будет смотреть эти материалы. Хотя и здесь есть риск того, что многие будут игнорировать регулярные напоминания о необходимости прохождения обучения.
И для борьбы с таким подходом в организации должна быть выстроена организационная структура, ориентированная на обеспечение безопасности, то у вас должна быть команда людей, ответственных за реализацию вашей программы повышения осведомленности о безопасности. Это может быть администратор, управляющий данной программой, и специалист по безопасности в каждой области организации, который может способствовать внедрению и поддерживать формирование культуры безопасности. Важно понимать, что если роли четко не определены, обучение по повышению осведомленности о безопасности может превратиться в рутинную работу, которая так и не будет полностью внедрена.
Осведомленность пользователей важно регулярно проверять. Для этого прежде всего должны быть разработаны тесты, с помощью которых можно оценить уровень осведомленности пользователей. Также необходимо проводить учения, например, отправлять определенной группе письма с предложениями перейти на веб ресурс и ввести свои учетные данные. С теми пользователя, которые это сделают, нужно будет провести дополнительную работу, а затем снова повторить проверки.
Ну и в целом необходимо понимать, какие именно задачи вы ставите перед мероприятиями по осведомленности в области ИБ, а для этого необходимо составить модель угроз и провести оценку рисков.
Заключение
Обеспечение осведомленности сотрудников в вопросах информационной безопасности позволит существенно увеличить защищенность корпоративных ресурсов в целом и снизить вероятность компрометации сети из-за их неаккуратных действий.
Всех желающих, для кого актуальна тема информационной безопасности, приглашаем на открытый урок «Комплексная кибербезопасность компании» 22 августа.
В результате вебинара участники узнают, как в современных реалиях выстроить ландшафт инфобеза, что необходимо помнить и о чем не забывать, когда мы работаем с кибербезопасностью. Участники также узнают, как рассказать бизнесу, что ИБ это не затраты, а инвестиции. Записаться можно по ссылке.