Проблема — налицо: рынок специалистов по awareness в России почти пуст, а сами компании не всегда понимают, зачем это вообще нужно. Также неплохо было бы понимать, что мы хотим от специалистов по awareness и какими качествами он должен обладать. Но давайте по порядку.
На данную тему буду рассуждать я - Никифоров Илья - специалист по повышению осведомленности в ИБ в Ашан Тех. Мысль о статье зародилась, когда на HH я не нашел ни одной вакансии по Awareness. Прозаично? Зато правда.
"Человек разумный, но доверчивый"
Вы знали, что 95% всех киберинцидентов происходят из-за человеческого фактора? То есть не супер-хакеры с ноутбуками в подвалах, а самые обычные сотрудники, которые:
открывают письма с темой "Ваш бонус за продуктивность";
вводят пароль от корпоративной почты в первый попавшийся сайт;
случайно пересылают важные данные "партнёрам", которые потом оказываются мошенниками.
Я всегда говорил и буду говорить: вы можете потратить на системы и ИБ миллиарды, но если культура ваших сотрудников по вопросам ИБ низкая, то эти системы вас не защитят, ничего не защитит, и вы попадете на деньги как ни крути. Информационная безопасность в компании = синергия подкованных сотрудников и современных систем безопасности. И вот тут вступает в игру специалист по awareness. Его задача — сделать так, чтобы даже бухгалтер Светлана Павловна знала, что "Ваш счет заблокирован. Срочно введите данные" — это не от банка, а от хитрых мошенников. На Хабре есть материал, где подробно рассматриваются психологические приемы фишинга, такие как манипуляция страхом и жадностью (читать).
Вакансии в России по Awareness, ау, вы где?
Готовы к сюрпризу? Просто для сравнения, я не делал глубокий анализ рынка, я пошел по простому пути. В поисковой строке Linkedin я вбил Security Awareness в двух странах Россия и США, что я увидел. 11 вакансий в России, которые к Awareness относятся, как офисный кактус к озеленению города, против порядка 3000 вакансий в США.
Возможно, я некорректен в запросе и не стоило искать английские слова в русскоязычном сегменте. Поэтому я поискал – Повышение осведомленности (так переводится Awareness на русский). И что я увидел? Да чего только не увидел: от копирайтера до специалиста по ГО и ЧС.
Почему так?
Низкая зрелость рынка. Порой компании считают, что Awareness — это что-то факультативное. Данный вывод базируется исключительно на моем опыте работы в различных организациях.
"Дайте нам кого-нибудь, но дешёвого." Компании не готовы инвестировать в отдельного специалиста, полагаясь на энтузиазм ИТ-шников или HR.
Неоправданные надежды на технологии. "Мы поставим антивирус за миллион — и пусть он работает". Без людей, которые знают, как не подставлять компанию, такие технологии бесполезны.
Awareness — это не скучно
На Западе таких специалистов называют "архитектор культуры информационной безопасности" (Security Culture Architect). Звучит, правда? Но суть не в пафосе. Этот человек:
учит сотрудников, как не попасть на удочку мошенников;
объясняет, зачем нужны сложные пароли, которые сложно запомнить;
внедряет культуру безопасности в повседневную жизнь офиса.
Это не про "штрафы за неправильные действия", а про вовлечение и простые объяснения: "Вот это делать не надо, а вот это спасёт вашу компанию от утечки".
Актуальные кейсы: лжемошенники и подмена почты
Наши основные занозы — это лжемошенники в Telegram, которые пытаются прикинуться «руководством», и подмена официальных почтовых ящиков компании. Боремся мы с этим активно: усиливаем проверки, обучаем сотрудников и постоянно мониторим подозрительные активности. И отдельный респект нашим бдительным коллегам, которые перестраховываются и уточняют свои опасения у ИБ — ваша внимательность — лучшая защита! Обнял, приподнял.
Чем занимается специалист по awareness?
Вот вам примерный список задач, чтобы не было вопросов:
Обучающие тренинги. В игровой форме — чтобы не заснуть на первой минуте.
Симуляции фишинговых атак. Письма, на которые так хочется кликнуть, но нельзя.
Личные консультации. Для тех, кто боится спросить, что такое VPN.
Дайджесты и аудиопамятки. Чтобы знать, что делать, когда увидел подозрительное письмо.
Геймификация обучения. Как сделать защиту от угроз интересной? Да легко! Кстати на Хабре есть интересный материал на эту тему: статья поднимает тему человеческого фактора, как главной уязвимости, и предлагает строить постоянное обучение сотрудников прямо на рабочем месте. Такой подход помогает минимизировать риски атак через социальную инженерию (читать).
Портрет идеального кандидата
-
Знания:
как работает фишинг и социальная инженерия;
какие инструменты помогают обучать (LMS, симуляторы);
как написать текст так, чтобы его прочитали.
-
Качества:
умение говорить просто о сложном;
чувство юмора — иначе сотрудники просто сбегут с тренинга;
организованность и немного креативности;
много терпения…
-
Опыт:
проведение тренингов;
внедрение программ осведомлённости;
работа с "особыми" сотрудниками (включая руководство).
Это не дело одного года, потому что развитие и эволюция не происходят по щелчку пальцев. Это планомерная и тяжелая работа, которая охватывает множество направлений.
Идеальный специалист — это не просто "айтишник" или “безопасник”, это педагог, креативщик и стратег, который знает, как сделать безопасность понятной и полезной для каждого сотрудника.
Так нужен ли Awareness?
Вопрос риторический. Без осведомлённости сотрудники компании остаются самой слабой точкой в системе безопасности. Да, российский рынок только начинает понимать это. Да, пока специалистов мало. Но это не значит, что нужно ждать, когда "прилетит фишинг" и всё испортит.
Культура информационной безопасности — это марафон, а не спринт. И начать его лучше сегодня, чтобы потом не пришлось тратить миллионы на ликвидацию последствий.
А как вы видите роль awareness в вашей компании?
На ваш взгляд, должен ли этот процесс быть отдельным направлением с выделенными ресурсами, или достаточно инициатив внутри существующих команд? Поделитесь своими мыслями в комментариях — вместе мы можем лучше понять, как развивать этот рынок в России.
NonnaLiza
Никогда раньше не слышала о такой вакансии. Очень интересно!