И снова про обучение сотрудников кибербезопасности. Представьте, что вы — специалист по информационной безопасности и приходите работать в небольшую компанию (примерно 200 человек и 2 офиса в разных городах), в которой защита информации — теперь ваша ответственность. И одна из задач — это внедрить практику повышения осведомлённости сотрудников, которой там в принципе не было. Руководство в целом инициативу поддерживает, даже в какой-то степени содействует, но в основном тем, что не препятствует. При этом тебе нужно эту практику впихнуть в и так забитый план работ по ИБ и обосновать. И, естественно, бесплатно. Ой, за зарплату.

Почему я опять взялась рассуждать на эту тему? Потому что есть чем поделиться. И потому что тема кибербеза актуальна. Но среди обычных людей, не погружённых в повестку, она остаётся «загадочной». А вообще «повышение осведомлённости» — это отдельный большой пласт в деятельности компании в рамках защиты информации, и, между прочим, обязанность. Об этом подробнее чуть позже.

А для окончательной аргументации в пользу актуальности этой темы я хочу использовать известный тезис: «Самое слабое звено в любой инфраструктуре — это человек».

Суперизвестный факт в мире ИБ: статистика показывает, что более 50% утечек данных у российских компаний происходит по вине действующих сотрудников (ну, к примеру, возьмём эту статью: «51% утечек данных происходит по вине сотрудников — Наталья Касперская»). Это значит, что для современных компаний существует опасность не только в изощрённых внешних кибератаках, но и внутри собственных стен. Причём этим сотрудникам не обязательно иметь злой умысел. Порядочные сотрудники могут стать причиной утечки данных и сбоев в работе систем, совершая примитивные ошибки просто потому, что они не в курсе. Или, если на языке терминов, — имеют низкий уровень осведомлённости. Например, если сотрудники компании в целом слабо ориентируются в цифровом пространстве, не знают основ цифровой гигиены, то они могут халатно относиться к информационной безопасности — как при использовании личных устройств, так и корпоративных.

Так как я делюсь личным опытом, статья будет содержать описание реальных ситуаций и выводы, сделанные на их основе. Хочу предупредить, что это не универсальное руководство по организации обучения сотрудников. Но на мой взгляд, многие из приведённых практик могут быть полезны, если вам нужно внедрить культуру кибербезопасности в небольшой компании.

1.  Нормативные обоснования

Начнём с нормативных обоснований. Для тех, кто погружён в мир ИБ, не секрет, насколько обширно и требовательно законодательство в этой сфере. Но, как ни странно, формальный подход «для галочки» в данном случае играет на руку специалистам по информационной безопасности.

В частности, отмечу статью 22.1 ч. 4 Федерального закона «О персональных данных» 152-ФЗ. Согласно ей, «мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — обязательны. И статью 11 Федерального закона «О коммерческой тайне» 98-ФЗ, согласно которой необходимо предупредить своих сотрудников о том, какая информация является охраняемой и какую ответственность они понесут за её разглашение.

Законодательство - это, в частности, одна из тех вещей, которой проще всего оперировать при организации обучений. Например, чтобы побороть скепсис сотрудников и руководства. Или нехватку времени для «второстепенных» задач. Да, задачи ИБ для них все еще «второстепенны», потому что совсем недавно для них этой сферы почти не существовало. Конечно, тут максимально привлекаем HR-ов. И угрожаем штрафами от РКН. Если продолжают сопротивляться — делаем журнал посещений под роспись. Документальное оформление в данном случае — отдельная тема, которая займёт целую отдельную статью.

2.        Проверка знаний

Начали мы с первоначальной проверки знаний, чтобы в целом оценить осведомлённость наших работников. В рассылки так и писали: «мы хотим оценить уровень ваших знаний, чтобы понимать, о чем вам рассказывать.  А не чтобы Вас пристыдыть». Тестирование было добровольное. Получили довольно неплохие цифры.

Особое внимание хочу уделить обратной связи, о которой целенаправленно просили. Обратная связь была очень разной. Кому-то одни и те же вопросы казались очень простыми, а кому-то — сложными.

Забегая вперёд, скажу, что итоговое тестирование по итогам обучения было сформировано по материалам, которые я рассказывала на вебинарах и занятиях. И да, немного хитрым образом, чтобы было сложнее «загуглить» ответы. И логично, что те, кто вебинары не посещал, сказали, что вопросы были сложными. Ещё и цеплялись к формулировкам и структуре вопросов. Ну и соответствующий вывод вполне логичный: сделать посещение вебинаров обязательным, а не добровольным.

3.        Рассылки

Следующий вид деятельности в рамках повышения осведомлённости стали регулярные рассылки по корпоративной почте. Сначала это были срочные письма об актуальных угрозах. Были и инструкции для пользователей. Например, как скрыть свои данные в «Глазе Бога». А потом это перетекло в еженедельные рассылки с интересными новостями из мира кибербеза и практическими советами по защите данных.

Цель рассылок была в том, чтобы:

·        Привлечь внимание к «существованию» кибербезопасности в жизни работников;

·        Мягко погрузить в мир цифровых угроз, рассказывая о громких утечках и взломах;

·        Как можно проще рассказать о практических мерах безопасности.

Причём советы распространялись еще и на их собственные устройства, то есть касались не только корпоративной, но и частной жизни. Например, «Чем опасен бесплатный Wi-Fi», «Зачем мошенникам старые профили». У меня был целый график рассылок. А руководство согласовывало темы.

4.        Обучающие занятия.

Обучающие занятия проводились с регулярностью раз в 2 месяца. Проходили очно и онлайн. И хочется отметить, что в очный формат встреч с группами по 10 человек  («глаза в глаза») – был эффективнее, в отличие от вебинаров. Работникам предоставлялось на выбор несколько вариантов дат занятий. Можно было присоединиться в удобный для них день.

4.1 Темы

Самая первая тема была взята из самой актуальной повестки – это социальный инжиниринг, с подробным разбором методов злоумышленников, приемов и техник манипуляций и большим количеством примеров. Далее были темы: «Виды кибератак и способы борьбы с ними», чтобы рассказать примеры механизмов атак при халатности пользователей.  И «Ответственность за нарушения в области информационной безопасности».

Отдельное внимание рекомендую уделить теме: «Разбор и ознакомление пользователей с инструкциями». В частности, с помощью интерактивного обучения можно доступным образом донести важные аспекты инструкций: зачем это нужно, как это работает, от чего это защищает. В рамках актуализации регламентов, инструкций и политик, как раз в период обучений можно еще собрать подписи об ознакомлении.

Отдельно для юристов (как для погруженных в тему, так и просто для повышения кругозора) проводилось занятие по законодательству о персональных данных.

4.2 Вовлечение

И если проводить обучение по информационной безопасности, встаёт вопрос не только в том, о чем говорить с сотрудниками (бухгалтерами, юристами, программистами), но и как говорить, чтобы им было и интересно, и полезно? Поэтому дальше будут лайфхаки для привлечения внимания и максимального вовлечения сотрудников на занятиях.  Возможно, банальные и очевидные, но действующие.

• Актуальность. Очень важно доносить свежую информацию и полезно практическую. Про то, что произошло вчера, а не 5 лет назад. И произошло в известной компании в России, а не где-то в Америке.

• Показательные примеры. Особенно полезно для тех, кто в «танке». Есть такие люди, которые в теме обо всём. А есть такие, которые ничего не слышали и ничего не знают. Яркий пример по типу истории с квартирой Ларисы Долиной. Да, здесь немного спекуляции на чужих проблемах, но Ларису Долину скорее всего все знают. Хотя бы те, кто старше 25-ти. Но важно донести, что такое может случиться с каждым.

• Мемы. Монотонные лекции очень утомляют, знаю по себе. Какой бы полезной информация ни была. Это раздражает. Смешные картинки дают разрядку, привлекают внимание. И ещё приятно видеть улыбающихся людей. Мемов в интернете навалом – главное включить фантазию. Или использовать ИИ для генерации картинок.

• Взаимодействие. На очных занятиях удобно для разрядки задавать вопросы: кто слышал о таком виде атак, с кем случалось что-то подобное, кто пользуется менеджером паролей. Это из правил публичных выступлений.

• Максимальная доброжелательность и открытость. Да, «ИБ» - это такая «внутренняя полиция» компании. Но пусть пользователи сами придут и расскажут, что открыли вредоносную ссылку, и пусть не боятся спросить совета. Особенно, если у вас и нет рычагов давления, чтобы их «наказывать».

4.3 Наполнение

Далее уже расскажу о наполнении самих обучений, презентаций. Что они включали в себя.

• Без терминологии никуда, поэтому первое - это разбор понятий. Важно самым простым языком донести информацию о сложном. И если мы проводим обучение по конкретной теме, то предварительно погружаем сотрудников в тему и раскрываем значение «сложных» слов и понятий.

Примеры:

DDoS-атака - распределённая атака типа "отказ в обслуживании" или, когда тысячи устройств одновременно обращаются к сайту, вызывая его перегрузку.

Персональные данные - любая информация, относящаяся к прямо или косвенно определённому физическому лицу (ФИО, паспортные данные, биометрия и т.д.)

Фишинг - мошеннические письма/сообщения, маскирующиеся под легитимные. Социальная инженерия - манипуляции для получения доступа к информации. Многофакторная аутентификация - метод подтверждения личности через несколько факторов.

· Нормативное обоснование принятия мер (особенно это касается законодательства о персональных данных). Чтобы донести до пользователей, что эти правила придуманы не потому, что «безопасники злые», а потому что это наша обязанность перед государством охранять данные пользователей и ответственность касается всех.

И естественно тут должны приводиться буквальные примеры санкций, наказаний из судебной практики. В частности, старалась всегда донести до работников, что хоть законодательство по компьютерным преступлениям довольно свежее, но практика применения есть. К тому же есть мнение, что ИТ это сложно, значит и преступника найти сложно. Но это не так. И доказать это можно только приводя примеры.

Примеры:

«За несоблюдение требований в сфере персональных данных и за невыполнение обязанностей, которые предусмотрены при взаимодействии с Роскомнадзором, могут назначить штраф или иное административное наказание. За нарушения в этой сфере привлекают, в частности, по ст. ст. 13.11, 13.11.3, 19.5, 19.7 КоАП РФ. За исключением отдельных случаев, к ответственности могут одновременно привлечь и саму организацию, и ее должностное лицо (ч. 3 ст. 2.1 КоАП РФ). Такими лицами являются руководители и иные работники организации, которые выполняют организационно-распорядительные или административно-хозяйственные функции (примечание к ст. 2.4 КоАП РФ). Например, это может быть лицо, ответственное за обработку персональных данных.»

«Незаконный сбор или распространение ПДн лица без его согласия либо распространение этих сведений публично (ч. 1) и аналогичные деяния, совершенные лицом с использованием своего служебного положения (ч. 2) – ст. 137 УК РФ. Например, лишение свободы врача на 2 года и штраф в размере 200 тыс. руб. за съемку скрытой камерой в кабинете врача.»

• Рекомендации и правила для пользователей. Если мы говорим об угрозах, значит обязательно нужно рассказать «как защищаться и действовать».

Примеры:

Вирусы через вложения

Угроза: Вам приходит файл Документ_от_бухгалтерии.exe или архив с паролем («Откройте, тут срочный приказ!»). После открытия – вредоносная программа шифрует файлы или крадёт данные.

Как защищаться:

✔ Не открывать вложения от неизвестных отправителей.

✔ Проверять расширения файлов – .exe, .js, .scr часто опасны.

✔ Сканировать файлы через VirusTotal перед открытием.

Слабые пароли

Угроза: Пароль qwerty123 или 1Password взламывают за секунды. Если его используют на нескольких сайтах – взлом одного даёт доступ ко всем.

Как защищаться:

✔ Использовать менеджер паролей (KeePass, Bitwarden).

✔ Создавать сложные пароли (например, ЖарКот!42#ВелоСиний).

✔ Включать двухфакторную аутентификацию (SMS, Google Authenticator).

• Объяснение. Зачем эти меры в инструкция и как это работает. Любое правило ИБ – не «прихоть безопасников», а защита от реальных угроз. Задача – не просто запрещать, а объяснять на пальцах, какую дыру оно закрывает.

Пример:

«Принцип «минимальных привилегий» - правило, при котором сотрудник получает ровно тот уровень доступа, который нужен для работы, и не больше.

Зачем? Чтобы даже при взломе аккаунта пользователя злоумышленник не смог навредить всей системе, и чтобы снизить риски случайных ошибок (например, удаления важных данных). Как работает? Бухгалтеру не нужен доступ к настройкам сервера, поэтому его учётная запись не имеет этих прав.

Пример из практики: В одной компании уборщица имела доступ ко всем папкам на сервере «для удобства». Через её аккаунт хакеры заразили сеть ransomware (вирус-шифровальщик).»

Хочется даже поделиться примером на очном обучении: девушка искренне не понимала, почему нельзя хранить пароли в файле на рабочем столе, ведь это «ее личное пространство».

• Полезная информация. Я собирала и оставляла для работников полезные ссылки, на которых можно почитать еще больше об атаках. Обширный ресурсы об этом у ЦБ (актуальный для финансовой сферы), Сбербанка. Ну и само собой у «мастодонтов кибербеза» Лаборатории Касперского и Positive Technologies.

Считаю полезными ресурсы для проверки ссылок и файлов на вредоносность или репутацию: VirusTotal, сайт Касперского, Dr.Web.

Также напоминала, где хранятся все инструкции и регламенты, о которых твердила на каждом обучении. До них тоже нужны простые прямые ссылки.  

Выводы

Вот такой приблизительный план по повышению осведомленности сотрудников на год получился. И мои личные выводы:

1.        Можно организовать всё формально, прикладывая минимум усилий. Но не все могут так работать, и, скорее всего, это не даст результата.

2.        Можно привлечь сторонние организации, но для этого нужны ресурсы.

3.        Обучение и повышение осведомлённости — это работа с людьми разных возрастов, разных взглядов и уровнем знаний. Не все это любят.

4.        Архиважно заручиться поддержкой руководства и Hr-ов.

5.        Важно тщательно отбирать информацию для сотрудников: объяснять просто и без лишней перегрузки.

6.        Важно положительно реагировать на обратную связь. Если сотрудник сообщил о подозрительном письме — похвалить ("Спасибо, что предупредили!").

7.        В обучающие материалы нужно включать инструкции и политики, о которых сотрудники обязаны знать. Если политики обновляются или ужесточаются — эту информацию необходимо доносить всеми способами, подчёркивая: почему это важно и что будет при нарушении (не просто выговор от админа, а реальные риски: утечка данных, финансовые потери компании, сокращение премий – или «придет шпион от конкурента, украдет данные, компания потеряет деньги, и тебе в результате не дадут премию на новый год).  

8.        Поощрения работают: можно использовать подарки и мерч (если выделят бюджет).

9.        Придётся смириться с:

-Скепсисом и недовольными лицами, «гробовой тишиной» на встречах;

-Непредсказуемой реакцией руководителей (от равнодушия, до включения в план «своих» идей и требований показателей);

-Безразличием или критикой.

Это может провоцировать выгорание из-за кажущейся бесполезности усилий.