Создание культуры безопасности

Человеческий фактор — самая большая проблема в обеспечении безопасности и в то же время, возможно, самая надежная защита вашей организации. Как показывает многолетний опыт, чаще всего в ходе самых успешных атак в первую очередь «взламывают» пользователей, а не программное обеспечение. Причина проста: дешевле, проще и гарантированно работает.

Массовая утечка данных телекоммуникаций? Незащищенный сервер продавца? Украденные учетные данные? Сайт с компрометирующими письмами? Все эти инциденты имели место в результате ошибок отдельных лиц. Все чаще вектор угрозы — это вы, ваши ИТ-службы и ваши пользователи.

Несмотря на годы обучения, миллионы страниц политик и ежегодные обязательные тренинги, 60% профессионалов в области безопасности считают небрежность сотрудников главной угрозой. А ведь не так давно, в 2015 году, согласно глобальному исследованию информационной безопасности Ernst & Young Global Limited (https://www.ey.com/en_gl/cybersecurity/global-information-security-survey), так считало всего 44%. По данным отчета Willis Towers Watson (https://www.willistowerswatson.com/en-US/press/2017/03/when-it-comes-to-cyber-risk-businesses-are-missing-the-human-touch) за 2017 год, 66% всех страховых случаев, связанных с киберстраховкой, произошли именно из-за халатности сотрудников.

Но, несмотря на увеличивающееся количество нарушений со стороны персонала, увы, люди не меняют поведение, которое приводит к этим нарушениям. Согласно отчету Verizon Data Breach за 2018 год (https://enterprise.verizon.com/resources/reports/dbir/), в среднем 4% пользователей, на которых направлены фишинговые атаки, все равно открывают вредоносные ссылки. Кроме того, те пользователи, которые перешли по фишинговой ссылке хотя бы раз, чаще всего кликают по ней снова.

Почему так происходит? Да потому, что большинство сотрудников компаний сегодня думают, что знают, как избежать угроз безопасности. У нас больше нет проблем с осведомленностью: все пользователи слышали об основах фишинга. У нас проблема ложного доверия. Знание угроз безопасности — это только полдела. Сотрудники еще должны знать, что делать в том или ином случае. Хотя, с другой стороны, именно это формирует ложную уверенность: я думаю, что знаю, что делать, значит, со мной ничего страшного не случится. Особенно этим грешат ИТ-специалисты.

Осведомленность и действия

Компания Qualtrics провела исследование, в котором приняли участие около 1000 взрослых американцев, чтобы проверить два взаимосвязанных, но принципиально отличающихся друг от друга момента: осведомленность о фишинговых угрозах и соответствующие действия в ответ на фишинговые угрозы. Разрыв был поразительным.

• Осведомленность. Более 70% взрослых в США знают, что такое фишинг, и более половины заявили, что они знают, как не стать жертвой.
• Действия. Когда задаются более сложные вопросы из того же набора, результат становится гораздо хуже. Только 10% респондентов знали, как правильно определить, является ли ссылка легитимной. Кроме того, каждый третий взрослый в США заблуждался в отношении того, что переход по ссылкам только от знакомых людей защитит их от фишинг-атаки.

Следует помнить, что вы по-прежнему мишень, и проблема усугубляется из-за разрыва между знанием об угрозе и пониманием того, что именно нужно сделать, чтобы ее избежать. Более того, у людей развивается ложная уверенность, когда они знают о проблеме, но не умеют ее решать. Поскольку эксперты по безопасности все еще учатся устранять уязвимые места в сфере безопасности пользователя, стоит признать, что даже самые лучшие специалисты могут неправильно организовать этот процесс.

Заполнение пробелов посредством обучения

Многие компании покупают обучающие онлайн-видео и пытаются решить проблему с их помощью. Либо спокойно ставят галочку в графе «обучение кибербезопасности», так как их ИТ-персонал раз в год напоминает сотрудникам базовые понятия. А на самом деле это, может быть, даже хуже, чем вообще ничего не знать о кибербезопасности. Когда компании сосредоточиваются на том, чтобы просто поставить галочку в отчете о проведенном обучении, они могут проникнуться ложным чувством безо­пасности, полагая, что их ежегодная лекция или тестирование подготовили сотрудников к будущим атакам. На самом деле за год и даже за месяц сотрудники забывают об этой лекции, тем более что проблемы безопасности компании в действительности их не особо волнуют.

Если компании будут уделять столько времени планированию и выполнению задач, которые помогут их сотрудникам избежать киберугроз, сколько они создавали брандмауэры и предотвращали взлом программного обеспечения, они повысят безопасность своей организации. Однако расширение обучения или внедрение других процессов для обмена информацией может оказаться непосильной ношей для и так перегруженных специалистов по безопасности.

Стоит также отметить, что сотрудники подразделений информационной безопасности, даже самые квалифицированные, не всегда хорошие преподаватели. Толковый преподаватель всегда штучный товар, и к тому же ему нужно время на самоподготовку. На мой взгляд, у преподавателя до 80% рабочего времени должно уходить на самообразование и совершенствование своих знаний. А сотрудник службы информационной безопасности должен заниматься и своей основной работой. Ведь уметь учить, вообще-то, отдельный навык.

Можно назвать десятки случаев, когда жертвы не переходили по ссылке и не скачивали какие-либо файлы, однако они все равно были обмануты фишинговым письмом и их компании потеряли миллионы.

Обучение и тестирование сотрудников являются неотъемлемой частью обеспечения безопасности организации. Однако конечной целью должно быть формирование культуры безопасности, а не просто повышение осведомленности пользователей. Культура подразумевает внутренне мотивированные действия, которые компании должны развивать и защищать в своих сотрудниках. Люди должны понимать, для чего им нужны эти знания, должны уметь их применять. Более того, знания должны порождать привычные действия, как чистить зубы по утрам.

Начните с руководства компании

Даже самой эффективной учебной программе будет сложно завоевать популярность среди сотрудников, если они не увидят, что соответствующие меры предосторожности применяет руководство. Без «примера сверху» среда для развития культуры безопасности не будет развиваться.

Культура имеет решающее значение по той же причине, по которой официальные лица общественного здравоохранения подчеркивают необходимость укрепления иммунитета вследствие вакцинации: если большая часть населения защищена от угрозы, у всего населения гораздо меньше риска быть пораженным этой угрозой.

Своевременное обучение или тест на фишинг — отличное начало, но что происходит после этого? Если не повторять обучение, сотрудники могут забыть о важных мерах безопасности и уровень их знаний снизится до предполагаемой неактуальности к следующему учебному году.

Уровень поддержания корпоративной кибербезопасности должен быть постоянным, повторять обучение необходимо в течение всего года. Возможно, это означает, что вместо одного большого тренинга в год вы разбиваете его на менее продолжительные ежеквартальные занятия. Может быть, это регулярное тестирование или лекции о кибербезопасности. Комбинация инициатив — выпуск информационного бюллетеня с советами, регулярное обучение и т.?д.?— может помочь сформировать культуру безопасности, обозначая актуальность проблемы и необходимость усилий каждого сотрудника по ее решению. Мышление безопасности каждого сотрудника — это единственное, что устранит пробел в безопасности общей, и единственный способ по-настоящему защитить вашу компанию.

Однако возникает вопрос: кто же все-таки будет этим заниматься? С одной стороны, спрос на специалистов по безопасности в последние годы резко возрос, поскольку организации реагируют на постоянный поток инцидентов безопасности, не говоря уже о новом законодательстве, таком как GDPR в сочетании с текущими проектами цифровой трансформации. С другой — компании начали переосмысливать свой подход к безопасности.

В последние годы киберпреступность все чаще вынуждает компании обращаться за помощью к профессионалам, которые могут повышать осведомленность пользователей о рисках безопасности (Security Awareness). Похоже, что организации учатся на опыте таких крупных компаний, как TalkTalk. Руководители уже понимают, что существует острая необходимость вкладывать больше средств в персонал службы безопасности и повышать уровень осведомленности пользователей в организации.

Тем не менее стало очевидно, что для удовлетворения этого беспрецедентного спроса недостаточно опытных специалистов. Среди компаний, которым требуются киберспециалисты, особенно для руководящих должностей, усиливается конкуренция. Неизбежно одним из самых очевидных последствий стало резкое повышение зарплат.

В Великобритании в ежегодном опросе для определения типичных окладов было проанализировано 56 ключевых позиций в сфере кибербезопасности. Обнаружилось, что средняя заработная плата в секторе безопасности выросла на 6,3% по сравнению с уровнем 2017 года, что более чем вдвое превышает средний рост заработной платы в стране.

Другие роли безопасности

Даже в условиях впечатляющего роста заработной платы в целом в индустрии безопасности специалисты по обеспечению безопасности увидели действительно исключительный рост заработной платы именно специалистов в области обеспечения осведомленности пользователей. Их средняя зарплата выросла на 20% всего за 12 месяцев. Ежегодная зарплата менеджеров по осведомленности на сегодня составляет в среднем 60-90 тыс. фунтов стерлингов.

Для сравнения: зарплата аналитиков по безопасности, в обязанности которых входит большая часть повседневной деятельности по обеспечению безопасности, необходимой для защиты организации, увеличилась на 13%. Несмотря на это, очевидно, что многие организации готовы платить и гораздо больше, чтобы повысить уровень осведомленности пользователей.

Оценивая внутренние и внешние угрозы компании, легко понять, почему эти специалисты так выросли в цене: подавляющее большинство атак будет нацелено в первую очередь на персонал в расчете на нехватку компетентных в области безопасности сотрудников, ведь так гораздо проще обойти другие технологии и процессы обеспечения безопасности, которые внедрила организация.

Один щелчок мышью беспечного сотрудника может легко привести к компрометации критических систем (напомню, Business Email Compromise — популярнейший метод выведать конфиденциальные данные, перевести средства или загрузить вредоносные программы), поэтому уровень осведомленности каждого пользователя может заметно повлиять на способность организации защищаться от подобных атак. Наличие сотрудников, проинформированных о различных угрозах и обученных надлежащим политикам и процедурам, все больше рассматривается как такая же необходимость, как наличие правильных инструментов и персонала службы безопасности.

Осведомленность ценится высоко

Высокий уровень осведомленности пользователей при реагировании на киберугрозы может сыграть важную роль в снижении ущерба от большинства кибератак. Если ранее компании нередко добавляли деятельность по повышению осведомленности к обязанностям, например, сотрудников по управлению рисками, то сейчас для этого все чаще вводится отдельная штатная должность, поскольку они осознают разницу, которую может давать хорошо информированный персонал.

Хотя огромный скачок в заработной плате может показаться необычно высоким по сравнению с технически ориентированными ролями, важно помнить, что менеджеры по повышению осведомленности требуют специфического набора навыков и опыта. Тот факт, что человек является экспертом в вопросах безопасности, не обязательно означает, что он умеет донести свои знания до обычных пользователей.

Awareness Manager должен не только обладать глубокими знаниями в области безопасности, но и уметь доходчиво объяснить поведение в той или иной ситуации пользователям с минимальным техническим опытом. В его обязанности также входит контроль работы по повышению осведомленности в рамках всей организации, включая планирование учебных занятий и других внутренних коммуникационных мероприятий.

Согласитесь, такое сочетание технических компетенций и хороших навыков общения и управления персоналом встречается чрезвычайно редко.

За рамками зарплаты

Поскольку зарплаты специалистов по осведомленности и других экспертов растут быстро, организациям необходимо задуматься о том, как привлечь подобных специалистов. И деньги здесь не единственный аргумент. Можно привести несколько убедительных примеров формирования лояльности среди персонала с такими преимуществами, как гибкая работа и высокий уровень карьерной мобильности.

Возможность привлекать к работе нескольких специалистов с разными навыками в отделе может быть основным преимуществом, когда речь идет о составлении бюджета и решении вопросов, связанных с уходом сотрудников.

И все же основным остается вопрос: как создавать эффективный контент для повышения осведомленности сотрудников и как правильно тренировать их навыки?

Согласно исследованию «Изменение парадигмы человеческого фактора в кибербезопасности», проведенному руководителем отдела кибербезопасности Кэлвином Ноблсом (https://csrc.nist.gov/CSRC/media/Events/Federal-Information-Systems-Security-Educators-As/documents/17.pdf), 90% инцидентов безопасности связаны с ошибками сотрудников. Эта невероятно высокая статистика заставляет задуматься: окупаются ли инвестиции в обучение?

Когда дело доходит до обучения сотрудников, качество контента является наиболее важным фактором. Однако стоит помнить, что, если качественный контент обучения не сопровождается работающими сервисами и не поддерживается личным примером со стороны самих специалистов по информационной безопасности и управлению, успеха не будет. Одноразовый просмотр обязательного видео не помогает снизить риск. Однако информирование пользователей о киберугрозах имеет большой потенциал для управления рисками. Вот почему программы информирования о безопасности должны быть частью многоуровневой стратегии защиты.

В ходе своего исследования Ноблс выяснил, что, хотя организации вкладывают значительные средства в технологии безопасности, они все еще отстают, когда дело доходит до инициатив по обучению сотрудников. Многие специалисты по обучению подтверждают это мнение (https://securityintelligence.com/series/voices-of-security/).

В каждой организации сотрудники подчас открыто нарушают политики безопасности, входят в систему с использованием незащищенных общедоступных сетей, используют рабочие устройства для личных транзакций, загружают несанкционированное программное обеспечение, обмениваются паролями и открывают вредоносные вложения от фишинговых атак. Вопрос не в том, нужно ли организациям внедрять информационные программы; скорее, руководители организаций должны думать о том, как они могут дать своим сотрудникам возможность ощутить ответственность за безопасность предприятия, что требует более творческого подхода к обучению кибербезопасности.

Ноблс также обнаружил, что корпоративная культура повлияла на успешность снижения рисков для отдельного человека. Культура, ориентированная на сотрудников и на команду, открытую к общению с целью создания позитивной рабочей среды, с большей вероятностью породит у сотрудников ощущение собственной ценности и значимости своей роли. В свою очередь, они будут ценить и организацию.

Чтобы изменить культуру организации, ее члены должны принимать в этом непосредственное участие, и данный посыл должен исходить от руководства. Одна из важнейших задач эффективной программы повышения осведомленности — дать всем понять, что речь идет не о преподавании безопасности, а об изменении культуры организации. Вот почему информационные кампании должны больше походить на маркетинговые (https://securityintelligence.com/the-road-to-freedom-how-a-strong-security-culture-can-enable-digital-transformation/).

Существует множество способов передать необходимое сообщение нужному человеку в соответствующее время, но большинство предлагаемых тренингов универсальны.

Обучение для вашей компании

Проблема с универсальным обучением заключается в том, что, независимо от вашей роли или создаваемых вами конечных целей, каждый сотрудник проходит одинаковое обучение. Помимо того что в упражнениях нет возможности отключиться, в них отсутствуют какие-либо возможности отслеживания, позволяющие проверить, действительно ли люди учатся. Неудивительно, что информационные программы не очень успешны.

Видео, новостные рассылки, печатные издания, мероприятия… Существует много каналов, которые могут привлечь внимание пользователей к контенту по безопасности. Одномерный подход, в котором применяется только один из этих методов, не достигнет полной потенциальной эффективности. Слишком часто специалисты, участвующие в создании программ обучения осведомленности, не мыслят стратегически о задачах, для которых они создают контент.

Распространите информацию

Реальность такова, что многие руководители не заботятся о безопасности, поэтому исключительно важно создавать четкие сообщения, демонстрирующие, почему безопасность важна. Вместо того чтобы вешать информационный плакат в комнате отдыха и ожидать, что сотрудники его прочтут, поместите сообщения о безопасности в один ряд со всем прочим контентом, который персонал использует в течение дня. Например, по сравнению с рекламой пива во время футбольного матча плакат в комнате отдыха — это очевидный провал: неинтересный, не предназначенный для конкретной аудитории, слишком серьезный.

Ваш контент должен быть креативным, но он также должен привлекать внимание пользователей. Забавный контент становится гораздо менее забавным, если он обязателен. Проблема в том, что сотрудники службы безопасности не оценивают, заинтересованы ли сотрудники. Геймификация быстро становится популярным способом заинтересовать сотрудников, и многие компании решают задачи, действующие в масштабах всей организации, когда отделы играют друг против друга, чтобы выяснить, кто добился лучших результатов во внутренних фальсификационных кампаниях.

Культурный сдвиг

Недавний отчет (https://www.isc2.org/-/media/Files/Research/ISC2-Hiring-and-Retaining-Top-Cybersecurity-Talent.ashx) показал, что 43% специалистов по безопасности используют свои навыки, полученные в ходе обучения осведомленности пользователей, два-три раза в неделю.

Соискатели, которые ищут работу в сфере безопасности, хотят, чтобы работодатели продолжали вкладывать средства в обучение основам безопасности. Уэс Симпсон, главный операционный директор (ISC2), полагает, что эффективное обучение осведомленности начинается с людей, которых вы нанимаете. Все чаще компании стремятся нанимать кандидатов с навыками, необходимыми для стратегического информирования о ценности безопасности во всей организации.

Компании должны быть активны в создании гибкой программы, которая не только учитывает риски для организации, но и адаптирует обучение пользователей для снижения этих рисков. Когда осведомленность о безопасности — это корпоративная программа, охватывающая каждого пользователя, когда разговоры на темы безопасности становятся привычкой, независимо от отдела или команды, сотрудники в большей мере будут ощущать свою ответственность перед компанией.