Как добиться от пользователей соблюдения правил безопасности
С детства все мы знаем правила личной гигиены. Родители научили нас умываться, чистить зубы и принимать душ, мыть фрукты и овощи, пользоваться салфетками и платками. И мы практически не задумываемся о том, что все это – приобретенные навыки.
Увы, но человечество, окружив себя информационными технологиями, пока не приобрело привычки учить своих детей соблюдать еще и цифровую гигиену. И, чем больше компьютеры и ПО проникают в жизнь человека, тем заметнее становится отсутствие знаний в области элементарной безопасности: не открывать вложения из писем от незнакомого адресата, внимательно следить за тем, какие именно сайты открываются в браузере, проверять приложения, прежде чем установить их на компьютер и телефон. А все это – элементарные правила цифровой гигиены.
Сотрудники и их недостаточная подготовка в области информационной безопасности – основные факторы утечек данных и сетевых атак. И именно через пользователей киберпреступники осуществляют большинство своих нападений на корпоративные инфраструктуры. Такие сведения приводятся в ежегодном отчете SANS Security Awareness Report, который опубликован летом этого года.
People-Centric Security
Человеческий фактор всегда был главной уязвимостью любых информационных инфраструктур. Люди подвержены воздействию социальной инженерии, им свойственно совершение ошибок, по незнанию или в следствие усталости, их можно подкупить или шантажировать. Наконец, любой сотрудник может осознанно стать инсайдером вследствие обстоятельств, склада характера или даже обиды на руководство.
Для того, чтобы свести воздействие человеческого фактора к минимуму, была разработана концепция человекоцентричной безопасности, или просто PCS (People-Centric Security). Она нацелена на то, чтобы сформировать в компании культуру, при которой сотрудники будут осознанно участвовать в обеспечении безопасности: контролировать свои действия, чтобы избегать ошибок, строго выполнять предписанные правила и осознавать их. Идеальный вариант – превращение обычного работника в “ИБ-агента”, который и сам строго следует требованиям безопасности, и стимулирует коллег, чтобы они поступали точно так же.
Базируется PCS на нескольких принципах. Это – общность (ИБ-культура поддерживается всеми сотрудниками), поощрение самостоятельности сотрудников в принятии решений, их ответственность за используемые ресурсы, мгновенная реакция на инциденты, пропорциональность ИБ-мер уровню угроз и прозрачность контроля за действиями сотрудников.
Главное достоинство PCS – возможность выйти из «замкнутого круга», когда работники предприятия и ИБ-специалисты “живут” в разных мирах. Первые периодически совершают ошибки, приводящие к инцидентам, а вторые вынуждены постоянно ликвидировать их последствия.
Цель – обучить сотрудников правилам цифрового поведения
Проблема “человеческого фактора” серьезна, и требует решения. Можно проводить бесконечные семинары и индивидуальные беседы. Но они не заменят целенаправленного обучения персонала правилам цифровой гигиены. И для решения этой задачи есть эффективный инструмент.
В 2016 году была создана компания Phishman. И ее основатели поставили своей целью не покорение мира и не превращение своего бизнеса в огромную корпорацию. Задача куда приземленнее, но очень актуальная, – помочь бизнесу в обучении сотрудников нормам информационной безопасности. Оказалось, что специализированный одноименный продукт весьма востребован.
Сегодня его используют банки, сырьевые предприятия, страховые компании, ритейлеры. И это не случайно – обучение на практике, когда пользователь видит на экране своего компьютера возможные последствия своих ошибок, оказалось весьма эффективным.
Как работает Phishman
Phishman – автоматизированная система управления обучением и осведомленностью сотрудников предприятия. Нет, она не предназначена для того, чтобы проводить обучающие сессии или публиковать материалы, связанные с информационной безопасностью. Все куда изощреннее. Phishman, как заправский хакер, проводит кибератаки, жертвами которых становятся ничего не подозревающие сотрудники.
Решение нацелено на четыре задачи, связанные с обеспечением безопасности компании. Начинает Phishman с того, что тестирует уровень знаний и навыков сотрудников. Для этого проводится имитация хакерских действий: система рассылает фишинговые письма (нет-нет, речь идет именно об имитации!), а также собирает данные из используемых предприятием ИБ-систем, – SIEM, DLP и др.) Это позволяет определить уровень ИБ-компетенции пользователей, как в целом, так и каждого из них.
Часть сотрудников отреагирует на фишинг именно так, как предписывают корпоративные правила. Другие наверняка допустят ошибку. И это станет поводом для того, чтобы Phishman отправил их на прохождение курсов по информационной безопасности. При этом компания предлагает 15 (!) собственных разработок, для их использования может применяться само решение, или же компания может выбрать уже используемую LMS, систему управления обучением.
Простым обучением Phishman не ограничивается. И это – решение третьей попутной задачи, связанной с повышением ИБ-грамотности. Система оценивает, как пользователи его проходили – статистика собирается и предоставляется руководству. Кроме того, по окончании курса сотрудники проходят тестирование.
Если правильные ответы даны на менее чем 80 % тестовых вопросов и заданий, то процесс обучения запускается снова, причем продолжительность обучения будет удвоена – материал надо усваивать назубок. Ну а если и в этот раз сотрудник компании не продемонстрирует достаточного уровня знаний, об этом будет уведомлен ИБ-офицер организации.
Такая автоматизация управления обучением – четвертая задача, решаемая Phishman. В основу этого менеджмента могут быть положены принципы, прописанные в решении, или политики компании-заказчика, если у нее есть собственные правила и сценарии повышения квалификации персонала.
Чего можно добиться при помощи Phishman
Конечно, уровень цифровой и ИБ-грамотности сотрудников в разных компаниях не бывает одинаковым. В одних сотрудники отличаются безалаберностью, и это становится настоящей угрозой. В других цифровая культура развита настолько, что остается только изредка напоминать о существующих правилах. Но в среднем эффективность Phishman весьма высока.
В компании подсчитали, что уже в первый месяц использования решения на 70 % сокращается число фиксируемых ИБ-событий. На 30% сокращается число повторных инцидентов, – решение эффективно учит сотрудников делать выводы из собственных ошибок и не допускать их повторения.
Наконец, благоприятно отражается использование решения на общем уровне цифровой грамотности, – осведомленность пользователей в области информационной безопасности повышается на 60 %.
При этом контроль за соблюдением цифровой гигиены продолжается непрерывно, и в случае необходимости повышение квалификации персонала ведется автоматически, причем наглядно и в точечном режиме, на опыте собственных ошибок пользователей.
Phishman
Phishman – решение, которое доступно любой компании. Минимальный «порог» пользователей для внедрения системы – 10 человек, в редакции Lite и Standard - ограничено (до 250 и до 1000 соответственно).
Крупным заказчикам адресованы Phishman Enterprise и Phishman Enterprise. А отличается «старшая» от «младшей» расширенными возможностями брендирования интерфейса и материалов, а также разработкой новых отчетов и коннекторов для использования «в связке» с другими решениями.
Можно ли преодолеть «человеческий фактор» в области безопасности информационных систем? Наверное, полностью его нивелировать невозможно. Но свести к минимуму пользовательские ошибки, сократить невнимательность и безалаберность вполне возможно. И с этой задачей Phishman справляется прекрасно.