29 Января, 2019

Создание культуры безопасности и решение человеческих проблем

Владимир Безмалый

Люди — самая большая проблема в обеспечении безопасности; но в то же время люди могут быть самой большой защитой вашей организации.

Как показывает практика и многолетний опыт, многие из наиболее успешных хакеров больше не ищут в первую очередь уязвимости программного обеспечения. Злоумышленники все чаще взламывают людей. Причина проста: дешевле, проще и работает.

Массовое нарушение данных телекоммуникаций? Незащищенный сервер продавца. Выдающаяся медиа-компания? Украденные учетные данные. Сайт с компрометирующими письмами? Бывший подрядчик. Все эти серьезные нарушения возникли в результате ошибок отдельных лиц. Вектор угрозы — это вы и ваши пользователи!

Несмотря на годы образования, миллионы страниц политик и ежегодные обязательные тренинги, 60% профессионалов в области безопасности считают небрежность сотрудников главной угрозой, а ведь не так давно, в 2015 году, согласно глобальному исследованию информационной безопасности EY так считало всего 44%. Согласно отчету Willis Towers Watson за 2017 год, 66% всех страховых случаев, связанных с кибер-страховкой, связаны с халатностью сотрудников .

Но несмотря на увеличивающееся количество нарушений со стороны персонала, мы не изменили поведение, которое приводит к этим нарушениям. В среднем 4% пользователей, атакуемых в ходе фишинговой кампании будут кликать на вредоносные ссылки, согласно отчету Verizon Data Breach за 2018 год . Кроме того, люди, которые щелкнули по фишинговой ссылке хотя бы один раз, чаще всего щелкают снова.

Почему так происходит? Да потому что большинство современных работников думают, что знают, как избежать угроз безопасности. У нас больше нет проблемы с осведомленностью: пользователи слышали об основах фишинга. У нас проблема ложного доверия. Знание угроз безопасности — это только полдела. Сотрудники также должны знать, какие действия они должны предпринять.

Осведомленность против ответов

Qualtrics провела исследование, в котором приняли участие около 1000 взрослых американцев, чтобы проверить два взаимосвязанных, но существенно отличающихся друг от друга момента: осведомленность о фишинговых угрозах и соответствующие ответы на фишинговые угрозы. Разрыв был поразительным.

Осведомленность

Более 70% взрослых в США знают, что такое фишинг, и более половины сказали, что они знают, как не стать жертвой.

Соответствующий ответ

Но когда задаются более сложные вопросы из того же набора, результат становится гораздо хуже. Только 10% респондентов знали, как правильно определить, является ли ссылка законной. Точно так же, каждый третий взрослый в США неправильно сказал, что только переход по ссылкам от знакомых людей защитит их от фишинг-атаки.

Стоит понимать, что вы по-прежнему цель, и проблема усугубляется из-за разрыва между знанием об угрозе и пониманием о том, что именно нужно сделать чтобы ее избежать. Люди развивают ложную уверенность, когда знают о проблеме, но не знают, как правильно ее решить. Поскольку эксперты по безопасности все еще учатся устранять уязвимости в области безопасности человека, даже самые лучшие могут заменить простую осведомленность подготовкой.

Заполнение пробелов в уверенности с помощью обучения

Многие люди покупают онлайн-обучающие видео и пытаются решить проблему с их помощью. Либо ставят флажок для обучения кибербезопасности, так как их ИТ-персонал предоставляет базовые напоминания при обучении один раз в год. Такое отношение может быть даже более опасным, чем позволить вообще ничего не знать о кибербезопасности. Когда компании сосредотачиваются на том, чтобы просто поставить этот флажок, они могут впасть в ложное чувство безопасности, думая, что их ежегодная лекция или тестирование подготовили сотрудников к будущим атакам.

Если компании будут уделять столько внимания планированию и выполнению задач, чтобы помочь своим сотрудникам избежать киберугроз, так же как они создавали брандмауэры и предотвращали нарушения программного обеспечения, они повысят безопасность своей организации. Но это похоже на тяжелую работу для уже перегруженных специалистов по безопасности. Это может означать расширение обучения или внедрение других процессов для обмена информацией.

Можно назвать десятки случаев, когда жертвы не переходили по ссылке и не скачивали какие-либо файлы, однако они все еще были обмануты фишинговым письмом и потеряли миллионы. Обучение осведомленности и тесты являются неотъемлемой частью обеспечения безопасности организации. Однако конечной целью должно быть создание культуры безопасности, а не просто повышение осведомленности людей. Культура подразумевает внутренне мотивированные действия, которые компании должны защищать сами.

Начните с вершины

Самой эффективной учебной программе в мире будет сложно завоевать популярность среди сотрудников, если они не увидят тех мер предосторожности и практики, которые демонстрирует руководство. Без примера сверху среда для развития культуры безопасности не будет существовать.

Эта культура имеет решающее значение по той же причине, по которой должностные лица общественного здравоохранения подчеркивают необходимость иммунитета от вакцинации : если большая часть населения защищена от угрозы, у этой группы гораздо меньше риска быть пораженной этой угрозой. Примеры безопасных практик могут помочь руководителям защитить свою рабочую силу от нарушений.

Возглавлять зарядку не стоит много времени или усилий. Это может быть так же просто, как то, что руководители всегда носят значки безопасности, которые, как они ожидают, будут носить сотрудники, или поощрение обсуждения сотрудников во время обучения по кибербезопасности.

Последующее обучение или тест на фишинг — отличное начало, но что происходит после этого? Если не следить за обучением, сотрудники могут забыть о важных мерах безопасности, и субъект может дойти до предполагаемой неактуальности до следующего учебного года.

Уровень кибербезопасности должен быть актуальным, повторять обучение необходимо в течение всего года. Возможно, это означает, что вместо одного большого тренинга в год вы разбиваете его на меньшие ежеквартальные тренинги. Может быть, это регулярное тестирование или разговоры о кибербезопасности. Комбинация инициатив — случайный информационный бюллетень с советами, регулярное обучение и т. д. — может помочь создать безопасную культуру, сообщая о серьезности проблемы и необходимости усилий каждого сотрудника по ее решению.

Укрепление устройств и исправлений программного обеспечения являются лишь частью борьбы за защиту вашего предприятия. Сегодня вы должны тестировать и обучать сотрудников и помогать им нести ответственность за меры безопасности. Каждый человек представляет собой серьезную угрозу для вашей организации, поэтому вы должны создать культуру безопасности и часто это повторять. Мышление безопасности каждого сотрудника — это единственное, что устранит пробел в безопасности человека, и единственный способ по-настоящему защитить вашу компанию.

Оригинал