Управление человеческим фактором безопасности в эпоху вымогателей

Управление человеческим фактором безопасности в эпоху вымогателей

Чтобы убедить сотрудников серьезно относиться к безопасности, требуются не только информационные кампании.

По данным аналитиков киберпреступность в 2018 году обошлась мировой экономике в 1,5 триллиона долларов. В 2019 вымогательское ПО, по различным оценкам , вырастет на целых 350 процентов. И хотя выкуп за обычную атаку с использованием вымогателей в настоящее время возрос до почти 13 000 долларов, а недавние целевые атаки с использованием вымогателей требуют до 50 000 долларов, реальная стоимость — простои и восстановление. Общая стоимость успешной атаки вымогателей варьируется от 713 000 долларов для небольших компаний до миллионов для крупных организаций и муниципалитетов. Это потому, что почти три из четырех компаний, зараженные вымогателями, страдают два дня и более, не имея доступа к своим файлам, а 30 процентов — пять дней и более.

И это несмотря на то, что целые состояния расходуются на сложные средства безопасности, предназначенные для обнаружения и предотвращения кибератак. Неправильно настроенные устройства являются серьезным виновником, так как чрезмерно сложные системы безопасности страдают от разрастания поставщиков и решений, которые могут фактически уменьшить видимость и контроль. Но из всех проблем кибербезопасности, которые должны решать организации, наибольшим вектором угрозы может быть тот, который вы меньше всего подозреваете.

Проблема может быть вашими сотрудниками

Более 90 процентов всех успешных сетевых атак, особенно для таких вещей, как вымогатели, начинаются с простого фишингового письма, когда кто-то открывает вредоносный файл или нажимает на ссылку, отправленную ему кем-то, кого он не знает. Конечно, это не совсем их вина. Исследования показали, что 94% сотрудников — и 96% руководителей — не могут различить реальные и фишинговые электронные письма. Это особенно сложно, когда имеешь дело с целевыми атаками вымогателей, когда электронные письма могут быть специально созданы для того, чтобы обмануть конкретные цели в организации или фишинг, если целью является член правления или кто-то из C-suite.

Точно так же тревожно, что почти две трети организаций имеют большое количество сотрудников, которые буквально никогда не меняли свой пароль. Согласно отчету о рисках пользователей за  2018 год , две трети пользователей, которые не используют инструмент управления паролями, допускают повторное использование своих паролей в онлайн-аккаунтах.

Парадокс кибербезопасности

Очевидный ответ на эти проблемы заключается в повышении осведомленности сотрудников и обучении кибербезопасности. Однако один из самых интересных парадоксов в кибербезопасности сегодня заключается в том, что большинство ваших сотрудников уже знают о проблемах кибербезопасности и передовых практиках. Например, подавляющее большинство знает, что пароли должны быть сложными и их следует часто менять, что они не должны нажимать на вложения в электронных письмах (особенно от людей, которых они не знают), что важные данные должны быть зашифрованы, и что нужно обновить свои устройства и программное обеспечение. Проблема в том, что они просто не делают ничего из этого.

Причина сложна. Частично причина в том, что мы потратили годы на обучение людей такому поведению. Например, вместо того чтобы разрабатывать упрощенную систему управления безопасным доступом ко всем своим учетным записям в сети, пользователи должны самостоятельно отслеживать эти пароли. В результате они используют имя своего питомца, псевдоним своего ребенка или год выпуска для своего пароля. Мы также поощряем их совершать покупки и совершать покупки в Интернете, что создает ложное чувство безопасности. Когда онлайн-продавцы рассылают листовки по электронной почте, они зависят от потенциальных клиентов, которые открывают свои рекламные объявления, нажимают на купоны, а затем делают покупки в своих интернет-магазинах. То, что мы сделали, на самом деле затрудняет успешное предотвращение компрометации.

Другая причина, однако, заключается в том, что люди не берут на себя ответственность за корпоративную безопасность. В одном из недавних опросов почти половина сотрудников указала, что, по их мнению, ответственность за кибер-безопасность и безопасность данных лежит на других. Предполагается, что, если что-то поступит на их компьютер, оно должно быть уже проверено и, следовательно, может автоматически доверять.

Когда начать

Решение этой проблемы требует двух вещей.

Во-первых, вам необходимо привлечь сотрудников к работе в команде безопасности. Это начинается с объяснения, в реальном выражении, как событие безопасности влияет на них лично. Когда атака вымогателей отключает некоторые или все сети, результатом становится не просто необходимость использовать карандаш и бумагу в течение нескольких дней для отслеживания событий. Это также стоит денег, иногда миллионов, и это может повлиять на бонусы, повышение и даже работу.

Они также должны понимать, что безопасность никогда не бывает эффективной на 100%. Несмотря на все усилия службы безопасности, фишинговые электронные письма и вредоносные программы могут попасть на пользовательский ПК. И чтобы преодолеть этот пробел, им необходимо рассматривать себя в качестве критически важных членов команды корпоративной безопасности, которая должна защищать всех.

Это начинается с простого вовлечения сверху вниз. Ваш CISO должен быть постоянным членом заседаний совета директоров и должен постоянно встречаться с различными лидерами, чтобы заручиться их полной приверженностью продвижению и моделированию хорошего поведения безопасности. В то же время члены группы безопасности также должны периодически присоединяться к собраниям сотрудников групп по всей компании, чтобы предоставлять обновленную информацию по вопросам безопасности, с которыми сталкивается компания, и о том, как сотрудники могут помочь защитить корпоративные ресурсы.

Например, ваш фронт-офис — это больше, чем просто помощники и администраторы. Они ваша передовая линия обороны. Они должны понимать, что успешные фишинговые кампании, которые могут принести злоумышленникам миллионы долларов, часто начинаются с социальной инженерии и сбора информации. Это означает, что они должны быть осмотрительными в отношении той информации, которой они делятся с людьми. Регулярно встречаясь с кем-то из группы безопасности, чтобы обсудить проблемы и пересмотреть стратегии, они почувствуют себя заинтересованными и ответственными.

Во-вторых, вам также необходимо сбросить некоторые базовые поведения. Это человеческая природа — просто ничего не говорить, даже когда явно происходит что-то плохое. Вот почему менее 5 процентов сотрудников будут высказываться или сообщать о подозрительных действиях, таких как неизвестные лица, проходящие через безопасную дверь. Одним из способов решения этой проблемы является создание системы поощрений, которая распознает людей, которые поступают правильно.

Например, многие организации проводят внутренние фишинговые кампании для выявления лиц, которые нажимают на потенциально вредоносные ссылки. Но вместо того, чтобы просто направлять людей, которые не проходят эти тесты, на какое-то обучение по исправлению, должна также существовать система, которая распознает тех людей, которые видят и сообщают о подозрительном электронном письме обратно в группу безопасности. Эту же стратегию кнута и пряника, можно использовать для других действий, которые вы хотите изменить.

Изменение вашего профиля риска

Правильно вовлекая сотрудников в свои усилия по обеспечению безопасности, вы можете значительно снизить подверженность критическим событиям безопасности, таким как фишинговые атаки и вымогатели. Это требует выведения группы безопасности из привычной зоны комфорта для анализа информации об угрозах и превращения их в корпоративных мотиваторов, разработки программ, вовлекающих пользователей [ таких, как геймификация ], обеспечения таких инструментов, как менеджеры паролей, которые облегчают их обязанности по обеспечению безопасности, и внедрение систем обучения и поощрения, которые мотивируют пользователей добровольно менять свое поведение.

Alt text

Владимир Безмалый

О безопасности и не только