Культура безопасности как вакцина от киберугроз

Культура безопасности как вакцина от киберугроз

Владимир Безмалый

Люди — самая большая проблема в обеспечении безопасности. Но в то же время люди могут быть самой большой защитой вашей организации.

Как показывает практика и многолетний опыт, многие из наиболее успешных хакеров больше не ищут в первую очередь уязвимости программного обеспечения. Злоумышленники всё чаще взламывают людей. Причина проста: дешевле, проще и работает.

Массовое нарушение данных телекоммуникаций? Незащищённый сервер продавца. Выдающаяся медиа-компания? Украденные учётные данные. Сайт с компрометирующими письмами? Бывший подрядчик. Все эти серьёзные нарушения возникли в результате ошибок отдельных лиц. Вектор угрозы — это вы и ваши пользователи.

Несмотря на годы образования, миллионы страниц политик и ежегодные обязательные тренинги, 60% профессионалов в области безопасности считают небрежность сотрудников главной угрозой. Хотя ещё в 2015 году, согласно глобальному исследованию информационной безопасности EY, так считало всего 44%. Согласно отчету Willis Towers Watson за 2017 год, 66% всех страховых случаев по кибер-страховке связаны с халатностью сотрудников.

Но несмотря на увеличивающееся количество нарушений со стороны персонала, мы не изменили поведение, которое приводит к этим нарушениям. В среднем 4% пользователей, атакуемых в ходе фишинговой кампании, будут кликать на вредоносные ссылки, согласно отчету Verizon Data Breach за 2018 год. Кроме того, люди, которые щёлкнули по фишинговой ссылке хотя бы один раз, чаще всего щёлкают снова.

Почему так происходит? Да потому что большинство современных работников думают, что знают, как избежать угроз безопасности. У нас больше нет проблемы с осведомлённостью: пользователи слышали об основах фишинга. У нас проблема ложного доверия. Знание угроз безопасности — это только полдела. Сотрудники также должны знать, какие действия они должны предпринять.

Осведомлённость против ответов

Qualtrics провела исследование, в котором приняли участие около 1000 взрослых американцев, чтобы проверить два взаимосвязанных, но существенно отличающихся друг от друга момента: осведомлённость о фишинговых угрозах и соответствующие ответы на фишинговые угрозы. Разрыв был поразительным.

Более 70% взрослых в США знают, что такое фишинг, и более половины сказали, что они знают, как не стать жертвой.

Но когда задаются более сложные вопросы из того же набора, результат становится гораздо хуже. Только 10% респондентов знали, как правильно определить, является ли ссылка законной. Точно так же, каждый третий взрослый в США неправильно сказал, что только переход по ссылкам от знакомых людей защитит их от фишинг-атаки.

Стоит понимать, что вы по-прежнему цель, и проблема усугубляется из-за разрыва между знанием об угрозе и пониманием, что именно нужно сделать, чтобы её избежать. Люди развивают ложную уверенность, когда знают о проблеме, но не знают, как правильно её решить. Поскольку эксперты по безопасности всё ещё учатся устранять уязвимости в области безопасности человека, даже самые лучшие могут заменить простую осведомлённость подготовкой.

Заполнение пробелов в уверенности с помощью обучения

Многие люди покупают онлайн-обучающие видео и пытаются решить проблему с их помощью. Либо ставят флажок для обучения кибербезопасности, так как их ИТ-персонал предоставляет базовые напоминания при обучении один раз в год. Такое отношение может быть даже более опасным, чем позволить вообще ничего не знать о кибербезопасности. Когда компании сосредотачиваются на том, чтобы просто поставить этот флажок, они могут впасть в ложное чувство безопасности, думая, что их ежегодная лекция или тестирование подготовили сотрудников к будущим атакам.

Если компании будут уделять столько же внимания планированию и выполнению задач, чтобы помочь своим сотрудникам избежать киберугроз, сколько они создавали брандмауэры и предотвращали нарушения программного обеспечения, они повысят безопасность своей организации. Но это похоже на тяжёлую работу для уже перегруженных специалистов по безопасности и может означать расширение обучения или внедрение других процессов для обмена информацией.

Можно назвать десятки случаев, когда жертвы не переходили по ссылке и не скачивали какие-либо файлы, однако они всё ещё были обмануты фишинговым письмом и потеряли миллионы. Обучение осведомлённости и тесты являются неотъемлемой частью обеспечения безопасности организации. Однако конечной целью должно быть создание культуры безопасности, а не просто повышение осведомлённости людей. Культура подразумевает внутренне мотивированные действия, которые компании должны защищать сами.

Начните с вершины

Самой эффективной учебной программе в мире будет сложно завоевать популярность среди сотрудников, если они не увидят тех мер предосторожности и практики, которые демонстрирует руководство. Без примера сверху среда для развития культуры безопасности не будет существовать.

Эта культура имеет решающее значение по той же причине, по которой должностные лица общественного здравоохранения подчёркивают необходимость иммунитета от вакцинации: если большая часть населения защищена от угрозы, у этой группы гораздо меньше риска быть поражённой этой угрозой. Примеры безопасных практик могут помочь руководителям защитить свою рабочую силу от нарушений.

Возглавлять зарядку не стоит много времени или усилий. Это может быть так же просто, как то, что руководители всегда носят значки безопасности, которые, как они ожидают, будут носить сотрудники, или поощрение обсуждения сотрудников во время обучения по кибербезопасности.

Последующие действия

Последующее обучение или тест на фишинг — отличное начало, но что происходит после этого? Если не следить за обучением, сотрудники могут забыть о важных мерах безопасности, и субъект может дойти до предполагаемой неактуальности до следующего учебного года.

Уровень кибербезопасности должен быть актуальным, повторять обучение необходимо в течение всего года. Возможно, это означает, что вместо одного большого тренинга в год вы разбиваете его на меньшие ежеквартальные тренинги. Может быть, это регулярное тестирование или разговоры о кибербезопасности. Комбинация инициатив — случайный информационный бюллетень с советами, регулярное обучение и так далее — может помочь создать безопасную культуру, сообщая о серьёзности проблемы и необходимости усилий каждого сотрудника по её решению.

Укрепление устройств и исправлений программного обеспечения являются лишь частью борьбы за защиту вашего предприятия. Сегодня вы должны тестировать и обучать сотрудников и помогать им нести ответственность за меры безопасности. Каждый человек представляет собой серьезную угрозу для вашей организации, поэтому вы должны создать культуру безопасности и часто это повторять. Мышление безопасности каждого сотрудника — это единственное, что устранит пробел в безопасности человека, и единственный способ по-настоящему защитить вашу компанию.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только