культуру информационной безопасности в компании

Как внедрить и развить

Сегодня любой бизнес, вне зависимости от размера, степени технологичности и цифровизации рабочих и операционных процессов, является потенциальной целью для кибермошенников. О роли в компании культуры информационной безопасности (ИБ) и основах ее внедрения и развития в интервью рассказал Алексей Ахмеев, руководитель департамента информационной безопасности и цифровизации Moneyman (входит в финтех-группу IDF Eurasia).
— Что такое культура информационной безопасности?
— В основе любой культуры лежит некий устоявшийся свод привычек и правил, это полностью применимо и к обсуждаемой теме. В контексте ИБ сформированные соответствующие привычки и правила позволяют защититься от угроз, которые есть в цифровом мире.

Обладающий культурой ИБ человек разбирается в таких угрозах и знает, как правильно себя вести и что делать в случае, если он столкнется с ними. Главная задача мошенников – вывести жертву из уравновешенного психического состояния, вынудив ее совершить ошибку. Подготовленный человек с выработанным критическим мышлением сможет действовать в опасной ситуации по правильному алгоритму.

В рамках кибербезопасности компании используют технические системы защиты и компетенции специалистов соответствующего профиля, все это помогает эффективно отражать прямые атаки, вирусы и т.д. Но конечный пользователь, в данном случае сотрудник, не защищен ничем, кроме собственных знаний и навыка критического мышления. Именно он, с точки зрения противостояния злоумышленникам, является самым слабым звеном.
По данным Лаборатории Касперского, общее количество заражений в секторе малого и среднего бизнеса за январь-апрель 2024 года составило 138 046 по сравнению со 131 219 случаями за аналогичный период 2023 года рост по данному показателю составил 5%.
Резюме
— For a footnote, for it to be used in-text, the writer found some content necessary to include with the manuscript, however less initially important than the main copy. Therefore, it is necessary for the main copy to have more hierarchy than the footnote.
— Кто в компании должен заниматься развитием и внедрением культуры ИБ?
— Оптимально, если этим будет заниматься отвечающий за ИБ специалист. Иногда в рамках онбординга или обучения персонала это частично делают сотрудники HR или IT, но только непосредственно носитель соответствующих компетенций сможет выстроить процесс системно. Он оценит, какие есть работники, чем они занимаются, определит наиболее вероятные типы атак с учетом отрасли, в которой работает компания.

Мошенники часто пытаются «зайти» в компанию под видом работающих в ее сфере надзорных или контрольных органов. Для финансового сектора это будет Центробанк, для машиностроения – ФСТЭК или Министерство транспорта, и т.д.
В результате работы специалиста ИБ должна быть создана модель потенциальных угроз для сотрудника каждого подразделения, направленных на конечного пользователя.
— Как мотивировать сотрудников активнее вовлекаться в культуру ИБ?
— Cтатья посвящена культуре ИБ в корпоративной среде, но мы не случайно говорим прежде всего о защите непосредственно людей, а не компании. В вопросе внедрения и развития данной культуры очень важным является акцент на ее необходимости прежде всего не работодателю, а лично сотруднику в его повседневной жизни.

Одно дело – сухо и нейтрально информировать персонал об угрозах, а другое дело – подходить с позиции того, что эта информация имеет ценность и пользу не только в рамках рабочих задач, но и в целом в жизни. Нужно апеллировать к негативным последствиям, с которыми может столкнуться не компания-работодатель, а непосредственно сам человек. И дополнительно указать на возможность защитить родственников и близких, включая родителей и детей.
— Как аргументировать бизнесу необходимость развития культуры ИБ?
— Нередко ответственные за ИБ сотрудники сталкиваются с неготовностью собственников бизнеса полноценно выделять внимание и ресурсы соответствующим вопросам. В большей степени это характерно для небольших компаний. Аргументы «против» обычно звучат в духе, что «мы злоумышленникам неинтересны, у нас небольшой бизнес». Здесь важно понимать, что никогда не стоит недооценивать свою значимость для них. Более крупные компании как раз потому и выжили на этапе становления, что выделяли ресурсы на решение и профилактику проблем по линии ИБ, сумев обойти хищения, взломы и подобное.

Компания любого размера и рода деятельности всегда является потенциально интересной для мошенников целью. Совсем не обязательно, что они взломают и зашифруют важные данные, требуя выкуп за их дешифровку. Их интерес может быть в хищении и продаже данных, например, клиентской базы конкурентам. Они могут взламывать корпоративные системы, чтобы продать доступы кому-то еще для сокрытия атак на другие компании.

Здесь может быть много сценариев. Надо дать понять руководству, что компания является для мошенников интересным объектом и обрисовать круг недопустимых событий, при наступлении которых бизнес будет под угрозой полной остановки.

Вышесказанное касается и дополнительных активностей по линии ИБ, и выполнения базовых регуляторных требований, которые в той или иной степени будут присутствовать всегда, независимо от сферы деятельности компании. Невыполнение требований регулятора также влечет за собой риск полного закрытия бизнеса.
По данным Нейроинформ, в III квартале 2024 года количество хакерских атак с использованием вирусов-шифровальщиков в России возросло на 32% по сравнению с аналогичным периодом прошлого года.

Атаки затронули широкий спектр компаний, но чаще всего атаковали компании из финансовой сферы, ритейла, ИТ-сектора и логистики. В 2023 году в среднем сумма выкупа была 130 млн. рублей, в 2024 году – более 175 млн. рублей, рост суммы за год составил 35%.
Резюме
— For a footnote, for it to be used in-text, the writer found some content necessary to include with the manuscript, however less initially important than the main copy. Therefore, it is necessary for the main copy to have more hierarchy than the footnote.
— Как доносить информацию до сотрудников?
— По нашему опыту одним из эффективных форматов являются написанные простым языком шортриды, распространяемые через рассылки в корпоративном чате. В этих текстах мы описываем те или иные способы мошенничества и даем рекомендации, как себя вести. Способы разные, их много, но алгоритм действий сильно не меняется. Люди, регулярно получая эту информацию, постепенно запомнят этот алгоритм, повысив для себя тем самым вероятность быстро сориентироваться при столкновении с мошенничеством.


Еще один эффективный, но требующий дополнительных ресурсов вариант - комиксы с той или иной мошеннической ситуацией, описанной в виде ролевого общения и дополненной визуалом. Если у компании есть маскот, то удачным решением будет задействовать его в качестве персонажа комиксов. Создавать такие материалы можно силами штатного творческого блока компании или сторонних подрядчиков.

Также можно провести внутренний вебинар, но сначала рекомендуем оценить интерес работников к нему. Если аудитория наберется, можно предложить проголосовать за интересующие темы. Важно, чтобы в качестве лектора выступал специалист, умеющий интересно преподносить информацию.

Материал для вебинара собирается с учетом возраста слушателей, их опыта работы в сфере компании и принадлежности к тем или иным департаментам, отделам и пр. Все это можно организовать силами штатных сотрудников или с привлечением внешних лекторов с бэкграундом и компетенциями в ИБ, которые разбираются в материале и могут ответить на вопросы.
По данным Positive Technologies, в III квартале 2024 года количество инцидентов увеличилось на 15% по сравнению с III кварталом 2023 и незначительно уменьшилось (на 4%) по сравнению с предыдущим кварталом. Вредоносное программное обеспечение (ПО) остается главным оружием злоумышленников: оно применялось в 65% успешных атак на организации и в 72% – на частные лица.

Против организаций чаще всего использовалось ВПО для удаленного управления (44%) и шифровальщики (44%), против частных лиц лидирующую позицию заняло шпионское ПО (47%, прирост 6 процентных пунктов).

Социальная инженерия по-прежнему является ключевой угрозой для частных лиц (92%) и применяется в 50% атак на организации. Утечки конфиденциальных данных наблюдались более чем в половине (52%) случаев успешных атак на организации, в 77% – на частные лица. Нарушение основной деятельности наблюдалось на 5% чаще в связи с увеличением активности групп вымогателей.
Резюме
— For a footnote, for it to be used in-text, the writer found some content necessary to include with the manuscript, however less initially important than the main copy. Therefore, it is necessary for the main copy to have more hierarchy than the footnote.
И, наконец, можно пойти по пути геймификации образовательной деятельности, что само по себе сейчас является трендом. В рамках этого подхода можно обучать сотрудников культуре ИБ при помощи настольных игр, например, «Кибермонополии» или «КиберМЕМО», последняя разработана российскими учеными и экспертами в области образования из Института цифрового образования ГАОУ ВО МГПУ.

Также актуален формат выездных профильных тренингов. Они проходят в режиме квестов или в формате «вопрос-ответ». Темы можно согласовать заранее или не оговаривать их, поставив целью в целом вызвать общий интерес аудитории к киберсреде, с какими угрозами в ней можно столкнуться, как им противостоять. В целом же обучение кибербезопасности сегодня полезно начинать еще на уровне школьного образования, в том числе при помощи геймификации.