Повышение осведомленности сотрудников по вопросам информационной безопасности — актуальная и важная задача, потому что при наличии очень хорошей, с технической точки зрения, системы безопасности, учитывающей и внутренние, и внешние риски, пользователь по незнанию сам может «открыть дверь злоумышленнику».
С каждым годом механизмы защиты всё больше совершенствуются и в технологическом плане, и в плане охвата решаемых проблем: появляются системы защиты от утечки данных (DLP), системы защиты от вторжений (IPS), системы корреляции событий (SIEM) и т.д. При правильном внедрении таких систем взломать систему информационной безопасности становится всё сложнее и сложнее. Но, к сожалению, пользователи не развиваются столь же стремительно. При этом люди, как правило, настолько перегружены работой, что с трудом воспринимают новую информацию. В этой связи образуется «дыра» в ИБ и возникает ряд основополагающих задач:
- Выявить области риска
Прежде всего, как выявлять проблемные области, то есть именно те, где требуется обучение. Причём выявлять средствами автоматизации — учитывая количество пользователей, вручную это сделать практически невозможно. Можно представить пробелы в знаниях пользователей как некоторое заболевание. Но чтобы не лечить всё подряд, нужно сначала правильно поставить диагноз, а уже затем назначить необходимую схему лечения. При этом процесс диагностики должен быть непрерывным, чтобы, справившись с одним заболеванием, впоследствии не упустить другие, — это напоминает регулярную диспансеризацию.
Поэтому мы предлагаем специальное программное обеспечение, которое периодически проводит своеобразное тестирование.
К примеру, одной из ключевых проблем современности является фишинг, цель которого — получить доступ к конфиденциальным данным (в том числе и к паролям пользователей, чтобы в дальнейшем использовать их для продолжения атаки). Чтобы научить пользователей противостоять фишинговым атакам, им по электронной почте приходят письма того типа, которые мог бы отправить злоумышленник. Например, приходит письмо, оформленное в стиле компании Google, предлагающее вам сменить пароль. Если вы не удалите это письмо или в крайнем случае не перешлете его в службу безопасности, а попытаетесь открыть, система зафиксирует ваш прокол и автоматически назначит «курс лечения», то есть обучение по соответствующей программе.
- Эффективность обучения
Какой подход использовать, чтобы максимально эффективно и в короткие сроки вложить в голову пользователя необходимую информацию? Интерактивные курсы, очень дозированные по времени, которые в нестандартной игровой форме, позволяют получить определенные знания и навыки. После этого начинают действовать алгоритмы, позволяющие оценить, насколько эффективным было обучение.
Эти два шага понятны, прозрачны и реально работают. В отдельных компаниях процент сотрудников, попадающихся на приемы социальной инженерии, использующей такие человеческие слабости, как жадность, страхи или просто тревожность, снизился с 30–40 до 3–5%, и мы видим всё возрастающий интерес к подобному решению.
Система повышения осведомлённости пользователей помогает снизить влияние человеческого фактора на систему ИБ Заказчика, в том числе обусловленного некомпетентностью сотрудников. Подробнее
