Рубрики:
- Интервью
- Сервисы для бизнеса
Как научить сотрудников не попадаться на удочку кибермошенников?
26.11.2020
Цель киберпреступников, атакующих компании, очевидна: получить доступ, добраться до серверов, украсть уникальную информацию или вывести со счетов деньги. Любой сотрудник может неосознанно стать точкой входа для мошенников. Совладелец Сибирской Академии информационной безопасности Владимир Соловьев рассказал о ключевых принципах, которым необходимо обучать персонал.
— Какие способы используют мошенники, чтобы получить доступ к серверам компании?
— Способов великое множество. В частности, это поиск уязвимостей в опубликованных сервисах. Допустим, у компании есть интернет-магазин или какая-то система размещения заказов для работы с партнёрами, или тот же самый интерфейс электронной почты, опубликованный в открытых источниках, — всё это может быть потенциальным входом в инфраструктуру компании. Иногда злоумышленникам удаётся проникнуть на сервер компании, обнаружив доступ, который давали когда-то кому-то и забыли по недосмотру закрыть.
Могут предприниматься попытки подключения к публичному Wi-Fi, взлома сети Wi-Fi и доступа уже во внутреннюю сеть. Или, например, злоумышленники приходят в офис компании с легендой, что у них назначена встреча. Их провожают в переговорную комнату, где стоит IP-телефон с подключением в сеть компании. Они выдергивают IP-телефон, включают туда свой компьютер и сканируют систему.
Безупречно работают так называемые «методы социальной инженерии». Обладая знаниями из области психологии и социологии, преступники заставляют сотрудников компании совершать определённые действия и получают их учётные данные. Используя эту информацию, они попадают в сеть и расширяют свои полномочия до максимального уровня.
— Как компании могут снизить риски подобных проникновений?
— Проблемы подобных проникновений решаются всегда комплексно. Первое — техника и технологии. Второе — обучение сотрудников.
— Какие основные правила должен знать сотрудник компании?
— Правила информационной безопасности для рядовых сотрудников достаточно просты. К сожалению, ими или не все владеют, или не все пользуются. Элементарное правило: не открывать непонятные вложения, ссылки, даже если очень хочется, не оставлять незаблокированным компьютер. Не нужно с рабочим ноутбуком подключаться к непонятным публичным Wi-Fi-сетям.
Если тебе позвонили даже по внутреннему номеру, представились твоим коллегой из такого-то отдела и запросили у тебя какую-то информацию, не надо сразу эту информацию предоставлять. Попроси внутренний номер, скажи: «Я вам перезвоню». А затем уточни: работает ли такой сотрудник у тебя в организации, тем более, если он запрашивает данные, которые запрашивать не должен. Важно объяснить сотруднику, что его учётная запись в корпоративной сети — это как паспорт, как банковская карта. Беречь их нужно абсолютно так же.
— То есть, нужно объяснить сотруднику, что если с помощью его учётной записи будет нанесён вред компании, то…
— Скорее всего, будет считаться, что это сделал он.
— В каком формате «САИБ» работает над повышением осведомлённости сотрудников компаний?
— У нас есть три блока, которые можно использовать в любой последовательности. Первый блок — это тестирование. Сотрудникам в простой форме предлагается решить определённые задачи. Пример: «Вам встретился коллега и сказал, что он не может разблокировать свой компьютер. Он просит вас помочь ему войти в систему под вашей учётной записью. Ваши действия?»
Второй блок — это обучающий курс. Мы на понятном языке объясняем, какие существуют угрозы, как их выявить, как поступать при возникновении той или иной ситуации.
Если сотрудник отработал в соответствии с правилами, которым мы его учили, — он молодец. Если он всё-таки совершил действия, которых от него ждал бы злоумышленник, — придётся больше поработать с ним.
Третий блок мы назвали «Киберучения». Сотрудникам компании время от времени мы отправляем письма, которые выглядят как письма, заслуживающие доверия и требуют от сотрудника совершения тех или иных действий. Если сотрудник не произвёл эти действия и отработал в соответствии с правилами, которым мы его учили, — он молодец. Если он всё-таки совершил действия, которых от него ждал бы злоумышленник, — это сигнал о том, что этот сотрудник плохо усвоил постулаты информационной безопасности. Придётся больше поработать с ним, возможно, провести какую-то дополнительную подготовку.
— В каком формате проходит обучение?
— Мы делаем ставку именно на онлайн. Сотрудникам компании выдаётся ссылка на курс, и все обязаны его прослушать до определённой даты. Обычно за два-три дня все справляются.
— Каким компаниям такое обучение сотрудников необходимо уже сегодня?
— Всем абсолютно. Мы в большей степени сконцентрированы на среднем и крупном бизнесе. Здесь логика простая: чем больше компания — тем легче в ней найти слабое звено.
— Кто преподаёт в вашей академии? Кто составляет эти курсы, кто разрабатывает тест-системы?
— В основном, это технические специалисты крупных компаний, с которыми нас связывает давнее сотрудничество. Это профессионалы высокого уровня с хорошим практическим опытом решения самых разных задач в сфере информационной безопасности, которым есть чем поделиться и что рассказать. Некоторые из них являются преподавателями высших учебных заведений. Для нас главное, чтобы это был практик, способный генерировать интересные, оригинальные идеи, работающие на пользу заказчиков.
— Есть ли у академии лицензия на образовательные услуги?
— Лицензия на образовательную деятельность есть, и она даёт нам право выдавать удостоверения о повышении квалификации сотрудников. Для некоторых компаний это важно.
— Насколько эффективно такое обучение? Получают ли владельцы бизнеса ожидаемый результат?
— Безусловно, получают. По итогам третьего этапа, цифры могут быть разные, и многое зависит от самой компании. Чем меньше сотрудники знают на старте, тем выше эффект на выходе. Мы, бывает, сталкиваемся с очень компетентными компаниями, которые регулярно проводят киберучения. Естественно, там процент откровенных «проколов» невысокий. К примеру, делали мы тестовые рассылки со зловредными письмами в компании, где работают 600 сотрудников. Компания скрупулёзно работает над информационной безопасностью внутри структуры, но всё равно сотрудников 15 попались «на удочку».
— Самые продвинутые в этой сфере компании работают в каких отраслях?
— Во-первых, это IT-сектор — там просто люди очень компетентные работают обычно. На втором месте финансовый сектор. Там предъявляются определённые требования, с точки зрения законодательства. Более того, финансовый сектор, в принципе, наиболее подвержен угрозам внешнего злонамеренного воздействия. Остальные отрасли примерно на равных позициях. В большей степени положение дел зависит от того, насколько вдумчиво к бизнес-процессам подходит топ-менеджмент компании.
— Как вы намерены развивать деятельность САИБ?
— Помимо того, что мы уже делаем для обучения пользователей, у нас есть курсы для технических специалистов, для тех, кто уже работает внутри коммерческих или государственных структур и должен обеспечивать информационную безопасность. Вторая точка приложения усилий — это курсы регуляторов. В частности, мы планируем разработать и согласовать программы с федеральной службой по техническому экспортному контролю, чтобы люди могли проходить повышение квалификации. В далёких и амбиционных планах профессиональная переподготовка специалистов, чтобы они соответствовали требованиям регулятора в области защиты информации.
Сибирская Академия информационной безопасности
saib.biz
Текст: Юлия Дорн
Фото: Александр Рощин
Подписаться на рассылку
status-media.com
Отправляя форму вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности
Добавить комментарий
Для того, чтобы оставить комменатрий вам необходимо зарегистрироваться!