Человеческий фактор – самое слабое звено в системе защиты. CISO ГК «Элемент» – о платформе обучения сотрудников основам ИБ

Сегодня более 75% всех утечек информации, компрометации данных, неправомерного доступа в инфраструктуру происходит из-за человеческого фактора. И так как количество угроз будет только расти, то, по словам главы Сбербанка Германа Грефа, ущерб мировой экономике от кибератак в 2026 году может составить 10 триллионов долларов.

Методы мошенников постоянно совершенствуются, поэтому работать над кибергигиеной сотрудников также необходимо на  регулярной основе. Сегодня владельцы бизнеса четко осознают, что даже самые современные технические решения не дают 100% гарантию защиты от человеческого фактора. И начинают развивать в компаниях направление Security Awareness, вкладывая в него финансовые и человеческие ресурсы. Так как ответственность за утечку данных, несанкционированный доступ и другие последствия в большинстве случаев несет именно руководство компании.

Security Awareness или повышение осведомлённости – это программа обучения и информирования сотрудников компании о различных аспектах информационной безопасности, угрозах и обучение методов их недопущения. Так, сотрудники изучают основные виды киберугроз, учатся безопасно хранить и передавать информацию, изучают правила безопасного поведения в сети и отрабатывают алгоритмы действий при обнаружении угроз и попытках мошеннических действий.

Продолжение ниже

Какие основные виды угроз существуют:

1. Фишинг и спам-рассылки. Это рассылка поддельных писем с целью кражи логинов и паролей.
2. Вредоносное ПО. Заражают системы через уязвимости, блокируя работу.
3. DDoS-атаки. Наводнение серверов мусорным трафиком, приводящее к падению сайта и онлайн-сервисов. Цель — парализовать бизнес, нанести репутационный и финансовый ущерб.
4. BEC (Business Email Compromise). Взлом почты руководства, кража коммерческой информации, может привести к прямому финансовому и репутационному ущербу.
5. Целевой фишинг. Спланированные атаки на конкретных руководителей с последующим использованием их личной информации для мошенничества.

Борьбу с киберпреступниками необходимо вести системно. Сегодня существует много различных программ, помогающих, например, при звонке на мобильный телефон определить злоумышленника. Подобное решение есть у «Лаборатории Касперского», у всех операторов связи и у ряда банков. Это поможет сэкономить время защититься от любого взаимодействия со злоумышленниками.

Кроме того, на сайте Сбербанка существует сервис для фиксации мобильных номеров и электронных адресов мошенников. Здесь в разделе можно проверить, кому принадлежит незнакомый номер, а также сообщить о мошенниках.

На корпоративном уровне такие задачи решает служба информационной безопасности. Ключевая задача подразделения – сохранение целостности инфраструктуры компании или предприятия и защита от возможных киберугроз. Служба применяет различные технические средства для надежной защиты ИТ-контура компании. Важно отметить, что в данном сегменте решений – сервисов для выявления и защиты от кибермошенников – все решения изначально были только отечественные, и уход западных игроков в 2022 году не повлиял ни на их работу, ни на дальнейшее развитие. А увеличение количества атак на российский сегмент сети, наоборот, привело к росту и качественному развитию систем класса Security Awareness.

Инструменты обеспечения корпоративной безопасности:

1. Повышать уровень компьютерной грамотности сотрудников с применением специализированных программ, проводить вебинары, использовать регулярные информационные рассылки с информацией об актуальных угрозах и рекомендациями по защите данных, устройств и др.
2. Проводить обучения с последующим тестированием на специальных платформах. Например, сегодня существует много отечественных решений, позволяющих обучать и тестировать сотрудников в различных удобных форматах. Такие решения включают в себя набор курсов по различным темам и регулярно обновляются с выходом новых видов и форм мошенничества. Обучение включает в себя различные элементы геймификации, картинки и ссылки на полезные ресурсы. После прохождения некоторых видов обучения есть возможностью получить сертификата о прохождении.
3. Создавать имитации фишинговых и иных атак, чтобы отследить реакцию пользователей на такого рода сообщения и выявить уровень их знаний. Например, звонки от людей, представляющихся сотрудниками по информационной безопасности, попытки несанкционированного доступа к устройствам и др. Работает как профилактика реальных фишинговых атак.
4. Внедрять системы мониторинга сети для выявления и предотвращения угроз информационным активам и системам. Такие системы ведут постоянный мониторинг инфраструктуры с целью выявления аномально высокой активности или подозрительных соединений.
5. Использовать технические средства защиты, страхующие пользователей. Начиная от базовой антивирусной защиты на всех компонентах инфраструктуры и рабочих местах пользователей, заканчивая высокотехнологичными решениями на уровне периметровой защиты компании. Для недопущения различного вида атак на пользователей применять антиспам-системы, средств межсетевого экранирования (IPS/IDS), защиты от несанкционированного доступа и иные решения.

Выбор корпоративной awareness платформы – нетривиальная задача, она должна соответствовать целям компании по безопасности, а также специфике бизнеса. На момент внедрения такой платформы в Группе компаний «Элемент», мы делали качественное тестирование трех платформ. Главные критерии выбора были: масштабируемость на дочерние предприятия; модульность для возможности компоновать модули в зависимости от уровня подготовки пользователей, объема курса, сложности практических заданий; полностью автоматизированный анализ результатов; гибкость, чтобы можно было дописывать/менять/удалять модули. Из второстепенных критериев – это удобство пользователей и понятный интерфейс, использование различных обучающих форматов.

Сегодня наша awareness платформа регулярно используется для вводного инструктажа по информационной безопасности для новых сотрудников в первые 3 дня приема на работу, для всех сотрудников – раз в два месяца. Безусловно, в цифровой инфраструктуре компании есть технические решения, страхующие пользователей, но все же гораздо эффективнее повышать культуру работы с конфиденциальной информацией, это позволяет выявлять потенциальные риски и аномалии еще на самых ранних стадиях. В результате использования платформы удалось повысить культуру работы с конфиденциальной информацией, что подтверждается результатами регулярных тестовых фишинговых рассылок и других тестов.

Отдельно хочется отметить важность и своевременность совершенствования законодательства в этой сфере и ужесточение наказания за преступления, совершенные с использованием ИКТ. Так, в 2025 году в силу вступил новый законопроект об усилении ответственности за утечку персональных данных, повышаются требования по обеспечению защиты критической информационной инфраструктуры (КИИ), появляются отдельные нормативные документы регуляторов – ФСТЭК, ФСБ, Роскомнадзор.