Сохранность цифровых активов требует, чтобы в этом процессе принимали участие все сотрудники компании, а не только специалисты по информационной безопасности. Задача HR-службы — помочь правильно организовать систему направленных на это мероприятий. О том, как привить сотрудникам культуру информационной безопасности (ИБ) и мотивировать их к соблюдению правил «цифровой гигиены» рассказывает Сергей Волдохин, директор компании «Антифишинг».
Большая часть пользователей знают, что хакеры взламывают сети компаний и что нужно соблюдать правила безопасности при работе за компьютером, чтобы не допустить этого. Однако между знанием и навыком безопасного поведения существует огромная пропасть. Точно также все знают, что нужно следить за здоровьем, делать зарядку и правильно питаться, но сколько из обладающих этим знанием применяют его на практике каждый день?
И если безопасность данных на личных устройствах пользователей — проблема самих пользователей, то в случае корпоративными компьютерами уровень последствий принципиально другой. Одна мелкая ошибка может обернуться серьезными проблемами – от репутационных потерь до финансовых издержек. Например, после атаки мошенников акции холдинга Capital One за две недели упали почти на 14%, и таких примеров можно привести много.
Проблема: техническая защита помогает лишь частично, потому что под прицелом — люди
Многие организации надеются на отдел ИБ, рассчитывая, что их напряжённая работа, подкреплённая дорогостоящими средствами защиты от кибератак должны позволить остальным расслабиться сотрудникам и не думать об опасности. Эту тенденцию отмечают исследователи. Например, по данным Positive Technologies 75% российских банков пострадали от кибератак, организованных путем рассылки электронных писем на адреса рядовых служащих.
По статистике современная фишинговая атака длится около 21 часа. Антивирусы начинают реагировать на новый тип атаки в среднем через 16 часов после того, как первая жертва оказалась на хакерском ресурсе. Но поскольку во многих компаниях обновление антивирусных баз происходит по регламенту раз в день, а то и раз в неделю, можно только предполагать, какое количество сотрудников может попасться на атаку.
Причины бездействия или небезопасного поведения сотрудников — недостаточная осведомленность и отсутствие практических навыков правильных действий при обнаружении фишинговой атаки. Именно слабая подготовка персонала в сочетании со старым ПО стала причиной заражения компьютеров клиники «Инвитро» и многих других компаний по миру одиозным вирусом-шифровальщиком NotPetya.
Казалось бы, опыт прошлых лет должен показать важность обучения и тренировки сотрудников, однако компании по-прежнему охотнее направляют финансы на усиление технической защиты от киберугроз. Но даже новейшая система безопасности далеко не всегда может учесть человеческий фактор, а некоторые мошеннические рассылки практически невозможно отличить от легитимных, как в случае с атаками на компрометацию деловой переписки (Business Email Compromise, BEC). Рассылаемые в ходе BEC-кампании письма, как правило, не содержат ни ссылок, ни вложений, поэтому с лёгкостью проходят через самые надежную системы защиты.
Низкая техническая осведомленность – не единственная причина легкомысленного отношения сотрудников к ИБ. Отсутствие мотивации персонала, четко сформулированной политики информационной безопасности и слабый корпоративный дух также не добавляют членам команды ответственности. А это во многом уже зона ответственности HR-службы.
Как сформировать навыки ИБ
Большинство мошеннических схем нельзя предотвратить, полагаясь только на технические меры и сильный отдел информационной безопасности, поэтому все сотрудники организации должны проходить непрерывное обучение и тренировку практических навыков безопасного поведения. Это должно стать регулярной практикой и проводиться не реже, чем раз в квартал.
Навыки невозможно выработать, изучая теорию, как невозможно научиться ездить на велосипеде, просматривая обучающие видеоролики на YouTube. Необходима отработка полученных знаний на практике, чтобы эти знания стали навыками. Безопасным для компании способом отработать эти знания может стать специально подготовленная рассылка писем, имитирующих действия реальных киберпреступников, но без вредоносных последствий. Действия сотрудников при получении таких писем — переход по ссылке в письме или открытие вложения, — позволяют оценить эффективность проведённого обучения и качество приобретённых навыков.
Помимо регулярных занятий следует проводить внезапные проверки навыков, например, в периоды активных и часто повторяющихся кибератак.
ИБ как часть корпоративной культуры
Вклад HR-службы в информационную безопасность организации может быть очень весомым. Лояльность сотрудников к бренду работодателя и своим линейным руководителям тесно связана с более ответственным отношением к корпоративной информации. Кроме того, в атмосфере доверия и открытости коллеги могут свободно обращаться друг к другу, например, для уточнения достоверности полученного сообщения или письма.
Многие IT-гиганты, такие как Google или Apple, уже давно сделали информационную безопасность частью корпоративной культуры. В мире, где каждые 14 секунд происходят кибератаки, защита от этого вида угроз из профильного вида деятельности становится новой корпоративной этикой.
Принципы формирования корпоративных стандартов в сфере ИБ
Любые меры бессмысленны, если компания не имеет четкой политики информационной безопасности, закрепленной регламентами, которые обновляются на постоянной основе. Принципы ее формирования:
- Постановка целей и задач в области управления ИБ.
- Правила должны не только фиксировать корректное поведение и меры предосторожности при работе с корпоративной информацией, но и содержать четкие инструкции по распространению нововведений и проведению инструктажа для каждого сотрудника.
- Вся документация по ИБ должна располагаться на ресурсах, которые известны и доступны каждому сотруднику.
- Регламенты ИБ компании должны охватывать максимальное количество возможных ситуаций распространения вредоносного ПО или информации: от проверки флеш-накопителей и внимательного изучения писем до сценариев общения с мошенниками по телефону.
Тактика действий отдела HR для обеспечения ИБ
Можно выделить пять основных задач кадрового подразделения, которые помогут сформировать у сотрудников навыки безопасного поведения:
- Если в компании нет регламентов по информационной безопасности, HR-служба должна инициировать их создание, а впоследствии следить за обновлением.
- Заложить время на обучение и практические тренировки сотрудников всех отделов компании; четко отслеживать прохождение обучение и результаты имитированных атак.
- По итогам проверки навыков сформировать группы и график для повторного обучения и тренировок практическим ИБ-навыкам.
- Создать мотивационную схему вовлечения сотрудников в процессы сохранения и защиты информации компании.
- Ввести в рабочий процесс элементы игры (геймификация) для лучшего усвоения методов и инструментов ИБ.
Информационная безопасность организации зависит от действий каждого сотрудника независимо от занимаемой должности, полномочий и уровня доступа к важным данным.
Технические средства продолжают оставаться фундаментом защиты периметра и информационной инфраструктуры от кибератак, но именно люди на местах могут «открыть дверь» для мошенников, которые ежедневно совершенствуют свои методы и повышают их эффективность. Рост числа удаленных коммуникаций только подстегнул этот процесс.
Развитие культуры информационной безопасности в этом контексте можно рассматривать как средство дополнительного укрепления технических бастионов, а это именно та задача, выполнение которой как нельзя лучше удаётся HR-службе.