29/05/2017
Как показывает практика, какая бы мощная система защиты ни стояла по периметру, всегда найдется слабое место. Чаще всего этим слабым местом оказывается человек. По статистике, больше 80% инцидентов в области информационной безопасности связаны именно с человеческим фактором. Причем угрозы возникают не из злого умысла сотрудников, а по причине их невнимательности, расслабленности, а чаще всего, банальной неосведомленности.
 
Корпоративная культура, как и театр, начинается с вешалки, то есть с отдела кадров. Поделюсь наблюдениями за практикой трудоустройства рядовых сотрудников. Традиционно при устройстве на работу человек получает в отделе кадров пачку бумаг, которую надо изучить, заполнить и подписать. Новички подписывают, не глядя, соглашение о неразглашении информации, дают согласие на обработку персональных данных, подмахивают, не вникая в содержание, еще кучу бумаг. Дальше идёт обустройство на новом месте: получение компьютера, знакомство с обязанностями, соседями... О том, что следовало бы изучить некие положения, все успешно забывают.
 
В крупных компаниях на испытательный срок у новичка есть куратор. Он вводит в курс дела, в том числе знакомит с темой информационной безопасности – вне зависимости от того, в каком подразделении начал работать человек. Но и такой подход, оказывается, не является решением проблемы осведомленности в сфере ИБ. Эту проблему нужно решать постоянно.  
 
Под повышением осведомленности в вопросах информационной безопасности обычно понимается:
  • обучение сотрудников компании вопросам обеспечения ИБ;
  • повышение осведомленности об актуальных угрозах ИБ, мерах и способах реализации атак и средствах защиты;
  • фокусировка внимания сотрудников на важности обеспечения ИБ и пр. 
Какова программа повышения осведомленности? В нашей компании мы используем Цикл Деминга – PDCA (англ. Plan-Do-Check-Act – планирование – действие – проверка - корректировка) - циклически повторяющийся процесс принятия решения, который используется в управлении качеством. Мы применили этот цикл к системе обучения и тестирования персонала в области ИБ.
 
Все необходимые требования, действующие в компании, должны быть представлены сотруднику в доступной, понятной форме. Например, в силу специфики ВымпелКома у нас во всех помещениях расставлены мониторы, на которых в режиме нон-стоп крутится реклама бренда. Периодически реклама прерывается, и очаровательная девушка строго спрашивает: «А ты не забыл сменить пароль?», «А ты помнишь, что он должен быть не менее 8 буквенно-цифровых символов?» и т.д. Такая практика напоминания приносит свои практические плоды.
 
Процесс повышения осведомленности в области ИБ не должен быть разовой акцией: провели, отчитались и забыли. Это рутинная, порой монотонная работа, которую нужно проводить регулярно. Основной вопрос при внедрении программы повышения осведомленности – найти поддержку у руководителей компании, отвечающих за финансовую сторону процесса. Для этого необходимо представить бизнес-план, в котором определены основные моменты программы, целевая аудитория, исполнители и заказчик.
 
При составлении плана работ мы выделили ответственных за создание и реализацию программы, определили цели и задачи проекта. Сложный момент – определение целевых аудиторий. В зависимости от занимаемых должностей и служебных обязанностей сотрудникам требуется разное обучение в разном объеме. Можно выделить финансовый блок, IT-персонал, менеджмент, внешних исполнителей и т.п.
 
Поскольку базовый стандарт квалификационных требований к подготовке специалистов ИБ для телекоммуникационных компаний отсутствует, за основу мы взяли стандарт Банка России СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», стандарты безопасности индустрии платежных карт PCI Security Standards Council, пакет международных стандартов COBIT 5, наработки в области тренингов Национального института стандартов и технологий США, Европейского агентства по IT-безопасности ENISA. Также полезно было изучить материалы вендоров, интеграторов, программы отечественных и зарубежных учебных центров.
 
При ближайшем рассмотрении оказалось, что банковские стандарты отлично подходят для телекоммуникационной корпорации, поскольку через нее проходит примерно такое же число транзакций как через банк, входящий в топ-30. Только лицензии на банковскую деятельность у сотового оператора нет.
 
Далее для каждой целевой аудитории определяется актуальный набор мероприятий. Способы донесения информации разные: семинары, тренинги, мультимедиа-курсы, рассылки, бюллетени безопасности, постеры и пр. У нас отличным источником информации по ИБ стало внутреннее Билайн-радио. Сотрудники на рабочих местах слушают легкую музыку, производственные объявления и периодически – без излишнего напряжения – знакомятся с вопросами, связанными с информационной безопасностью.
 
Чтобы оценить результат мы заранее подготовили метрики для анализа эффективности программы и подготовили мероприятия по проверке и тестированию полученных сотрудниками знаний.
 
Очень важен вопрос обратной связи. Какой бы замечательный лектор или именитый эксперт в области ИБ ни выступил перед вашей целевой аудиторией, вы не сможете оценить эффективность его выступления, если не имеете обратной связи. Отзывы сотрудников помогают понять, насколько им интересно и полезно то или иное мероприятие. Часто приглашенный эксперт, будучи отличным специалистом, оказывается плохим оратором, не способным донести свои знания до аудитории. А часто аудитории и не требуются глубокие знания в специфических областях ИБ – достаточно общего обзора, но изложенного понятно и увлекательно.
 
Важно также поддерживать связь с руководством – от его вовлеченности в процесс повышения корпоративной культуры зачастую зависит финансирование и дальнейшее развитие этого проекта.
 
Поскольку программа повышения осведомленности носит непрерывный, циклический характер, необходимо завершать каждый её этап полноценной проверкой знаний сотрудников и сбором их мнений о качестве проведенной работы. Иначе весь проект превратится в пустую формальность. Кроме того, необходимо постоянно анализировать ландшафт угроз, отслеживать новые требования регуляторов и дополнять программу обучения новыми материалами, учитывая стоящие перед компанией как оперативные, так и долгосрочные цели.
 
Среди тенденций в работе с персоналом стоит отметить свободный график и отсутствие жесткой привязки к рабочему месту. ВымпелКом активно практикует модель работы «би фри». У нее есть и плюсы, и минусы, но в любом случае удаленная работа – хороший повод провести тестирование на практике.
 
Основные угрозы для рядовых сотрудников - фишинговые письма. Поэтому заручившись поддержкой руководства, мы провели собственную рассылку таких писем. Сотрудникам отдела маркетинга мы разослали послания с предложением необычного продукта, HR-службе – резюме и т.д. Большинство писем содержали просьбу перейти по ссылке и ввести свою учетную запись.
 
Результат оказался ошеломляющим. Большинство сотрудников ничтоже сумняшеся перешли по этим зловредным ссылкам и поделились своей учетной записью. Но еще большее потрясение мы испытали после подведения итогов тестирования сотрудников штаб-квартиры компании, которая расположена в Амстердаме. Там перешли по зловредной ссылке почти все. Появился повод как минимум задуматься о повышении роли ИБ в компании, а как максимум – организовать финансирование программы образования сотрудников в области ИБ на постоянной основе.
 
Заручившись финансовой поддержкой, мы разработали программы обучения ИБ, которые были включены в общую программу обучения «Билайн-университет». Обучение и тестирование теперь будут проходить на регулярной основе. Положение об ежемесячных проверках бдительности персонала в ближайшее время будет внесено отдельным пунктом в «Политику информационной безопасности компании».
 
Каждый месяц, готовя отчет, мы отмечаем сотрудников и структурные подразделения, которые попадаются на те или иные уловки, и проводим с ними дополнительное обучение. Человека отправляют на курсы и тренинги в автоматизированном режиме. Сдал тест, набрал определенное количество баллов – иди дальше. Не набрал – учись по второму кругу. Если после нескольких попыток проблема не решается, то стоит, как минимум, присмотреться к сотруднику.
 
Как сделать обучение интересным? Можно использовать геймификацию и интерактивные техники, хорошо работают методы стимуляции и поощрения за высокие результаты в программе, привлечение успешных сотрудников к обучению коллег. Стоит обращать внимание персонала на то, что полученные знания и навыки полезно применять не только на работе, но и в личной жизни, дома.
 
Программа повышения осведомленности достаточно быстро принесла свои плоды. После проведенной рассылки «фишинговых» писем многие сотрудники стали задумываться, прежде чем открыть какое-то письмо. Первое время моему структурному подразделению пришлось особенно трудно – на нас обрушился шквал вопросов: стоит ли открывать то или иное письмо, фишинговое оно или это только повод попасть на обучение? Со временем такие наивные обращения сошли на нет, что говорит о пользе проведенного обучения.
 
Аналогичную программу повышения осведомленности в вопросах информационной безопасности можно реализовать на базе учебных центров, у которых есть своя методика преподавания, аккредитации и лицензии регуляторов. Часто готовы обучать сотрудников организации вендоры, поставляющее оборудование и заинтересованные в его грамотной эксплуатации. Однако гораздо надежнее, спокойнее и проще собрать и подготовить специалистов в своей компании.

И тогда можно перевести самое слабое звено в цепи защиты от разного рода кибератак в надежный элемент ИБ.