Человеческий фактор стал главным препятствием на пути всеобщей кибербезопасности, считают на Западе и активно внедряют программы по повышению знаний в сфере ИБ.
НАУЧИТЬ ЗА 3,5 МИНУТЫ
Удалённая работа и онлайн-обучение в период пандемии COVID-19 показали, что перемены необходимы для выживания, пишет Хизер Стратфорд — основательница Drip7 и эксперт в области IT-обучения и кибербезопасности — в своём блоге на платформе Security Boulevard. Как показал период пандемии, вопрос взаимодействия сотрудников организации и доверия между ними лежит в основе выживания любой компании. А доверять в условиях онлайн-взаимодействия стоит, применяя модель безопасности Zero Trust.
Поэтому началась новая волна обучения сотрудников азам информационной безопасности, она помогает улучшить знания и навыки обычных работников. В основе нового подхода к обучению – не длинные лекции и практические семинары, итогом которых становится экзамен и страх его не сдать, а геймификация, микрообучение и вознаграждение. Такой подход актуален для всех предприятий и соответствует всем глобальным изменениям в мире.
В основной массе киберпреступники неразборчивы в целях, поэтому риску подвергаются все организации. Если в прошлом основной вопрос ИБ заключался в том, какие бизнес-активы необходимо защищать, то сегодня хакеры всё реже собирают данные и всё чаще требуют выкуп за зашифрованную информацию в обмен на ключи шифрования.
Атакующих не интересует форма собственности или платёжеспособность жертвы. По данным Cloudwards, в 2020 году требования выкупа возникали каждые 11 секунд, а в среднем выкуп составлял почти $200 тыс. Слабым звеном в организации мог стать каждый пользователь.
По оценкам экспертов, в настоящее время существуют различные типы вредоносных программ, которые атакуют организации. Популярные программы-вымогатели, которые шифруют данные, — DearCry и Black Kingdom, нацеленная на серверы Microsoft Exchange. Вредоносное программное обеспечение Copper Stealer крадёт данные, а вредонос XcodeSpy — вариант бэкдор-вируса Eggshell, специфичного для macOS, — активирует микрофоны, камеру и клавиатуру жертв.
Сотни вариантов вредоносного ПО постоянно атакуют серверы организаций. По оценкам компании по киберзащите Cybersecurity Ventures (США), в 2021 г. киберпреступность обойдётся миру в более чем $6 трлн.
Для сокращения убытков есть один универсальный способ – повышение грамотности пользователей. По данным Cyber Security Intelligence, 90% всех нарушений напрямую связаны с ошибками или действиями сотрудников, работающими в сети. И пока не существует технических возможностей, нужно полагаться на человеческий фактор, чтобы бороться с растущим числом киберугроз.
Почему обучение работников затруднительно, несмотря на значимость повышения квалификации для любой компании? Большинство корпоративных тренингов воспринимаются как неудобства. Их не воспринимают всерьёз, и, согласно исследованию Университета Ватерлоо, без закрепления новых сведений сотрудники забывают от 50 до 80% изученного материала за два дня. Если изменить подход к обучению, согласовывать тему и время повышения квалификации, а также ввести вознаграждение по итогам учёбы, то ситуация меняется. Вознаграждение — ключевая функция обучения, которую часто ожидают молодые сотрудники.
Ещё одна из тенденций в образовании — переход к микрообучению. Времена, когда человек был готов высидеть полтора часа на тренинге или лекции, давно прошли. Типичный сотрудник может сосредоточиться только на одной задаче в течение короткого промежутка времени, прежде чем его прервут. Как показывает практика, в среднем этот промежуток равен 3,5 минуты. После человек отвлекается на звонок телефона, проверку электронной почты и общение с коллегами. Обучение должно понимать этот сдвиг в психологии. Стоит поделить занятия на мелкие временные рамки, чтобы предоставлять небольшие порции информации.
Добавление игры в процесс обучения помогает привлечь сотрудников и сохранить их интерес к теме. Исследование, проведённое Science Direct, свидетельствует о том, что геймификация на основе задач в образовании приводит к увеличению измеримых результатов на 34,75%.
Микрообучение и геймификация идеально подходят для любой отрасли, где большая часть рабочей силы — поколение миллениалов. Этот подход востребован для отраслей, которые широко используют компьютеры, а персонал работает в офисе. Хотя такое обучение можно адаптировать где угодно.
Переход к удалённой работе и размытие границ организаций потребовали от сотрудников компаний базовых знаний в области кибербезопасности. Возникли угрозы, исходящие от людей, работающих с документами и потенциально конфиденциальной информацией за пределами традиционного рабочего места. Это часть нашего нового мира, и возврат к старому маловероятен.
Многие в технологическом сообществе понимают, что пандемия COVID-19 стала поворотным моментом, который заставил бизнес кардинально измениться. Постоянное обучение, принятие новых эффективных требований, адаптация и развитие новых навыков помогут противостоять постоянно меняющимся угрозам. Изменения становятся единственной константой в постоянно меняющемся мире, считает Хизер Стратфорд.
ИНДИЯ ГОТОВИТ НОВЫЕ КАДРЫ
Всеиндийский совет по техническому образованию (AICTE) совместно с Министерством образования и Фондом CyberPeace (CPF) запустили проект по информационной безопасности под названием eSaksham. Он направлен на обучение студентов и преподавателей азам кибербезопасности.
Согласно данным отчёта Национальной ассоциации компаний — разработчиков ПО и сервисных компаний (NASSCOM) за 2020 год, в Индии не хватает 1 млн профессионалов в области информационной безопасности, к концу 2021 года в отрасли будет около 3,5 млн вакансий в области кибербезопасности.
Основная цель программы повышения цифровой осведомлённости о кибербезопасности — создание экосистемы, в которой исследовательские работы могут быть преобразованы в готовые к реализации проекты.
Проект eSaksham включает тренинг, который будет проводиться на четырёх уровнях. Уровень 1 — двухчасовой онлайн-семинар по основным концепциям навигации в киберпространстве, включая кибербезопасность, сетевой этикет и введение в новые технологии, участвовать в нём могут все желающие.
На уровень 2 перейдут кандидаты по итогам теста, проведённого после уровня 1. Планируется, что четырёхдневный онлайн-семинар охватит 25 тыс. участников.
Уровень 3 рассчитан на 5 тыс. человек, отобранных на предыдущих этапах. Онлайн-семинары продлятся неделю и будут посвящены безопасности Интернета вещей, облачной безопасности, блокчейн-технологиям и безопасности инфраструктуры.
На последний — уровень 4 — перейдут 500 кандидатов. Они пройдут месячный интенсивный тренинг, проводимый в сотрудничестве с правительством, академическими кругами и предприятиями. Под руководством наставников студенты получат доступ к лабораториям для дальнейшего развития навыков в области ИБ. Выпускники получат сертификаты AICTE и CPF.
Ожидается, что в рамках реализации онлайн-программы появятся 25 тыс. волонтёров Корпуса CyberPeace и будет создано более 50 клубов CyberPeace по всей Индии.
РЫБАК РЫБАКА…
2020 год был не похож на другие, пишет специалист в области ИБ Эрик Крон в сетевом издании Securuty Magazine. Глобальная пандемия современности потрясла мир и нарушила привычный образ жизни, заставив всех адаптироваться к новым условиям в кратчайшие сроки. Вместо похода в офис – конференция онлайн, вместо обеда с коллегами – обед с семьёй, и даже запасы туалетной бумаги стали необходимостью.
Людям сложно адаптироваться к переменам, особенно в условиях продолжающейся экономической борьбы, политических потрясений и общего чувства неуверенности. Это трудное время для людей как в профессиональном, так и в личном плане. И — благодатная почва для мошенников.
Основной рецепт мошенничества почти всегда один и тот же. Мошенник заставляет жертву доверять, а затем использует это доверие в своих интересах. Если прежде такой исход грозил потерей денег или собственности, то сегодня к финансовым или имущественным потерям добавились информация и доступ к ресурсам.
За долгие годы тренировок мошенники отточили своё мастерство. История с принцем Нигерии начиналась как афера с использованием возможностей традиционных почтовых служб. Переход в виртуальное пространство упростил рассылку и снизил затраты: отправка 50 тыс. фишинговых писем через почтовые службы даркнета стоит $65. Отправка бумажных писем 50 тыс. респондентам обойдётся в $27,5 тыс. только за одни марки. Неудивительно, что фишинг по электронной почте так популярен.
За прошедшие годы мошенники выяснили, какие эмоциональные ловушки работают лучше всего, и знают, как противостоять практически любым возражениям или подозрительным вопросам. Они используют психологические уловки, чтобы цель оставалась в состоянии сильных эмоций. Страх, возмущение, гнев, услужливость… Эмоции заставляют людей принимать неверные решения. Этим успешно пользуются киберпреступники.
Стресс и паника первых дней пандемии, переход на онлайн-обучение и удалённую работу и даже отсутствие дома нужной для «удалёнки» техники – всё стало золотой жилой для мошенников.
В первые недели после отключений, связанных с COVID-19, киберпреступники сосредоточились на создании новых атак. На рисунке 1 показано резкое увеличение числа новых шаблонов фишинга, связанных с COVID-19, в течение нескольких недель после начала карантина.
Рис. 1. Новые шаблоны фишинга для COVID-19 по неделям https://www.securitymagazine.com/articles/95253-the-pandemonium-of-the-pandemic-how-working-from-home-has-changed-the-cybersecurity-formula
Фишинговые письма различались по темам, содержанию и целям, однако почти все они были сосредоточены на неопределённости в жизни людей в условиях пандемии. От имени правительства или глобальных организаций (например, ВОЗ) потенциальным жертвам предлагали ознакомиться с «обновлёнными инструкциями». Ссылки вели на документы, заражённые вредоносными программами, или на поддельные порталы, требующие конфиденциальной информации для «подтверждения» личности жертвы. Другие схемы использовали информацию о материальной помощи от правительства для сбора личной информации и доступа к банковским счетам. Поддельные мобильные приложения под видом отслеживания контрактов COVID-19 занимались распространением программ-вымогателей.
Помимо фишинга, процветало мошенничество с реализацией дефицитных в первые недели средств индивидуальной защиты (СИЗ), дезинфицирующих средств для рук и т. д. «Липовые» поставщики СИЗ помогли избавиться от денег многим организациям, в том числе больницам и исследовательским центрам. Со временем число поддельных сайтов производителей уменьшилось, однако до сих пор в сети можно нарваться на мошенников.
Спустя год на смену одним проблемам приходят другие. Рост цен на сырьё, нарушение логистики в результате закрытия сообщения между странами, остановка экспортно-импортных операций привели к дефициту товаров и комплектующих. Чем не преминули воспользоваться мошенники.
Продолжая бороться с пандемией, мы должны помогать людям учиться распознавать мошенничества, полагает автор статьи. Независимо от того, что является их целью: кража данных, личных сведений или денег — последствия будут значительными на личном уровне или на уровне организации. Информирование людей об опасностях, а также о методах выявления мошенничества и защиты себя сегодня особенно важно.
БРИТАНСКИЕ УЧИТЕЛЯ НА ПЕРЕДОВОЙ
Национальный центр кибербезопасности Великобритании (NCSC) выпустил бесплатный учебный пакет по кибербезопасности для учителей и школьных работников, описывающий практические шаги по ИБ, чтобы помочь преподавателям повысить свою защиту в ходе онлайн-обучения. На основе реальных примеров из жизни продемонстрировано влияние таких инцидентов на учебный процесс, пишет издание Computer Weekly.
Новый ресурс стал очередным дополнением к расширяющемуся пакету мер поддержки, предлагаемых NCSC для школ и университетов Великобритании. Учебные заведения страдают от волны кибератак, которые захлестнули образовательные учреждения в период пандемии COVID-19 и перехода сектора в онлайн. Атаки на школы не снижаются даже с возвращением очного обучения.
Министр школ Ник Гибб отмечает, что жизненно важно, чтобы в школах была надёжная киберзащита, и новые ресурсы и обучение помогут персоналу повысить кибербезопасность. Новый тренинг даст школьному персоналу инструменты и навыки, необходимые для выявления возможных рисков.
Учебный пакет адаптирован для сотрудника с любым уровнем подготовки и технических знаний. Это презентация, доступная по ссылке, обучение ведётся по сценарию, описывающему самые опасные угрозы, с которыми сталкиваются школы, и последствия успешных кибератак.
Так, в одном из тематических исследований описывается инцидент, в ходе которого была проведена успешная голосовая фишинг-атака, в ходе которой киберпреступники выдавали себя за Министерство образования, чтобы получить данные электронной почты главы финансового отдела и директора школы. Затем директору было отправлено персонализированное фишинговое электронное письмо, которое при открытии загружало программы-вымогатели. Они распространялись по локальной сети, шифруя школьные данные. Кибермошенники потребовали £8 тыс. за ключ для дешифрования.
В другом примере киберпреступники атаковали независимого администратора школы, используя фишинговые электронные письма, чтобы украсть контактные данные родителей. Хакеры выдавали себя за специалиста по аудиту и контролю за соблюдением требований законодательства. Получив нужные данные, мошенники от имени школы отправили по электронной почте родителям новые банковские реквизиты для оплаты обучения. Персональные данные родителей также использовались в других мошеннических схемах.
Ещё один пример – оплошность учителя, который оставил свой системный пароль записанным на стикере. Этим воспользовался ученик школы, который изменил свои оценки. А учебное заведение попало под санкции Управления комиссара по информации (ICO) за нарушение Закона о защите данных.
Согласно тренингу, есть четыре основных шага, которые должен соблюдать школьный персонал:
1. Сократить объём общедоступной информации о себе в социальных сетях, чтобы защититься от попыток фишинга. Если получатель не уверен в достоверности письма – обратиться к профессионалам за помощью.
2. Использовать надёжные и оригинальные пароли для разных учётных записей, по возможности использовать двухфакторную аутентификацию
3. Для защиты устройств необходимо устанавливать обновления, загружать программное обеспечение только из официальных источников. Блокировать экраны, если они не используются.
4. В случае возможных инцидентов как можно скорее сообщать о подозрениях.
АМЕРИКАНСКИЕ УЧИТЕЛЯ ИЗУЧАЮТ КРИПТОГРАФИЮ
Летом этого года 40 школьных учителей нескольких земель в штате Пенсильвания пройдут недельное онлайн-обучение в летнем лагере GenCyber, организованном Общественным колледжем в Шнексвилле, штат Пенсильвания, в районе Лихай-Вэлли. Колледж, уже становившийся лидером образования в области ИБ (по оценке АНБ и Министерства внутренней безопасности США), на сей раз получил грант от Агентства национальной безопасности и Национального научного центра и проведёт онлайн-тренинги для местных учителей начальной, средней и старшей школы.
В программе обучения – как базовые вопросы устройства компьютеров и компьютерных сетей, так и азы криптографии, кибербезопасности, безопасного поведения в Интернете и киберэтики. Участники летней школы получат практический опыт, а также узнают, как интегрировать новые знания в учебные программы на соответствующем возрасту уровне. В рамках последующей годовой программы учителям окажут поддержку по вопросам использования полученных знаний в школьных курсах. Помимо этого, каждый участник тренинга получит стипендию в размере $500.
Федеральная программа летних лагерей GenCyber для студентов и учителей проводится по инициативе и поддержке Агентства национальной безопасности и Национального научного центра. Она и является ответом на необходимость повышения осведомлённости о кибербезопасности и обучения основам кибербезопасности на разных уровнях образования. Цели программы GenCyber – не только повысить знания школьников и учителей в области ИБ, но и развить интерес к карьере в области кибербезопасности в будущем.