По данным IBM 2015 Cyber Security Intelligence Index, более 95% всех internal incidents (внутренних инцидентов) в сфере информационной безопасности компаний вызваны ошибками пользователей. При этом большинство организаций даже не задумываются о том, что пользователи являются очень уязвимой частью ИБ компании. В то время как департамент ИБ планирует вложить средства в защиту периметра компьютерной сети, покупку нового оборудования и программного обеспечения, вопросы обучения пользователей остаются за пределами его внимания.
ЧТО ИМЕЕМ НА ПРАКТИКЕ?
Как уже не раз отмечалось многими специалистами в сфере ИБ, весь инструктаж сотрудников компаний чаще всего сводится к формальному ознакомлению с инструкциями и приказами, а все просвещение на тему ИБ – к постерам с напоминаниями сменить пароль и быть бдительным. В некоторых организациях сотрудники отдела ИБ проводят семинары, на которых пытаются обучить коллег из других департаментов базовым знаниям и навыкам с области ИБ. Однако чаще всего слушатели не запоминают эту информацию, поскольку она им не интересна: мало кто готов выйти за пределы основной специальности и погрузиться в изучение новой сферы деятельности.
Отсюда возникает вопрос проработки нового, эффективного метода обучения сотрудников компании.
КЛИПОВОЕ МЫШЛЕНИЕ
Сегодня все привыкли иметь дело с гаджетами, все привыкли к мобильности, к тому, что из любой точки - дома, в транспорте, на прогулке - можно подключиться к глобальной сети и получить любые сведения. Современный мир перегружен информацией и сегодня практически никто не будет без особенной необходимости часами изучать сложные документы. Как установили психологи, любому человеку сложно сосредотачиваться на каком-то вопросе более 45 минут. Современная молодежь воспринимает информацию блоками, через короткие яркие образы или статьи, заголовки новостей, небольшие видеоклипы, это т.н. клиповое мышление. При этом для привлечения внимания информация должна подаваться броско, в хорошем качестве, иначе она не дойдет до пользователя в полном объеме.
Еще один психологический аспект, который стоит использовать в работе с современными сотрудниками, пользователями гаджетов, - это любовь к компьютерным играм. Почему люди играют? Потому что это просто, доставляет удовольствие и в итоге игры люди получают некий результат. Если же давать ту же информацию в виде сухого текста, никакого удовольствия такая «игра» не принесет. Как не принесут удовольствия и нормы, правила и принципы работы в информационной среде на рабочем месте, сведения о которых пытаются донести до сотрудников IT- и ИБ- департаменты.
ПСИХОЛОГИЯ В ОСНОВЕ ОБУЧЕНИЯ. СМЕНИТЬ АЛГОРИТМ
Что следует из сказанного выше? Для успешного обучения пользователей можно подойти к повышению культуры ИБ с использованием психологии. В первую очередь нужно изменить алгоритм обучения: сначала выработать у сотрудников правильное поведение, а не пичкать их новыми знаниями. Пример правильного поведения – не кликать бездумно по всем ссылкам в письмах. А уже после выработки поведения дать и более глубокие знания в области ИБ – для тех сотрудников, для которых это имеет смысл.
Слабым звеном в ИБ любой компании принято считать бухгалтерию. Однако, как показывает практика, очень часто после проведения занятий по повышению осведомленности сотрудники бухгалтерии начинают внимательно работать с входящими письмами. И нередко пересылают сомнительную корреспонденцию в IT-отдел. Где даже рядовой сотрудник имеет привилегированные права для работы в сети, но как показывает практика «Лаборатории Касперского», часто плохо ими распоряжается. Например, в отличие от сотрудника бухгалтерии, IT-сотрудник запросто открывает вызвавшее подозрение у бухгалтера фишинговое письмо с отчетом в формате pdf, содержащим дропер. Таким образом, по халатности инженера службы поддержки злоумышленники взломали сеть компании. Поэтому часто обучение ИБ надо начинать не с бухгалтерии, а с IT-департамента, как с сотрудников, имеющих наибольшие права по управлению сетью организации.
ИГРА КАК ИСТОЧНИК ЗНАНИЙ
В какой форме лучше проводить тренинги? В игровой. Любой обучающий теоретический модуль должен быть написан в доступной форме, легким языком. И после теоретической части следует сразу проводить практическую, чтобы стало понятно, как применить полученные знания. Итогом обучения должна стать некая интерактивная проверка новых знаний и умение применить их на практике. Продолжительность всего модуля обучения не должна превышать 20 минут, в идеале она должна составлять 10-15 минут, чтобы пользователь не устал, чтобы ему было интересно и его хорошее настроение повлияло на мотивацию дальнейшего получения новых знаний и навыков.
Идеально, если новая платформа обучения ИБ станет предметом обсуждения в рабочем коллективе. Это не только повысит интерес отдельных сотрудников к вопросам ИБ, но и скажется на общей культуре ИБ в компании. Также росту интереса к процессу обучения может способствовать рейтинг сотрудников по полученным достижениям. Соревновательная часть очень мотивирует людей, большинство не хочет быть последним. Поэтому необходимо, чтобы процесс обучения был прозрачным, чтобы любой работник мог понять, где он находится относительно других сотрудников своей компании.
Как показывает практика нашей компании, соблюдение баланса между выработкой поведения в ИТ среде, предоставлениями знаний и мотивацией помогает активно и продуктивно внедрять программу повышения осведомленности в той или иной организации.
РЕЗУЛЬТАТЫ ИГР
Как ведут себя сотрудники компании, где успешно работает программа повышения осведомленности? Руководители начинают взаимодействовать со службой ИБ и понимают её значимость для бизнеса, а не отмахиваются от вопросов ИБ как от вторичных проблем. Естественно, обучение руководителей несколько отличается от обучения иных сотрудников. Но сам факт понимания того, что повышение осведомленности в сфере ИБ необходимо на всех уровнях карьерной лестницы, важен при обучении информационной безопасности высшего руководства любых компаний. Для менеджеров среднего уровня – руководителей подразделений - обучение необходимо для понимания личной ответственности за безопасную работу своих отделов. Потому они должны активно внедрять нормы ИБ в своих подразделениях и добиваться более безопасного поведения сотрудников, а не перекладывать всю ответственность за инцидент на ИБ-департамент компании.
В глобальном плане, по итогам проведения программы повышения осведомленности в области ИБ, все сотрудники организации должны понимать и разделять ценности безопасного поведения, соблюдать меры безопасности, сообщать о потенциальных инцидентах и активно взаимодействовать со специалистами отдела ИБ.
ИЗМЕНЕНИЕ МОТИВАЦИИ
Какие еще преимущества дает учет психологии при обучении? У большинства сотрудников компаний есть заблуждения, с которыми в обычной жизни трудно расставаться. И именно эти заблуждения приводят к тому, что сотрудники не видят смысла в сознательном изучении основ кибербезопасности. Не видят смысла, а значит, не имеют никакой мотивации учиться. А раз не мотивированы, то и не учатся.
С помощью правильной мотивации можно сменить убеждения путем преобразования заблуждения по поводу кибербезопасности в адекватное восприятие реальности и позитивную модель поведения. Например, мнение, что хакеру неинтересны рядовые сотрудники, расслабляет при работе в сети. А понимание того, что страдают не только владеющие огромными деньгами и большими секретами, позволяет стать менее уязвимым. Страх, что хакеры сломают компьютер конкретного пользователя, можно преобразовать в понимание того, что хакеру на много интереснее данные с которыми работает сотрудник или к которой он имеет доступ, а не его сломанная техника. И главное – сменить убеждение, что вопросы ИБ отнимают много времени в рабочем процессе, на то, что безопасность – это нормальная и естественная часть рабочего процесса. Вы же используете тормоза, когда едете куда-то? И тот факт, что это чуть-чуть удлиняет поездку, вас не смущает? Так же и с кибербезопасностью: несложные правила и принципы просто нужно встроить в свою работу, думать об этом, - а дополнительного времени это почти не займет. И – точно убережет и вас самих, и всю компанию от больших и маленьких проблем, в том числе чреватых потерей того самого, якобы сэкономленного времени.
Обучение по программе повышения осведомленности в сфере ИБ не должно быть разовой акцией. Это циклический процесс, в ходе которого проводится обучение с обязательным закреплением пройденного материала, при поддержке непосредственных руководителей и изучением дополнительных материалов по теме. После чего (или прямо в процессе!) можно провести оценку культуры кибербезопасности в организации и проверить уровень знаний на практике, например, организовать симулированные фишинговые атаки на отдельно взятое подразделение или организацию в целом. По итогам тестовой проверки проводится оценка действий сотрудников и подразделений, делаются выводы, которые учитываются в следующем цикле обучения персонала и т.д. Возможные формы обучения я рассмотрел выше.
Что взять за основу обучающей платформы при внедрении программы осведомленности в сфере ИБ на предприятии – собственные наработанные практики или готовый коммерческий продукт, адаптированный под специфику организации при необходимости, - решать только менеджменту компании. АО «Лаборатория Касперского» создала свою обучающую платформу, распространяет ее на коммерческой основе, а также предоставляет консультативную поддержку по рекомендованным практикам и осуществляет техническую поддержку.