Журнал "Information Security/ Информационная безопасность" #2, 2018

Перед стартом проекта ни у нас, ни у заказчика нет розовых очков. Но все равно волнительно, ведь вот-вот станет ясно, как компания выглядит для зло- умышленников с точки зре- ния социального инжини- ринга. Да, люди разные. Одни вос- принимают ответственность как дополнительную возможность профессионального роста. Дру- гие же могут увидеть в этом угрозу для комфортного суще- ствования. Бывает так, что пре- пятствием к осуществлению той самой цифровой трансформа- ции становятся как раз ИБ-спе- циалисты. Им показалось важ- нее попытаться сохранить суще- ствующий порядок, чем брать на себя дополнительный риск. Впрочем, владелец бизнеса и инициатор перемен на своем предприятии был иного мне- ния. Он пригласил нашу компанию подготовить для его предприя- тия дорожную карту развития кибербезопасности в соответ- ствии с курсом на цифровую трансформацию. Помимо потребности понять, какие фрагменты корпоративного периметра ИТ-безопасности потребуется усилить, с нашей помощью он надеялся решить еще одну задачу, не менее важ- ную, но которую часто упускают из вида: создать и поддержи- вать культуру кибербезопасно- сти на своем предприятии. Забегая вперед, могу сказать, что вовлеченность самого глав- ного руководителя компании и поддержка данной инициативы во многом послужили одним из ключевых факторов успешного завершения проекта. Самое слабое звено Как превратить сотрудников, большая часть которых послед- ствия хакерских атак видела только в кино, если не в бди- тельных стражей ИТ-периметра, то по крайней мере в осознан- ных пользователей, которые не создают лишних проблем без- опасникам? Очевидно, только одним способом – развить в них эту осознанность. Кевин Митник, бывший хакер, а теперь один из самых известных в мире консультантов по кибер- безопасности, любит повторять, что самое слабое звено в любой киберзащите – человек. Эта мысль регулярно находит под- тверждение в отчетах ИБ-вен- доров и в кейсах ИТ-консуль- тантов. При этом опыт подска- зывает, что если тему кибербе- зопасности подать сотрудникам в захватывающем стиле, то она с интересом воспринимается и хорошо остается в головах. В этом отношении ориентиро- ваться можно на практику одно- го российского ИБ-вендора, у которого цифровая гигиена и кибербезопасность в целом – важная часть корпоративной культуры. Чем не пример для подражания? На следующий день собираем группу заинтересованных "топов", представляющих струк- турные подразделения, которые цифровая трансформация затронет в первую очередь. С их возражениями ("Зачем мне уча- ствовать в этом? Это отвлекает меня от основных задач!") помог поработать владелец бизнеса. Коротко рассказываем им о целях, желаемых результатах первых этапов. И показываем инструментарий для повышения осведомленности сотрудников – специализированное решение и методологию известного вен- дора. С их помощью иницииро- вать подобный проект можно как в стартапе на 10 человек, так и в крупной корпорации численностью в нескольких тысяч сотрудников. Без вендор- ского решения мы, конечно же, тоже бы обошлись, но есть ощу- щение, что проект растянулся бы минимум на несколько меся- цев, а анализ результатов потребовал бы существенных трудозатрат. Перед стартом проекта ни у нас, ни у заказчика нет розовых очков. Но все равно волнитель- но, ведь вот-вот станет ясно, как компания выглядит для зло- умышленников с точки зрения социального инжиниринга. Еди- ногласно решаем, что первую проверку нужно сделать без предупреждения. Так и изна- чальная статистика будет более объективной, и потом динамику улучшения будет приятнее смот- реть. Революция в сознании сотрудников Результат? Скажу так: он получился ожидаемым – 42% сотрудников прошли по ссыл- кам, ведущим на специально подготовленные "зараженные" сайты. Для качественно подго- товленного фишингового пись- ма это в пределах нормы для рынка. В некоторых случаях мы встречали ситуации и за 50%. Пришло время закатывать рукава и организовывать рево- люцию в сознании сотрудни- ков. 28 • УПРАВЛЕНИЕ Знание – сила. Как внедрить в организации культуру кибербезопасности ифровая трансформация окончательно перестала быть фразой из отчетов аналитических и консалтинговых компаний. “Переход в цифру” затронул в том числе представителей самых консервативных отраслей. Вне зависимости от отрасли цифровая трансформация сопровождается внедрением новых ИТ-решений и использованием новых моделей потребления ИТ-услуг. Облачные приложения и платформы, инфраструк- тура мобильных девайсов, Интернет вещей, необходимость автоматизировать взаимодействие с партнерами и контраген- тами и другие факторы размывают периметр кибербезопасно- сти. Это значит, что ответственным за ИБ в компании пред- стоит делать больше работы и нести больше ответственности. Ц Олег Шабуров, руководитель департамента кибербезопасности, Softline