Журнал "Information Security/ Информационная безопасность" #2, 2018

Что произошло, когда мы познакомили сотрудников с результатом аудита? Одних мотивировало понимание того, что их целенаправленно про- веряют, а также осознание того, что проверки продолжатся. Дру- гие искренне хотели разобрать- ся, какую угрозу каждый из них несет компании – ведь ничего необычного за последнее время они не делали. Были и те, кто почувствовал себя беспомощ- ной жертвой киношных хаке- ров, с той лишь разницей, что эта драма произошла не на экране, а в реальной жизни. В общем, равнодушных к итогам исследования в компании прак- тически не оказалось. На сле- дующий день мы с помощью HR-департамента заказчика провели опрос сотрудников и поняли, что абсолютное боль- шинство попавшихся на фишинге сотрудников приняли решение подтянуть свой уро- вень знаний в кибербезопасно- сти. Желающим тут же были отправлено расписание веби- наров и ссылки на методиче- ские материалы – в основном памятки, чек-листы и обучаю- щие видео. Очевидно, первый шаг в сторону сознательности команды в вопросах кибербе- зопасности можно признать успешным. Пришло время повторения эксперимента Чуть более 90% участников вебинаров и сотрудников, познакомившихся с методиче- скими материалами ликбеза, уже не допустили грубых оши- бок. Лишь каждый 40-й сотруд- ник снова попался на фишин- говые техники, используемые в первоначальной рассылке. Еще приятнее было видеть, что на новые техники уже попались чуть менее 10% сотрудников. В целом практика показывает, что через 3–5 волн проведения подобных рассылок количество людей, попадающихся на улов- ки злоумышленников, снижает- ся примерно до 2–5%. Дальше дело за малым: нужно мотивировать оставших- ся пройти обучение, и сделать это не для отчетности, а так, чтобы люди действительно взяли от вебинаров максимум. Подключаем тяжелую артиллерию Повторная коммуникация топ- менеджмента по "скептикам" с акцентом на важность осведом- ленности в вопросах ИБ и о том, что нужно начать с себя, – и абсолютное большинство сотрудников прослушали обучающий курс. Пришло время сделать паузу. Не мучать же сотрудников без остановки. А еще нужно понять, насколько хорошо усвоилась информация, как быстро она выветривается из головы, и оце- нить, насколько изменившиеся профили угроз обесценивают результаты "культурной рево- люции" в течение короткого вре- мени. По прошествии месяца дела- ем еще одну проверку. Видимо, введенное правило о необхо- димости прохождения дополни- тельного тренинга со сдачей экзамена за допущенные ошиб- ки во внутренней безопасности дало знать о себе. В это время центральный офис заказчика гудел от негодования коллег – дескать, их заставляют прохо- дить "лишние" тренинги. Ну чтож, практически любое пре- образование сопряжено с выхо- дом из зоны комфорта. Пока прошло не так много времени, чтобы сказать, что наши усилия переросли в куль- туру, поэтому говорить, что стратегическая цель достигнута, я пока не стану. Но первые при- знаки улучшения уже заметны. Недавно я был на встрече с заказчиком, проходил через кофе-зону и уловил обрывок разговора, в котором сотруд- ники компании-клиента обсуж- дают, кто и как попался на фишинге и как после обучения оценивает с точки зрения воз- можной фишинговой атаки каж- дое входящее электронное письмо. Останавливаться точно рано, но уже можно с удоволь- ствием констатировать: в этой компании культуре кибербезо- пасности – быть. l • 29 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru В пику тренду обсуждения киберугроз, обусловленных уязвимостями в средствах защи- ты, операционных системах и другом программном обеспече- нии, предлагаю подумать над простой идеей: многие знают, что делать, еще больше специали- стов делает что-то, но все равно остается место ошибке. Из последних волнений – уязвимость в Cisco Smart Install, которая похо- жа на аналогичную WebVPN (от того же производителя) по объе- му уязвимых устройств. Все эти уязвимости, в свою очередь, по критичности аналогичны уязви- мости SMB, гремевшей в 2017 г., разница только в том, что поль- зовательский сегмент здесь выпадает из списка возможных атакуемых. Способов нейтрализации или снижения веро- ятности эксплуатации таких уязвимостей – больше одного, и все они будут эффективны только при слажен- ной и ответственной работе команды. Ведь мало дать распоряжение закрыть порт или обновить оборудование, нужно предусмотреть возможные последствия для основ- ных деловых процессов, упредить ошибки при выполнении настроек, составить план "Б". Ответственность за результат, понимание важности проблемы и готовность к действию – это проявление культуры информационной безопасности, а оперативность и проработка при принятии решений – результат верно выстроенных коммуникаций. Оба этих понятия (культуры информационной безопасности и коммуникаций между подразделениями) нельзя посчитать так, как средства защиты, установленные в компании, количество работ- ников подразделения или бюджет, но итоговый эффект зависит в значительной степени и от них. Представьте, что при реализации атаки на периметр разными админи- страторами систем принимаются несогласованные реше- ния по блокировке скомпрометированных IP-адресов и в итоге пропадает критичный сервис, а на выяснение причин и восстановление работоспособности уходит большое количество времени. Или пользователь, не раздумывая, передает данные о почтовых адресах и телефонах потенциальному злоумышленнику, расширяя таким образом возможную область поражения. На сколь- ко процентов снизится вероятность обхода защитных механизмов, если мы будем общаться и слышать друг друга? l Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС” Колонка редактора

RkJQdWJsaXNoZXIy Mzk4NzYw