Журнал "Information Security/ Информационная безопасность" #3, 2025

Высокотехнологичные системы защи- ты, надежные сетевые периметры и передовые средства обнаружения атак составляют лишь часть от общей оборо- нительной стратегии организации. Ключевым и зачастую наиболее уязви- мым звеном в этой цепи остается чело- век – сотрудник. Именно человеческий фактор, будь то неосторожность, незна- ние или ошибка, служит причиной боль- шинства успешных компьютерных атак, включая те, что используют методы социальной инженерии и возможности искусственного интеллекта. Актуальная статистика подтверждает эти тезисы. Так, по данным отчета Positive Technologies "Актуальные кибе- ругрозы: III квартал 2024 г." 1 , социальная инженерия по-прежнему является наи- более популярным методом для атак на организации (50%) и частных лиц (92%). Кроме того, в исследовании компании "Астерит" 2 за февраль–ноябрь 2024 г. указывается, что инсайдерские действия (41%) входят в четверку самых опасных способов кибератак, а фишинг (42%) и ошибки персонала (22%) являются наиболее распространенными киберу- грозами, с которыми сталкивались рес- понденты. Более того, 78% опрошенных сталкивались с инцидентами, связанны- ми с ошибками персонала. Эти цифры убедительно демонстрируют, что, несмотря на инвестиции в технические средства защиты, без повышения осве- домленности персонала организации остаются крайне уязвимыми. Таким образом, повышение осведом- ленности в ИБ в настоящее время трансформировалось из второстепен- ной задачи в одну из основных. Я уже рассматривал подходы к решению этой задачи в одной из предыдущих статей (см. журнал "Information Security/ Инфор- мационная безопасность" № 1, 2023. С.32–33), где охарактеризовал меро- приятия по повышению осведомленно- сти, которые применяю в своей практи- ке. Схематично перечень мероприятий можно представить в виде майндкарты на рис. 1. Разработка системы мероприятий по повышению осведомленности в ИБ – это не набор случайных тренингов, а про- цесс, требующий системного подхода. Любая эффективная программа начи- нается с детального понимания текущего состояния и потребностей. Иными сло- вами, необходимо провести своего рода внутренний аудит (он не должен быть формальным, как привычные для пони- мания аудиты). В рамках аудита оцени- ваются: 1. Существующие политики и про- цедуры ИБ: внутренние документы, регламентирующие работу с инфор- мацией, доступом, инцидентами и т.д. Насколько они актуальны, понятны и применимы? 2. Пробелы в знаниях и поведении работников (пользователей). Изучение отчетов об инцидентах ИБ, связанных с человеческим фактором: какие ошибки сотрудники совершают чаще всего; какие подразделения наиболее уязвимы. Анализ результатов предыдущих симу- ляций, например антифишинговых тре- нировок. 3. Определение специфических рис- ков. Каждая организация уникальна. Для финансовой компании это могут быть угрозы мошенничества, для про- изводственной – нарушение работы автоматизированных систем управления, для медицинской – утечки персональных данных и т.п. Мероприятия должны быть адаптированы под специфические угро- зы и контекст деятельности организа- ции. 4. Определение целевых групп. Не все сотрудники нуждаются в одном и том же обучении. Программа должна быть дифференцирована по группам. Для менеджмента – осведомленность о стра- тегических рисках, комплаенсе, реаги- ровании на кризисные ситуации. Для рядовых сотрудников: основы киберги- 68 • УПРАВЛЕНИЕ Разработка мероприятий по повышению осведомленности сотрудников в ИБ отрудник, не распознавший фишинговое письмо, может нанести организации больший ущерб, чем самый изощренный хакер. Но повышать осведомленность персонала в вопросах ИБ уже недостаточно – ее нужно встроить в культуру компа- нии. Это не формальная рассылка памяток, а системная рабо- та с конкретными рисками, сценариями и поведенческими паттернами. С Константин Саматов, член Правления Ассоциации руководителей служб информа- ционной безопасности Рис. 1. Система мероприятий по повышению осведомленности сотрудни- ков в вопросах ИБ Фото: Антон Косицын 1 https://ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-iii-kvartal-2024-goda/ 2 https://ict.moscow/analytics/kiberugrozy-i-intsidenty-ib-v-organizatsiiakh-rf-v-2024-godu/