З’ясовуємо, навіщо вашому штату навчання кібербезпеки і як його влаштувати без виробничих простоїв.

Чи можете ви уявити собі, якими будуть наслідки, якщо трапитися витік особистої і банківської інформації кожного із співробітників вашої компанії?

Напевно, найгучнішою фішинговою атакою став випадок, коли в 2013 році було викрадено 110 мільйонів записів кредитних карт і облікових даних клієнтів торгової мережі Target.  Виною всьому виявилася скомпрометований обліковий запис одного субпідрядника.

Ще одним прикладом кіберзлочинів є російський сайт tender-rosneft.ru, створений в березні 2017 року. Скопіювавши дизайн і наповнення офіційного ресурсу, tender.rosneft.ru, там виклали інформацію про тендери.  Таким чином, всі необережні бажаючі взяти участь в конкурсі, опинились на фейковому сайті, бачили контакти для зв’язку і реквізити оплати зловмисників. Це вже більш витончені схеми – потенційний клієнт, відвідавши шахрайський сайт, зв’язується з фіктивним відділом продажів, і шахраї виставляють покупцеві контракт з передоплатою.  Зрозуміло, що ніякого товару клієнти не отримують.

Часто з фіктивної електронної адреси, що копіює справжні організації, відправляються комерційні пропозиції.  Реєструючи фейкове доменне ім’я, схоже на ім’я компанії, злочинці отримують в своє розпорядження і поштовий ящик з таким же доменним ім’ям, з якого і розсилається шахрайська пошта.

Ваша компанія, та й практично кожна компанія в світі, може бути вразлива до шкідливих програм, вимагання, спаму, хакерських атак і соціальної інженерії, які можуть спричинити або неприємності, або повну втрату репутації і розорення.

Навіщо навчати співробітників кібербезпеки?

Навчати співробітників кібербезпеки необхідно тому, що співробітники не знають, як розпізнати загрозу безпеки, то як можна очікувати, що вони зможуть її уникнути, повідомити про неї або ліквідувати?

 Ще можна поглянути на переконують статистику.

Наприклад, дослідження стану інформаційної безпеки 2019 року показало, що безпека електронної пошти і навчання співробітників були названі головними проблемами, з якими стикаються професіонали в області інформаційної безпеки.  Це підтверджується тим, що більше 30% співробітників, опитаних Wombat Security Technologies, навіть не знали, що таке фішинг або шкідливі програми.  У США компрометація корпоративної пошти (Business Email Compromise (BEC)) призводить до щорічних збитків у розмірі понад 3 мільярдів доларів.

При цьому, у постраждалих компаній майже завжди є і брандмауери і захисне ПЗ.  Тільки цього недостатньо.

 Працівники, а не технології, є найбільш вразливою ланкою перед атаками. І це зовсім не означає, що співробітники, що попалися в пастку – безвідповідальні.  Вони роблять звичайні людські помилки – довіряють фальшивим особистостям, спокушаються наживкою, уразливі до інших тактик, використовуваних злочинцями для отримання доступу до інформації компанії.  Але це трапляється, якщо вони не підготовлені до подібного, не брали участі в тренінгах та навчальних програмах з кібербезпеки.

Щоб захистити себе і компанію від кібератак, співробітникам необхідно пройти навчання.  Ознайомивши їх із загрозами безпеки, порядком дій при виявленні загрози, ви зміцнюєте найбільш вразливі ланки ланцюжка свого бізнесу.

Чому обізнаність про кібербезпеку так важлива?

90-95% порушень кібербезпеки викликані людськими помилками.  Крім того, тільки 38% міжнародних організацій заявляють, що вони готові впоратися зі складними кібератаками.  А ще 54% компаній заявляють, що за останні 12 місяців пережили одну або кілька атак, і це число зростає з кожним місяцем.

Сьогодні улюбленою тактикою кіберзлочинців є соціальна інженерія – психологічне маніпулювання жертвами з метою переконати добровільно чи несвідомо здавати приватні дані.  Іншиою, вже озвученою раніше, технікою є фішинг – 95% кібератак є результатом фішингових шахрайств, тому навчання основам фішингу є необхідним.

Поряд з цими двома видами віртуального шахрайства, шкідливе ПЗ також являє собою постійну загрозу – це стосується завантаження програм або програми, призначених для злому пристроїв або надання доступу до мережі хакерам.

Зміна моделей роботи та масштабному втручанні інтернету в наше життя обумовлює необхідність навчання навичкам кібербезпеки співробітників.

Віддалена робота

У 2020 році через введення карантину для уникнення пандемії COVID-19 віддалена робота стала новою реальністю для багатьох.  Робота на дому поширилася до такої міри, що організації вибудовують окремі політики щодо дистанційних співробітників.  Дистанційна робота з використанням хмарних технологій підвищила рівень комфорту, але в той же час збільшила ризик вторгнень в організації.

Співробітники несуть відповідальність за використання будь-яких персональних кінцевих пристроїв і повинні обмежувати використання службового обладнання корпоративними цілями.  Проходження навчання з питань кібербезпеки навчає віддалених співробітників роботі з пристроями, коли вони знаходяться за межами інфраструктури підприємства.

Інтернет речей (IoT)

Співробітники підключають персональні пристрої до мереж компанії або навіть використовують їх для офіційної роботи.  З’єднання персональних пристроїв з іншими машинами і мережами посилює вразливість.  Найбільша DDoS атака в історії, була запущена на провайдера послуг з використанням IoT бот-мережі, MIRAI.

Мобільні пристрої являють собою основну загрозу для внутрішньої IT-безпеки організації, оскільки багато хто з них не мають відповідного захисту. З IoT-атаками можна впораєтись, керуючи і, можливо, зводячи до мінімуму, практику «принесених із собою пристроїв» (BYOD) на робоче місце, і забезпечуючи суворе дотримання політик безпеки серед співробітників.

Посилення державних регуляцій

Навчання і тренування з кібербезпеки більше не є особистим вибором.  У багатьох державних нормативних актах, що підкреслюють політику безпечного використання комп’ютерів і мереж, програма підвищення обізнаності співробітників прийняла вирішальне значення.  Державні установи та законодавці підкреслюють важливість захисту підприємствами своїх ІТ-активів і цифрової інформації.

Хто з працівників повинен підвищити кваліфікацію з кібербезпеки?

Ваші співробітники – це перша і основна лінія захисту від інтернет-злочинів.  Будь-який співробітник, який має доступ до робочого комп’ютера або мобільного пристрою, повинен пройти тренінги з питань кібербезпеки.  Адже практично кожен може стати мішенню – на персональних телефонах можуть зберігатися дані, які можна використовувати для доступу до корпоративних мереж;  або, якщо співробітник стає жертвою крадіжки особистих даних, ця унікальна інформація може бути використана для створення помилкових профілів, які посилаються на ваш бренд, дозволяючи здійснювати шахрайства.

Різні форми загроз кібербезпеки

Щоб співробітники могли виявляти та запобігати порушенням, їм необхідно базове знання про різні форми прояву загроз.  Здебільшого це включає в себе спам, фішинг, шкідливі програми і програми вимагачі, соціальну інженерію.

Матеріали по виявленню спаму повинні пояснити, що спам зустрічається не тільки в електронній пошті, але і в повідомленнях і запрошеннях в соціальних мережах.  Наприклад, «запрошення до підключення» в LinkedIn може містити вірус.

Розповіді про фішинг повинні супроводжуватися прикладами реальних фішингових шахрайств, допомагаючи співробітникам зрозуміти, як виглядає фальсифіковане електронне повідомлення, від кого воно може прийти і яку інформацію може запросити.

Навчання повинно включати поради, що виключають завантаження шкідливого ПО або програм-вимагачів.

І, звичайно, обов’язковою темою повинна бути соціальна інженерія.  Соціальні інженери маскуються під підроблені, але довірені особи в мережі і виманюють потрібну їм інформацію.

Важливість паролів

Сьогодні паролі потрібні скрізь – для розблокування своїх пристроїв, для входу в облікові записи і для кожної програми, пов’язаної з роботою. Як засіб безпеки, ця тактика призвела до того, що багато людей встановлюють загальні, повторювані паролі, які легко запам’ятати, і, відповідно, легко відгадати.  Навчання онлайн-кібербезпеки має допомогти зрозуміти, наскільки важливі паролі, розповісти про надійні програми, які можуть генерувати і зберігати паролі.

Політика щодо електронної пошти, Інтернету і соціальних мереж

Звички поведінки співробітників з електронною поштою і соцмережами можуть поставити компанію під удар шкідливих програм, що атакують корпоративні програми та соціальні рахунки, що крадуть інформацію і гроші.  Тому дуже важливо, щоб тренінги включали в себе політику та рекомендації щодо використання електронної пошти, Інтернету і соціальних мереж.

Захист даних компанії

У кожної компанії власна політика захисту даних, але не варто припускати, що всі ваші співробітники знають про цю політику, або що вони її розуміють. Тренінги з інформаційної безпеки для нових співробітників повинні пояснювати нормативні та правові зобов’язання захисту даних.  Не варто забувати і про регулярні курси підвищення кваліфікації, щоб всі співробітники пам’ятали правила і знали, коли вони змінюються.

Як виявляти і повідомляти про загрози кібербезпеки

Співробітники – ваші очі і вуха.  Кожен пристрій, який вони використовують, електронна пошта, яку вони отримують і відкривають, може містити підказки проте, де ховається вірус, фішингове шахрайство або злом пароля.  Але щоб по-справжньому їх мобілізувати проти атак, тренінги повинні допомогти співробітникам дізнатися про незрозумілі, на перший погляд, помилки, спам і антивірусні попередження.  І обов’язково навчіть їх тому, кому і як слід повідомляти про підозрілі дії.

Спосіб навчання

Краще не погоджуватися на будь-які готові навчальні модулі або базові веб-курси.  Більш розумно вкладати кошти в професійних експертів з кібербезпеки, які будуть працювати безпосередньо з вашою організацією.  Таке спеціалізоване навчання дозволяє розробити повноцінну віртуальну стратегію захисту, що враховує вашу унікальну корпоративну структуру, ступінь конфіденційності даних і потреби співробітників.

Метою такого навчання завжди є зміна звичок і поведінки щодо безпеки, створення почуття загальної відповідальності.  Неважко зрозуміти, що одноразового інформування з вищеперелічених тем недостатньо для досягнення цієї мети.  Тренінги з кібербезпеки варто проводити часто, надаючи можливості практикувати безпечну онлайн-поведінку в проміжках між заняттями.

Підвищення обізнаності про онлайн-загрози безпеки має починатися з першого дня роботи нових співробітників.  Допомагає включення політики і правил захисту даних, правил користування Інтернетом і керівництво для співробітників.

Будучи першою лінією атаки і одночасно першою лінією оборони, співробітники потребують підтримки.  Не втомлюйтеся нагадувати про це – змусьте їх відчути себе супергероями.  В ході тренувань включайте елементи Гейміфікації, надихаючи і оцінюючи колег за їх досягнення в навчанні.

А коли якась із загроз буде виявлена ​​до нанесення шкоди, повідомте про це всіх в компанії, показуючи, наскільки їх навчання допомогло підприємству.