Повышение осведомленности в информационной безопасности

Эта краткая статья даст вам практически всё, что нужно знать об обучении сотрудников в области ИБ и имеет практический характер. Она не поможет в обучении персонала «для галочки».

Способов повысить осведомленность не так уж много, точнее он один и состоит из 2-х компонентов.

В комплекс мер по обучению правилам информационной безопасности на рабочем месте включается:

  • Периодическая проверка на осведомленность работников.
  • Обучающие курсы (желательно онлайн материалы).
Оффлайн или онлайн обучение не будет работать, без регулярной проверки навыков.

Что касается проверки на киберграмотность, то можно использовать самописные решения или бесплатный софт, например, Gophish.

Можно воспользоваться услугами компаний по повышению осведомленности персонала на аутсорсинге.

Например, в компании StopPhish, логика проверки сотрудников такая:

В течение года еженедельно проводится 50 разных учебных атак с использованием социальной инженерии, включая фишинг.

Провалившим проверку назначается онлайн мини-курс по теме, которую он плохо усвоил.

После изучения материалов проводится мини-экзамен и в будущем проводится похожая атака.

Вы можете организовать у себя похожую схему.

Проверять знания сотрудников и отправлять им «ловушки» можно не только по email – это могут быть и соц. сети, мессенджеры, онлайн-консультант на сайте. Всё зависит от средств коммуникации и как ваши сотрудники общаются с внешним миром.

Использовать бесплатные продукты или платные определяет лишь одно, чего у вас больше: времени или денег.
Как написать письмо, для проверки реакции сотрудника на мошенничество или фишинг:
Главное правило — ввести в заблуждение, т.е. не нужно думать о психологии, положении луны и другой черной магии.

Раз вы работаете в организации, сотрудников которой нужно проверять на осведомленность, то вы уже знаете 2 важных вещи при составлении письма:

  • С чем связана деятельность сотрудника.
  • С кем он общается.
Пример таблицы сотрудников и их коммуникаций внутри организации и с внешним миром:
Возьмем для примера продавца. В таблице звездочками помечено, с кем он может общаться.
Ему может написать руководитель и запросить данные о клиенте.
Может написать клиент и запросить расчёт стоимости продукции.
Этих данных достаточно, чтобы сочинить такое письмо:

День добрый.
Анатолий Борисович сказал, что вы его лучший продавец и сегодня всё просчитаете.
Загрузил на диск ТЗ … (тут прямая ссылка на ссылку-трекер).
Жду смету.

Михайлов С.Е.
Генеральный директор
ООО «ГазСтрой»
Базовая программа повышения осведомленности сотрудников
Какие вопросы должны раскрываться в вашей основной части обучения (не ограничиваясь этими темами):

— В офисе или возле него найдено устройство с USB, что делать.
— Как распознать вредоносную ссылку.
— Как распознать вредоносное вложение в письме (без архивные и архивные вложения, .html вложение).
— Как хакер может испортить жизнь лично вам.
— Как хакеры входят в доверие (многоходовые атаки, векторы атак с использованием СИ).
— Противодействие сценариям «Find trap».
— Как проверить файл в 50 антивирусах.
— Как безопасно открыть и проверить ссылку.
— Проверяем отправителя (включая вариант, когда легитимного отправителя взломали).
— Определяем хакерское письмо по тексту.
— 4 вредоносных сценария, которые используют хакеры в письме (файлы, ссылки, фишинг, выманивание информации).
Курсы по повышению уровня осведомленности в зависимости от ваших регламентов:
— Какие данные нельзя отправлять по email.

— Опасные действия, выполнение которых может требовать злоумышленник.

— Действия при обнаружении взлома email.

— Что делать, если вы сомневаетесь, кто вам пишет.

— Какие сообщения стоит игнорировать, а о каких сообщать в СБ?

В зависимости от браузера:

— Установка дополнений в браузере.

— Сохранение пароля в браузере.

В зависимости от парольной политики:

— Создание надежного и простого для запоминания пароля.

— Безопасное хранение пароля.

— Кому можно сообщать свои пароли.

— Использование одинаковых паролей на разных ресурсах.

В зависимости от взаимодействия подразделений:

— Что делать, если из одного отдела пришло подозрительное письмо в другой отдел.
КЛАССИЧЕСКОЕ ОБУЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НЕ РАБОТАЕТ
Если только обучать сотрудников, но регулярно не проверять их осведомленность, то информация со временем забывается. Особенно это касается скучных и крайне объемных бумажных регламентов, которые даже прочитать сложно, не говоря уже о понимании.

Еженедельно отправляя «ловушки» и обучая тех, кто «попался», вы привьете им навыки в области информационной безопасности.
КЕЙС, КОГДА МЫ ПРОВЕРЯЛИ ОСВЕДОМЛЕННОСТЬ ПОЛЬЗОВАТЕЛЕЙ В ОДНОЙ ФИНАНСОВОЙ ОРГАНИЗАЦИИ.
Было 2 тестируемые группы: 50 сотрудников, прошедших онлайн-обучение в одном из ТОП-овых обучающих центров и 50 не обученных.

Технические особенности: терминальный интернет, т.е. сотрудники, получая ссылку в письме, должны были вставить ее в терминал, чтобы перейти на сайт.

Сценарий атаки:

— призыв перейти по ссылке в письме;

— на подделанном под официальный сайте предлагалось скачать файл

Результат:

«Не обученные» — 34 перехода и 30 скачиваний

«Обученные» — 30 переходов и 25 скачиваний
Повторимся, обучение + регулярная проверка знаний = эффективное повышение осведомленности.

Пишите вопросы, если таковые остались.