Как бороться со средствами социальной инженерии?
Об обучении пользователей и контроле над ними представители мероприятия Код ИБ побеседовали с экспертом компании «Лаборатория Касперского» Ренатом Шафиковым.
Существуют ли, на ваш взгляд, методы проверки у пользователей знаний по ИБ, не вызывающие у них негатива?
При правильной мотивации сотрудников, а также грамотной реакции со стороны компании на результаты проверки (например – вместо репрессивных мер – поощрение лучших сотрудников и курсы для тех, кто показал слабое знание ИБ) – негативной реакции на проверку быть не должно, в какой бы форме она ни проводилась. Мы в «Лаборатории Касперского» сейчас разрабатываем игровые формы проверки знаний (онлайн-чемпионат) – хотя это в большей степени мотивирующее мероприятие и повод задуматься для сотрудников, чем серьезное тестирование. Что касается серьезных проверок, то это, несомненно, тестирование и симулированный фишинг.
С помощью тестов можно сделать проверку, охватывающую большое количество областей кибербезопасности. Если вопросы тестов составлены таким образом, что в предложенных ситуациях сотрудник будет узнавать себя или рабочие моменты, с которыми ему приходится сталкиваться, вопросы будут нескучными, а ответы на них не займут у работников очень много времени, то вряд ли такая проверка вызовет негатив.
Тесты перед обучением (пре-тесты) позволяют решить сразу две задачи: проверить стартовые знания и сформировать индивидуальный путь обучения, позволяя сотрудникам исключить из обучения те области, которые они уже знают. Если объяснить это сотрудникам, то реакция на тесты также становится более положительной.
Симулированные фишинговые атаки показывают насколько хорошо сотрудники подготовлены к такого типа угрозам. Негатива сотрудников вообще не вызовут, т.к. при правильной реакции, а именно удалении фишингового письма, скорее всего, просто останутся незамеченными. Если же сотрудник откроет письмо и перейдет по ссылке, то получит обратную связь о том, на что в следующий раз ему стоит обратить внимание, чтобы не «попасться на удочку».
Однако нужно понимать, что симулированный фишинг позволяет покрыть лишь часть атак - 12% (по разнообразию) и ~30% (по частотности).
Должен ли быть унифицирован подход к обучению основам ИБ разных категорий сотрудников?
Лучше, если для разных категорий сотрудников будут использоваться разные подходы. Например, очень важно, чтобы комплексный подход к решению проблемы кибербезопасности включал в себя вовлечение и активную поддержку со стороны руководства компании.
А для этого руководителя лучше не просто подключить к обучению основам кибербезопасности, а сначала показать ему, как нерешенные проблемы, в том числе экономия на различных аспектах кибербезопасности может сказаться на бизнесе. Прекрасно с этой задачей справляется, например, Kaspersky Interactive Protection Simulation – командная игра, бизнесс-симуляция, которая показывает, как возможные кибератаки и связанные с ними решения руководства влияют на деятельность предприятия.
Как часто нужно проводить обучение/тестирование на знание сотрудниками основ ИБ?
Думаю, раз в год будет вполне достаточно. Обучение ИБ связано с изменением поведения, поэтому это, скорее, непрерывный процесс, который, тем не менее, не должен занимать много времени сотрудников. Поэтому его стоит разбить на небольшие модули, которые сотрудники будут проходить постепенно, идя от более простых правил к более сложным и от более вероятных атак – к более редким. Оптимальным здесь является запуск обучения через яркое мотивирующее мероприятие (KIPS/ CSMG), а затем плавное погружение сотрудников через платформу онлайн обучения.
Какие инциденты в сфере ИБ чаще всего бывают вызваны человеческим фактором?
80% всех атак связаны с человеческим фактором. Чаще всего (~30% частотности) - фишинговые атаки. Атаки с использованием вирусов-шифровальщиков, утечки данных с помощью того же фишинга, методов социальной инженерии или просто из-за невнимательности или неосторожности пользователей (отправка конфиденциальной информации с личной почты, потеря девайсов и т.п.)
Интервью Кода ИБ