Сумрачная картинка: большое помещение, мало света. Стол и рядом стул, на котором сидит человек. Он работает за ноутбуком. Чувствую его усталость: он сегодня уже долго работает. Его что-то отвлекает: письмо. Электронное письмо. Он нажимает на ссылку, но ничего не появляется на экране. Всё в порядке. Но на сетевом уровне уже поселилось зло: ЧЕРВЬ!!! Спустя неделю червь выкачает данные, из-за чего компания потеряет десятки-сотни миллионов рублей.
У меня случилось очередное видение — это мой дар и моё проклятие. Я вижу то, что скоро должно произойти. У меня есть немного времени, чтобы предотвратить преступление — инцидент информационной безопасности.
Эта статья будет полезна и крута всем: узнаете, как помочь своим коллегам узнать больше об информационной безопасности в незанудной форме! На одном из мест работы я смог за пару лет повысить общий уровень знаний сотрудников в 5 раз! Меня зовут Маг Владони Миша, и теперь я занимаюсь Security Awareness в Ozon. Инциденты информационной безопасности, возникающие из-за человеческой ошибки, — самые распространённые (по данным РТ). Для минимизации количества таких инцидентов необходимо повышать осведомлённость в вопросах ИБ, т.е. заниматься Security Awareness.
Если кратко:
-
высока вероятность, что скоро сотрудник совершит ошибку, которая приведёт к инциденту ИБ;
-
необходимо предотвратить потенциальный инцидент ИБ и ущерб от него.
Помня о первом (предчувствую инцидент), я занимаюсь вторым («снимаю порчу» с компании).
Так как я не «вижу» деталей будущего инцидента, то приходится действовать комплексно во всех направлениях или, проще говоря, выстраивать процесс предотвращения ожидаемых человеческих ошибок.
Я расскажу о своём видении, как выстроить процесс Security Awareness в компании... и о забавных методах.
Почему я уверен, что мои примеры не будут на 100% совпадать с теми, о которых знает «всякий магл»? За последние лет 5 общения с вендорами и с потенциальными работодателями я практически каждый раз слышал что-то наподобие: «Ого!», «Ничего себе!». Плюс наблюдал, как рассказанный мною кейс быстро записывался собеседником в заметки. Но обо всём по порядку.
Для чего нужно повышать осведомлённость?
Информационная безопасность оперирует таким важным термином, как «Риск». Рискориентированный подход позволяет посчитать важность риска, исходя из возможного размера ущерба (в денежном выражении) и частоты однотипных инцидентов. Для минимизации таких убытков закупают или самостоятельно разрабатывают средства защиты информации, настраивают их и живут с ними. Всё вроде хорошо. Но тут как в старом автомобильном анекдоте про прокладку между рулём и сиденьем. ЧЕЛОВЕК (ну или магл, кому как привычнее)! На него не установить средство защиты. Кроме случаев, когда у вас в штате работает Робокоп (хотя и у него есть своя аура). Надо и с людьми что-то делать, чтобы снизить риск человеческой ошибки, которая может привести к убыткам компании.
Ну какой там может быть ущерб из-за одного человека?
Если внимательно изучить последние выпуски Битвы экстрасенсов новости об успешно реализованных атаках на компании, то можно сделать простой вывод: если бы на одном из многочисленных этапов атаки на компанию не было ошибки сотрудника, то компания не потеряла бы деньги. Лично принимал участие в разборе подобных кейсов, когда размер ущерба в рублях исчислялся восьмизначным числом. Не за год, а за один раз!
Так достань магический шар и наколдуй всё!
Начнём с того, что в зрелых компаниях для работы над такими проблемами есть небольшие отделы или просто один выделенный человек. Но самая распространённая практика: один из сотрудников команды ИБ (или даже ИТ или юридического отдела) занимается этим самым повышением осведомлённости помимо своих обычных рабочих дел. Шар слушается только их!
Варим зелье Security Awareness
Так что же надо делать? Давайте по порядку, но предупреждаю, что рецепт не из «Расширенного курса зельеварения», написанного Либациусом Бораго.
Шаг № 0. Сходите к Дамблдору к гендиректору или к тому, кто главный в компании: заручитесь поддержкой руководства. Для этого денег просить пока не надо, просто расскажите о рисках, возможных финансовых убытках и анекдот про автомобиль (см. выше). Можно взять кейсы из свежей прессы: хорошо подойдут такие новости о конкурентах.
Шаг № 1. Т.к. в «видении» было мало деталей, то надо понять, какая конкретно задача стоит перед вами. Если у вас есть внутренние метрики по инцидентам или модели угроз, загляните в них. Определите, какие значения высокие и вы хотите их уменьшить или какие риски для вас критичны. Каких значений вы хотите достигнуть, но без фанатизма: к нулю не получится прийти. Как показал финал «Сумеречного дозора», при «абсолютном нуле» даже магия ничем не поможет...
На этом шаге посмотрите, какие были ещё нарушения или какой инцидент возможен. Почему случились инциденты? Какие правила были нарушены? Чего именно не знал сотрудник/клиент/контрагент?
Шаг № 2. Надо понять вашу целевую аудиторию (ЦА) — кого вы собираетесь очаровывать. Помимо определения общей категории ЦА, нужно узнать её специфику. Например, одна ЦА в моём кейсе не пользовалась ни ПК, ни смартфонами, чем сильно отличалась от общей массы сотрудников компании (об этом будет ниже).
Шаг № 3. Узнайте о существующих в вашей компании инструментах:
-
как осуществляются внутренние коммуникации (эл. почта, корпоративные мессенджеры, портал и пр.);
-
как проходит штатно процесс обучения (через учебный портал, КЭДО или, прости Мерлин, через подпись в листе ознакомления с корпоративной политикой);
-
сходите к коллегам, кто «держит» эти инструменты, расскажите о своей задаче и о её значимости для компании.
Шаг № 4. Начните обучать. Конечно, для этого вам нужны материалы. Берите правила, выбранные на шаге № 1, аккуратненько «запихайте» в уже существующие инструменты и красиво «заверните». Звучит просто и поверхностно. Да, тут-то и есть ваша задача — интуитивно или путём проб и ошибок понять:
-
что лучше;
-
что согласует руководство и «владельцы инструментов».
Пробуйте, не бойтесь ошибиться. Вы столкнётесь с таким процессом, как разработка дистанционного курса — благо вам должны подсказать, как это сделать, ваши HR/команда обучения (шаг № 3). Вы начнёте колдовать новости/посты/коммуникации, возможно, даже рисовать иллюстрации для них. Но это для существующих инструментов.
Хочу сварить зелье с новыми ингредиентами
Вот тут кроется самое приятное. Нет никаких ограничений в вашем инструментарии. Что придумаете, то и делаете. Абсолютный полёт фантазии! Но что делать, когда не знаешь, что делать? Ничего не придумывается…
Поспрашивайте коллег из других «школ волшебства». Вы не единственный в мире, кто этим занимается. С каждым годом больше и больше компаний «дозревают» до Security Awareness. Так года 4 назад в разговоре с коллегой я узнал об её идее китайских печенек с предсказаниями. При чём тут информационная безопасность? Печеньки — это только яркий способ донесения информации. Донесите внутри печенек правила цифровой гигиены. Эта идея понравилась, и мне удалось реализовать проект печенек с правилами ИБ.
Не стесняйтесь изобретать велосипед или его заимствовать вдохновляться.
Я до сих пор не использовал крайне важный термин – геймификация. Всё, что вы делаете, должно быть интересно целевой аудитории. Её нужно завлечь, развлечь и, как метазадача, заставить запомнить «что-то про ИБ». Да или просто помочь им узнать, что в компании есть ИБ. Вспомните конкурсы из детства, вообще любые конкурсы. Или вариант лучше: найдите знакомых в event-индустрии. Расспросите их про трендовые игры, что больше нравится людям. И пытайтесь понять, как вы можешь упаковать в них правила ИБ.
Мы надолго задержались на шаге 4, но он в целом важен для всего процесса повышения осведомлённости. Продолжаем варить зелье.
Шаг № 5. Обучил — проверь знания. «Достаем двойные листочки» — такое здесь не подойдет. Забудьте про вопросы с вариантами ответов. Надо всё проверять на практике. Для этого есть соцпентесты. Пентесты — тесты на проникновение. Соц – от «социальная инженерия». Всю статью пытался избегать этого словосочетания, но не вышло.
Самый банальный и известный пример соцпентеста — это фишинг. Команда ИБ готовит «учебную» атаку, имитирующую действия реального нарушителя. Для этого определяется тип нарушителя: внешний («хакер» вне компании) или внутренний («действующий сотрудник» решил нанести вред компании). Выбирается сценарий — тут снова полёт фантазии: от писем о наследстве от африканского дяди до «Василий Петрович, жду заполненный отчёт через час».
Что нужно понимать: вы не стараетесь обмануть получателя! Оставляйте маркеры, по которым ученик должен понять, что письмо от «пожирателя смерти». Определите, какие действия будут считаться нарушением: перешёл по ссылке, ввёл свои креды, открыл вложения из письма и пр. Помните про ЦА, кому отправляете письма. Всем необязательно отправлять — берите выборку.
Как отправлять? Можно купить готовое решение – на рынке в РФ есть очень достойные представители, за которых ни капли не стыдно. Можно поднять опенсорс, например, Gophish. Ну или поднимать всё вручную. Или вообще закажите под ключ. Все варианты рабочие. Зависят от вашего запроса и бюджета.
Совершенствуйте сценарий: добавляйте вишинг, смишинг и пр. Миксуйте!
Отправил — снимай метрики.
Второй вариант популярных работ — «Дорожное яблоко». Это когда подбрасывают в офисы заготовленные флешки с «беззубым червем» и проверяют, сколько сотрудников их вставят в корпоративные устройства. Главное, чтобы этот «вирус» был не настоящим, а только содержал сигнатуры, позволяющие антивирусу идентифицировать его как вредоносное ПО, или средствами специализированной нагрузки отправлял информацию о том, кто, когда и где «надкусил яблоко». Снимайте метрики.
Проверочные работы могут быть разные и будут сильно зависеть от специфики того, чему вы хотели обучить.
Шаг № 6. Вы получили метрики, посмотрели на них, посмотрели на динамику их изменений. И что дальше? Сравнивайте полученные значения с теми, что вы указали на шаге № 1.
Похожи на желаемые — вы сделали всё правильно.
Непохожи – надо продолжать свою работу! Идите с самого начала по всем шагам: анализируйте, что не так, меняйте инструменты, механики, мотивацию, придумывайте новые. Сходите к руководству, покажите полученные значения, напомните, что каждый случай нарушений правил ИБ — это потенциальная финансовая потеря. Возможно, у вас появится новый бюджет. Возможно, вас спросят, как и когда это окупится. Приведите классический пример с сигнализацией: она окупается в первую ночь – ведь никто не знает, когда грабители решат брать Гринготтс.
А может, вы несколько лет подряд будете успешно справляться с задачей при бюджете в 0 рублей (значит вам очень повезло с целевой аудиторией).
А ещё хорошо показать полученные результаты самим испытуемым: для понимания важности вклада каждого сотрудника в безопасность компании.
Опять же, про вероятности. Если вы обучили одного сотрудника, это уже хорошо: возможно, он как раз тот единственный, кто завтра мог потерять «Кубок Огня».
Вот и пришло время методов, о которых я писал в самом начале (шаг № 4 зельеварения). Сложно уже вспомнить, как конкретный кейс повлиял на общую картину в компании. Суммарно они помогли снизить показатель допущенных сотрудниками ошибок с 55% до 9%.
Онлайн-квест-шифрование
Я взял корпоративные каналы связи. Подготовил вводную часть с описанием исторических методов шифрования, которые будут понятны подростку. И публиковал каждый день шифры. Участники сами подбирали метод дешифровки и собирали загаданную комбинацию. Победитель (первый разгадавший) в присутствии первых лиц компании ввёл разгаданную комбинацию в сейф, в котором хранился главный приз — очень недешёвый девайс.
Квиз
Формат вовсе не уникален. В нескольких компаниях наблюдал такую активность. Люди уже многие годы любят квизы. Корпоративные квизы проводятся ещё чаще. Скажите организаторам (кто проводит квизы для компаний), что нужно добавить тему «информационная безопасность». Пусть будут вопросы про ИТ, про компанию, про тренды, на общую тематику. Главное, чтобы была часть вопросов про ИБ. Дайте организаторам список правил, которые вы хотите донести – они знают, как это всё оформить красиво и интересно. Нет бюджета? Учитесь организовывать квизы и мероприятия.
Лотерея
Звучит проще простого и понятно. Участник подтверждает участие нажатием на кнопку и ждёт результатов «Лотереи». Но есть одно НО: ниже стоит галочка про согласие с правилами конкурса, а там… много чего — даже просят пироги принести команде ИБ. Конечно, эта история больше юмористическая (хайпа ради), но вот про правила ИБ, внимательность и чтение соглашений ещё долго будут обсуждать в компании. Главное — не забудьте указать, что эти «Правила» не имеют юридической силы.
Мафия
Однажды я нашёл, что в западном полушарии уже сделали карточную игру «Мафия». В ней мафию обозвали «Хакерами», не изменив правил. Всё довольно понятно. Я пошёл дальше. Сменил названия остальных ролей: Шериф – «Офицер безопасности», Доктор – «Антивирус». Естественно, я не стал печатать в типографии такую игру. Пандемия, удалёнка – всё в онлайне. Тут как раз пришли на помощь знакомые из event-индустрии, которые только-только перевели Мафию на рельсы онлайна.
Симулятор
Тут история не про конкурс. Инструментами дистанционного обучения сделали курс-симулятор. Вначале мы даём короткую теорию, как распознать фишинговое письмо, затем предлагаем выбрать примеры и определить, какие из писем настоящие, а какие фишинговые. Обучение через «руки» — самое эффективное (это показывают цифры). Знаю, что на рынке в РФ есть уже подобные готовые решения. Эту идею придумал до того, как узнал о них.
Иностранцы
Тут сразу две истории опять про обучение.
№ 1: ЦА — это сотрудники двух стран (не СНГ), не говорящие по-русски. Через переводчиков переделали основной курс по ИБ. Пришлось учесть специфику стран: имена, форматы номеров, популярность используемых мессенджеров и прочие не столь явные детали.
№ 2: ЦА — однородный пул персонала. Они тоже не говорят по-русски (более 10 различных языков) и не пользуются в работе ПК и смартфонами. Онлайн-курсы и корпоративные каналы коммуникаций им не подходят. Единый визуал «плакаты» с правилами ИБ в рабочем пространстве не подходит — слишком много разных языков. Выход нашли: создали комиксы с правилами ИБ. Ни одного слова, только картинки. Основными задачами были: выбрать сами правила ИБ, придумать сюжет комикса, нарисовать очень просто и понятно, чтобы однозначно воспринимался в разных культурах. Идея с комиксом не нова, но сама специфика задачи заставила перебирать все возможные решения.
Всегда представляйте флоу участника вашего конкурса. Много ли действий ему нужно сделать. Это я называю «механика». Чем больше действий, тем меньше участников. Почему? Потому что у него главный вопрос «А зачем мне надо тратить свои 15 минут?». Это его мотивация.
Мотивируйте! Мотивация бывает нематериальная (без прямых финансовых вложений) и материальная (тут даже без объяснений). Нематериальная может быть в виде 30 баллов факультету или тематической ачивки на корпоративном портале – всё то, что уже есть в компании и не нужно дополнительно закупать. С материальной всё гораздо интересней. Ограничений немного: фантазия и бюджет. Выбирайте будущие призы, заказывайте логотип для них и партию под выделенный бюджет. Размер партии зависит от количества победителей/участников в твоих конкурсах. Сразу на берегу определите правила: кто и за что получает призы. Первый, кто справился, или первая сотня. Или просто запустите функцию random. Как показывает жизнь, есть ещё одно правило: чем дороже приз, тем больше участников. Это не мои умозаключения, это наблюдения по обратной связи. Участник больше верит в свою победу единственного приза за 50 000 рублей, чем в выигрыш одного из ста сертификатов на 500 рублей. М — мотивация. Не забывайте про неё и проконсультируйтесь с вашими HR.
Жонглируя мячами «механика», «мотивация» и «бюджет» (а это та ещё магия), за прошлый год мне удалось привлечь более 15 000 участников в подобные активности.
Я не стал расписывать сверхстандартные методы о вводном курсе по ИБ для новичков и более частные про проверку самой команды ИБ: Штабные киберучения и RedTeam (это уже совсем другая история).
Помните, что Security Awareness — это непрерывный процесс. Нельзя почивать на лаврах. Как минимум из-за текучки кадров (вашей целевой аудитории). А ещё не забывайте, что нет волшебной палочки — есть только вы!
Автор: Михаил