Методология
alukatsky.JPGАлексей Лукацкий

Состав программы обучения по вопросам кибербезопасности

Кибербезопасность включает в себя множество аспектов, и для того чтобы обеспечить защиту организации от наступления недопустимых событий, каждый сотрудник должен знать определенные основы и уметь применять их на практике в своей повседневной деятельности.

Состав программы обучения или повышения осведомленности по вопросам кибербезопасности для рядовых сотрудников зависит от многих факторов, некоторые из которых приведены ниже.

Недопустимые события

Программа обучения должна учитывать недопустимые события, реализация которых может привести к ущербу для организации. Поэтому в программе обучения должны быть учтены технологии, воздействие на которые может быть использовано злоумышленниками для реализации недопустимых событий. Например, если организация считает для себя невозможным срыв контрактных обязательств из-за простоя производства в результате кибератаки, то программа обучения должна включать аспекты, связанные с защитой автоматизированной системы управления технологическим процессом (АСУ ТП), работой с подрядчиками, удаленным доступом к АСУ ТП и т. п.

Тип организации

Программа обучения должна соответствовать типу организации и ее бизнес-потребностям и использовать соответствующие примеры. Например, в медицинской организации необходимо иллюстрировать все положения обучения на примере защиты медицинских записей или медицинского оборудования, в то время как в финансовой организации более актуальной будет использование аналогий из мира финансов, страхования.

Специфика работы сотрудников

Программа обучения должна учитывать специфику работы каждой группы сотрудников и их доступа к информации и информационным системам. Например, для сотрудников, которые часто работают вне офиса и используют общественные беспроводные сети, необходимо провести обучение по безопасному использованию открытых сетей, а для работников, использующих удаленный или гибридный режим работы, необходимо изучение аспектов, связанных с обеспечением кибербезопасности на личных устройствах или устройствах, находящихся в помещениях с посторонними для организации людьми, например детьми.

Степень технической грамотности

Программа обучения должна учитывать уровень технической грамотности сотрудников. Для тех, кто не имеет опыта работы с компьютерами и интернетом, может потребоваться дополнительное обучение по основам использования современных компьютерных технологий.

Тенденции и угрозы

Программа обучения должна учитывать новые тенденции и угрозы в области кибербезопасности. Например, в последнее время киберпреступники регулярно совершают социотехнические атаки, в том числе направленные на распространение вирусов-шифровальщиков, поэтому необходимо уделять особое внимание обучению сотрудников по распознаванию и предотвращению таких атак.

Технологии

Программа обучения должна учитывать используемые в организации технологии. Например, если в организации принят курс на импортозамещение и переход с операционной системы семейства Windows на какую-либо из отечественных операционных систем на базе Linux, то курс обучения должен учитывать это в примерах. Если организация активно использует в своей работе интернет вещей, то это также должно найти свое отражение в программе повышения осведомленности сотрудников.

Законодательство

Программа обучения должна учитывать влияющие на организацию нормативные требования — федеральные законы и подзаконные нормативные акты. Как минимум, это должны быть правила обработки и защиты персональных данных. В зависимости от того, в какой сфере работает организация, может потребоваться изучение основ законодательства о безопасности критической информационной инфраструктуры, государственных информационных систем, национальной платежной системы и т. п.

Какие темы должна включать программа обучения сотрудников основам кибербезопасности

Учитывая вышеперечисленные факторы, необходимо разработать программу обучения, которая наиболее эффективно поможет сотрудникам освоить необходимые навыки и знания в области кибербезопасности, в числе которых, как минимум, могут быть приведенные ниже темы.

Надежные пароли

Сотрудники должны знать, что надежные пароли являются основой безопасности. Поэтому каждый должен быть ознакомлен с правилами выбора надежных паролей, правилами их использования для разных учетных записей, а также необходимостью повсеместно использовать механизмы многофакторной аутентификации, снижающие риски кражи или перехвата даже надежного пароля.

Фишинговые атаки

Сотрудники должны знать, что фишинг является распространенным видом атаки, при которой злоумышленник пытается обмануть человека, чтобы получить его пароль или другую конфиденциальную информацию. Работники должны быть внимательны к подозрительным электронным письмам или сообщениям, получаемым по всем используемым в организации каналам коммуникаций (мессенджеры, SMS, блоги, соцсети, звонки), и понимать основные уловки, используемые киберпреступниками для поимки пользователей в свои сети.

Обновления программного обеспечения

Сотрудники должны знать, что регулярное обновление ПО на компьютерах и других устройствах является необходимым для обеспечения безопасности. Обновления обычно исправляют уязвимости, которые могут быть использованы злоумышленниками. При этом обновлению подлежат не только операционные системы и приложения на пользовательских компьютерах, но и расширения и плагины.

Конфиденциальность информации

Сотрудники должны знать, что в организации существует конфиденциальная информация, которая требует защиты. В зависимости от типа организации это может быть коммерческая тайна, персональные данные, банковская тайна, тайна переписки или любая другая из более чем 60 видов тайн, присутствующих в российском законодательстве. В зависимости от вида защищаемой информации к ней могут предъявляться особые требования на уровне законодательства, о чем сотрудники должны быть осведомлены.

Использование общественных беспроводных сетей

Сотрудники должны знать, что использование публичных беспроводных сетей, например в расположенном рядом с работой кафе, может быть небезопасным. Они должны знать о том, что необходимо избегать передачи конфиденциальной информации через открытые беспроводные сети.

Подозрительное поведение

Сотрудники должны быть внимательны к подозрительному поведению вокруг их компьютеров и другой вычислительной техники. Например, если кто-то пытается получить доступ к компьютеру без разрешения, необходимо сообщить об этом в службу кибербезопасности. Подброшенная или присланная по обычной почте флешка, подглядывание в экран компьютера из-за плеча (в офисе или во время поездки в командировку) должны вызывать соответствующую реакции сотрудника.

Использование защищенных каналов

Сотрудники должны знать, что при нахождении за пределами офиса они должны использовать только защищенные каналы для передачи конфиденциальной информации. Например, для отправки конфиденциальной информации по электронной почте следует использовать защищенные протоколы (TLS в браузере или VPN), чтобы обеспечить защиту информации в процессе ее передачи.

Уведомление о нарушениях безопасности или подозрительных событиях

Сотрудники должны знать, куда обращаться, если они заметят какие-либо нарушения безопасности или сбои в системе. Быстрое обнаружение и реагирование на уязвимости или проблемы безопасности может помочь предотвратить ущерб для организации.

Использование мобильных устройств

Сотрудники должны знать, что использование мобильных устройств может представлять угрозу для безопасности организации, если не соблюдаются соответствующие меры. Поэтому, если мобильное устройство, в том числе и личное, используется для доступа к корпоративной инфраструктуре, на него могут быть установлены программы для защиты от угроз, а также ПО для удаленного управления, чтобы в случае утери или кражи устройства можно было удалить с него конфиденциальную информацию. Также стоит включить в программу повышения осведомленности разъяснения, которые снимут опасения сотрудников, что организация следит за ними с помощью таких программ.

Интернет-серфинг и социальные сети

Сотрудники должны знать основы безопасного интернет-серфинга, основные признаки мошеннических и фишинговых сайтов и сайтов-клонов, правила защищенного подключения к интернет-ресурсам, а также понимать правила безопасной работы с соцсетями, особенно если работа с последними входит в должностные обязанности сотрудников (что характерно, например, для подразделений маркетинга и HR). При этом программа обучения должна учитывать особенности работы с сайтами, у которых в рамках санкционной политики недружественных государств отозваны сертификаты, и такие сайты либо вообще не используют защищенного TLS-соединения, либо используют его на базе сертификатов, выданных Национальным удостоверяющим центром РФ (НУЦ), что рассматривается многими популярными браузерами (например, Google Chrome или Firefox) как угроза пользователям.

Электронная почта

Сотрудники должны знать правила работы с основным инструментом бизнес-коммуникаций и осознавать те опасности, которые их подстерегают при общении по электронной почте. Если в организации используется система защиты электронной почты, то сотрудники должны знать адрес, на который необходимо отправлять все подозрительные или явно опасные письма, содержащие вредоносные вложения, ссылки на вредоносные сайты или заставляющие пользователя выполнить опасное или нетипичное действие.

Мессенджеры

Сотрудники должны знать, что мессенджеры сегодня становятся не менее популярным инструментом для коммуникаций с клиентами и партнерами, чем электронная почта, и что злоумышленники осваивают этот канал для проведения атак. При этом нужно понимать, что современные атаки являются многоходовыми: киберпреступники могут начинать атаку на организацию не напрямую, а через компрометацию личных устройств сотрудников, и таким путем проникнуть в инфраструктуру организации.

Заключение

Знание этих основных аспектов поможет сотрудникам снизить уровень риска для организации и не допустить реализации недопустимых событий. При этом важно также отметить ряд важных факторов, влияющих на уровень осведомленности в вопросах кибербезопасности:

  • Помимо базового повышения осведомленности, необходимо также обеспечить обучение сотрудников более подробным аспектам безопасности в зависимости от их должностей и ролей в организации. Например, сотрудникам служб ИТ и ИБ может понадобиться более глубокое обучение, чем рядовым сотрудникам, чтобы ознакомиться с основными тактиками и техниками злоумышленников, а также с действиями, направленными на их нейтрализацию.
  • Необходимо регулярно пересматривать программу курсов обучения и повышения осведомленности в зависимости от происходящих в сфере деятельности организации изменений, а также изменений в области кибербезопасности (новых методах киберпреступников, новых технологий защиты и т. п.).
  • Необходимо учитывать, что многие организации активно используют гибридный режим работы (часть времени сотрудник работает в офисе, а часть удаленно), что должно обязательно найти свое отражение в программе обучения, особенно если удаленная работа осуществляется с личных устройств сотрудников.

Необходимо обязательно проверять полученные в рамках обучения и повышения осведомленности знания, чтобы они превращались в навыки, которые затем формируют культуру обеспечения кибербезопасности в организации — не просто выполнение определенных действий и рекомендаций «из-под палки», а осознанное безопасное поведение сотрудников при работе с информационными технологиями.