Abstract: The article discusses the main approaches to increasing the awareness of organizational employees in information security issues. Using a generalization method, the main elements of successful measures to increase employee awareness of information security issues have been identified.
Keywords: information security, cybersecurity, personnel training, technology, threats
Введение. В современном информационном обществе обеспечение информационной безопасности является основой обеспечения сохранности персональных данных и корректной работы различных социальных институтов. Немалую роль в этом играют сотрудники. В статье рассматривается актуальность проблемы и влияние неосведомленности сотрудников на уязвимость организации перед угрозами кибербезопасности. Также представлены некоторые элементы успешных программ повышения осведомленности, включая обучение, информационные кампании и тренинги. В заключение работы подводятся итоги и выделяются основные выводы, подчеркивающие важность усиления осведомленности сотрудников в области информационной безопасности.
Актуальность. В наши дни цифрофизация всех сфер деятельности становится повсеместной, и, как следствие, обеспечение информационной безопасности становится одной из приоритетных задач для организаций вне зависимости от того, являются они коммерческими или нет.
В случае с киберпреступлениями, направленными на бизнес, организации несут экономический ущерб: их репутации находится под ударом, возможна потеря интеллектуальной собственности и утечка конфиденциальных данных, возникновение перебоев в эксплуатации систем и обслуживании клиентов. Одним из таких случаев стал взлом компании Boeing, ставшей жертвой шифровальщика LockBit: киберпреступники получили доступ к 50 ГБ информации, включая данные поставщиков, дистрибьюторов и подрядчиков, а также финансовые документы, учебную и маркетинговую информацию. [1]
Кибератаки на критически важные инфраструктурные объекты могут иметь и более серьезные последствия, вплоть до потенциальной угрозы для человеческих жизней: так, больницы в штате Коннектикут были взломаны, что повлекло отмену почти половины плановых процедур, включая критически важные, как компьютерная томография и обработка рентгеновских снимков. [1, 2]
Другим случаем, иллюстрирующим представляемую киберпреступностью угрозу для общества, являются события в Иране: произраильская APT-группировка (APT – Advanced Persistent Threat) Predatory Sparrow (она же Gonjeshke Darande) нанесла удар по автозаправочным станциям страны, в результате чего более половины всех станций были выведены из строя.[3] Разумеется, перечисленные киберинциденты не являются исчерпывающими, однако наглядно иллюстрируют потенциальную угрозу, которую несет организованная киберпреступность.
Подобное мнение об угрозе обществу, которую представляют хакеры, разделяет и Дмитрий Кузеванов, CISO и руководитель Центра мониторинга и реагирования (MRC) UserGate: «Для общества ущерб [прим. автора: от хакерской атаки] может быть куда более серьёзным [прим. автора: чем для бизнеса]: условный хакер, воздействуя на информационную систему, может устроить аварию на промышленном предприятии, заблокировать работу больницы, перекрыть федеральную трассу».[4]
В этом контексте сотрудники играют важную роль в защите конфиденциальной информации и предотвращении кибератак: в результате неаккуратных действий одного из сотрудников полицейской службы Северной Ирландии, в сети оказались записи с персональными данными более 10 тысяч сотрудников службы, а последствия инцидента не были устранены в полной мере.[5] Отдельно стоит отметить, что согласно данным исследования Cyberint, компании, занимающейся вопросами информационной безопасности, 95% кибератак происходит из-за ошибок, совершаемых сотрудниками.[6]
Роль сотрудников в обеспечении информационной безопасности. По мнению компании по кибербезопасности Red Canary, по итогам 2023 года люди все еще остаются главной уязвимостью, которой успешно пользуются преступники – одним из важных инструментов для этого является компрометация личности. [7]
Red Canary отмечают, что внедрение облачных технологий и использование программного обеспечения как услуги (SaaS) привело к увеличению значимости идентификации в информационной безопасности организаций. Злоумышленники осознали, что эти системы содержат ценную информацию, и аутентичные и авторизованные идентификаторы представляют наиболее быстрый и надежный способ доступа к ним. Технологии управления идентификацией и доступом (IAM), решения для единого входа (SSO) и подобные инструменты, хотя полезны для безопасности, также могут стать уязвимостью, поскольку компрометация одной привилегированной идентификации может дать злоумышленникам доступ к множеству систем.
Во мнении с Red Canary солидарны и Positive Technologies, российская компания, специализирующаяся на разработке решений в сфере информационной безопасности: по их данным в 2023 году практически в половине успешных атак, использовалась социальная инженерия, также компания отмечает, что с развитием генеративного искусственного интеллекта осуществление подобного рода атак становится еще проще для злоумышленников. [1]
Были и атаки, где использовались QR-коды: в августе 2023 года центр координации компьютерного реагирования Японии JPCERT/CC сообщил о новой технике “MalDoc in PDF”, которая используется для избегания обнаружения путем встраивания вредоносного файла Word в PDF-документ. Подобным образом злоумышленники могут получить доступ к устройству жертвы, что также несет риски компрометации безопасности информационных систем, к которым у жертвы есть доступ. Помимо этого, результатом компрометации устройства может послужить компрометация самой личности для последующего ее использования киберпреступниками в следующих атаках.
Таким образом, в заключение, можно отметить, что сотрудники являются одной из уязвимых точек в обеспечении информационной безопасности организации. В связи с этим, крайне важно проводить систематические тренинги для сотрудников, направленные на повышение их осведомленности в области основ информационной безопасности и формирования привычек цифровой гигиены, чему и посвящена данная статья.
Лучшие практики
Прежде, чем приступать к перечислению элементов успешных мер по повышению осведомленности сотрудников в вопросах информационной безопасности, стоит отдельно выделить базовые правила, которым должны следовать сотрудники:
- не регистрироваться на сторонних ресурсах с использованием рабочей почты;
- не использовать одинаковые пароли для различных систем и быть бдительными при принятии звонков и сообщений;
- не оставлять логины и пароли на виду;
- блокировать компьютер при покидании рабочего места;
- шифровать flash-накопители и не подключать некорпоративные внешние носители к рабочим компьютерам.
Согласно исследованию Bada et al. (2019), успешные кампании по повышению осведомленности должны следовать «континууму обучения», который начинается с повышения осведомленности, переходит к обучению и в конечном итоге приводит к образованию. [8] Отдельно стоит отметить, что эти кампании могут проводиться не только на уровне организаций, но и стран в целом.
Так, Pranisha Rama & Monique Keevy в своем исследовании рассказывают о практиках повышения осведомленности в вопросах кибербезопасности под руководством правительства на примере США, Великобритании, Саудовской Аравии и Эстонии [9]:
- В США реализованы два информационных ресурса в формате веб-сервисов, предоставляющих информацию о правилах поведения в цифровом пространстве: Stop.Think.Connect и Stay Safe Online.
- Think.Connect:
Веб-сайт предоставляет разнообразный контент по кибербезопасности, включая советы, видео, мемы, инфографику, плакаты и исследовательские материалы, а также предлагает статистические данные с целью информирования пользователей о важности киберосведомленности. Помимо этого, платформа также является пространством для обмена между пользователями собственными исследованиями в области кибербезопасности, позволяя сообществу расти и развиваться автономно, что, безусловно, имеет шансы положительно сказаться на общем уровне осведомленности населения о правилах безопасного поведения в цифровом мире.
- Stay Safe Online:
На веб-сайте представлены материалы для чтения, разделенные на различные разделы, такие как «онлайн-безопасность + основы конфиденциальности», «кража, мошенничество + преступность» и «кибербезопасность для бизнеса» и другие. На ресурсе предлагается загружаемый контент, среди которого есть советы и инфографика, доступные бесплатно. Контент сайта ориентирован на широкую аудиторию.
На сайте также представлены мероприятия и программы; однако в первую очередь они ориентированы на бизнес и промышленность, а не на обычных пользователей. Кроме того, мероприятия платны и ориентированы на профессионалов бизнеса.
- Великобритания, Саудовская Аравия и Эстония, как отмечают авторы, избрали аналогичный подход к участию в повышении осведомленности населения в вопросах информационной безопасности.
К сожалению, в настоящее время в Российской Федерации не существует платформы, подобной изученным Pranisha Rama & Monique Keevy в своей работе. Используя сочетание текста, изображений, аудио, видео и интерактивного контента, страны имеют возможность охватить широкий круг пользователей в цифровом пространстве и эффективно распространять образовательные материалы. Этот многогранный подход служит средством распространения информации и знаний среди широкой аудитории и может быть также применен и в случае России и его населения.
Если же говорить об обеспечении осведомленности сотрудников в вопросах информационной безопасности в компаниях, то дополнительные меры могут включать:
- Регулярное проведение обучающих семинаров и воркшопов, охватывающих актуальные угрозы и методы защиты информации, правила безопасного поведения в цифровой среде. [10, 11]
- Информирование о методах социальной инженерии, используемых киберпреступниками, в обучающих программах для эффективного противодействия основному инструменту злоумышленников. [10]
- Проведение регулярных проверок осведомленности сотрудников через симуляцию фишинговых атак, что помогает выявить слабые места в знаниях и поведении персонала. [11, 12]
- Реализация постоянных кампаний по повышению осведомленности о безопасности, используя различные каналы связи, такие как плакаты, электронную почту и внутренние порталы, для демонстрации реальных случаев киберугроз и рекомендуемых передовых методов. Возможно использование привлекательных слоганов и методов брендинга в целях повышения запоминаемости сообщений. [11]
- Регулярные уведомления об обновлениях безопасности, исправлениях и уязвимостях программного обеспечения и поощрение сотрудников к их своевременной установке. Это позволит сотрудникам быть в курсе постоянно меняющегося ландшафта угроз. [11]
- Использование игр и симуляций является эффективным методом обучения сотрудников вопросам информационной безопасности. Разработка интерактивных курсов, видеороликов и браузерных игр позволяет охватить большее количество сотрудников в разных регионах, что особенно полезно для компаний со штатом удаленных сотрудников, без необходимости очных тренингов. Такой формат обучения также обеспечивает более простую форму восприятия сложного материала и подходит для изучения сотрудниками в любое время вне зависимости от используемого устройства. [13, 14]
Отдельным важным аспектом обеспечения безопасности информационных систем в контексте человеческого фактора остается мотивация сотрудников.
Согласно имеющимся научным исследованиям, наиболее эффективными методами управления мотивацией сотрудников в области информационной безопасности являются:
- Социальные методы [15, 16]:
- Вовлечение сотрудников в процесс разработки и внедрения политики информационной безопасности. Это повысит их заинтересованность и ответственность.
- Создание системы нематериального стимулирования, например, награды за выявление уязвимостей или предотвращение инцидентов, разработку обучающих материалов или аналитических заметок.
- Административные методы [15]:
- Четкое определение ролей, обязанностей и ответственности сотрудников в области информационной безопасности.
- Внедрение системы контроля и мониторинга за соблюдением политик информационной безопасности.
- Применение дисциплинарных мер за грубые нарушения, но без чрезмерного наказания за непреднамеренные ошибки. [10, 16]
- Экономические методы [15]:
- Материальное стимулирование сотрудников за вклад в обеспечение информационной безопасности.
- Выделение достаточного бюджета на реализацию мер по защите информации.
Однако стоит отметить, что наказания сотрудников за ошибки не должны быть частыми и избыточными, поскольку это может повлечь обратный эффект и не является главным и эффективным методом для обеспечения информационной безопасности. Вместо этого, важнее обеспечить, чтобы сотрудники выносили уроки из своих ошибок и продолжали работать над улучшением своих навыков в области информационной безопасности.
Так, Валентин Богданов в статье для DK.ru подчеркивает, что наказывать сотрудников за ошибки нерационально, поскольку это может предоставить им индульгенцию и снять ответственность с них за возникновение инцидентов. Он подчеркивает, что если сотрудник ошибается, но выносит урок, то это более важный для организации результат, чем наказание. [17]
Необходимо понимать, что важность информационной безопасности заключается в том, что сотрудники должны знать о правилах информационной гигиены и о методах социальной инженерии, чтобы не совершать действия, угрожающие информационной безопасности [10]. Наказание за ошибки же, напротив, может привести к уменьшению мотивации и драйва у сотрудников, что может быть вредно для организации.
Подводя итоги этого раздела, можно сказать, что задача повышения осведомленности в вопросах информационной безопасности должна решаться не только на уровне частного бизнеса, но и при содействии государственных структур, поскольку угроза, представляемая организованной киберпреступностью, велика и в том числе направлена на вред людским жизням. Важным аспектом обеспечения безопасности информационных систем остается поддержание мотивации сотрудников организаций узнавать новые методы противодействия киберугрозам, что может быть достигнуто как методами материального стимулирования, так и нематериального воздействия. При этом не стоит излишне фокусироваться на карающих методах воздействия: такой подход может привести к ухудшению ситуации и снижению эффективности принятых просветительских мероприятий.
Выводы. Современные организации сталкиваются с возможностью нарушения своей деятельности не только из-за экономических факторов, но и вследствие кибератак. Киберпреступники представляют потенциальную угрозу, а их действия способны навредить развитию бизнеса и несут реальную угрозу общественному благосостоянию, поскольку часть из атак злоумышленников могут поражать даже важные инфраструктурные объекты. Одной из возможных и эффективных мер по предотвращению ряда киберпреступлений является обучение персонала правилам поведения в цифровом обществе и повышение их осведомленности, т.к. подавляющее большинство киберинцидентов возникают в том числе по вине сотрудников.
References
1. https://www.ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-dlya-organizacij-itogi-2023-goda/2. https://edition.cnn.com/2023/08/04/politics/cyberattack-connecticut-pennsylvania-hospitals-ambulances/index.html
3. https://securityaffairs.com/156065/hacktivism/pro-israel-predatory-sparrow-iran-fuel-stations.html
4. https://yandex.cloud/ru/blog/posts/2024/03/information-security-research
5. https://www.cshub.com/attacks/news/iotw-police-service-of-northern-ireland-suffers-critical-data-breaches
6. https://is.astral.ru/news/blog/effektivnost-kiberucheniy/
7. https://resource.redcanary.com/rs/003-YRU-314/images/2024ThreatDetectionReport_RedCanary.pdf?version=0
8. Bada, M., Von Solms, B., & Agrafiotis, I. (2019). Reviewing National Cybersecurity Awareness in Africa: An Empirical Study. Apollo - University of Cambridge Repository. https://doi.org/10.17863/CAM.40856
9. Rama, Pranisha & Keevy, Monique. (2023). Public cybersecurity awareness good practices on government-led websites. International Journal of Research in Business and Social Science (2147- 4478). 12. 94-104. 10.20525/ijrbs.v12i7.2840.
10. https://rcngroup.ru/blog/povyshenie-osvedomlennosti-rabotnikov-v-oblasti-informacionnoj-bezopasnosti/
11. https://www.institutedata.com/blog/workplace-cyber-security-awareness/
12. https://stopphish.ru/security-awareness-memo
13. Капустин Ф.А. Информационная безопасность и защита информации в современном обществе // Актуальные проблемы авиации и космонавтики. 2016. №12. URL: https://cyberleninka.ru/article/n/informatsionnaya-bezopasnost-i-zaschita-informatsii-v-sovremennom-obschestve-1 (дата обращения: 29.05.2024).
14. https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/osnovnye-printsipy-obespecheniya-informatsionnoj-bezopasnosti/mery-po-obespecheniyu-informatsionnoj-bezopasnosti/
15. Базелюк Никита Григорьевич, Степанов Алексей Владимирович Методы управления информационной безопасностью в организации // Евразийский Союз Ученых. 2015. №4-13 (13). URL: https://cyberleninka.ru/article/n/metody-upravleniya-informatsionnoy-bezopasnostyu-v-organizatsii (дата обращения: 29.05.2024).
16. Танчук А. В., Сырейщикова Н.В., Методы управления мотивацией персонала в организации. Лин-технологии: Бережливое производство. 2018;5.
17. https://www.dk.ru/news/nado-umet-dat-sotrudnikam-oshibatsya-tolko-tak-mozhno-priyti-k-chemu-to-novomu-237128434