Цифровая безопасность: угрозы и решения

Согласно отчету Avast, более 90% всех угроз информационной безопасности — это социальная инженерия, представляющая собой широкий набор методов манипуляции, направленных на получение важной информации. Злоумышленники используют человеческие эмоции, знания человеческой психологии против своих жертв, для того чтобы заставить выполнить определенные действия, которые могут иметь колоссальные последствия для бизнеса. С социальной инженерией напрямую связан фишинг, при котором злоумышленники пытаются получить конфиденциальную информацию, такую как пароли, номера кредитных карт или личные данные. В современном мире фишинг против организаций происходит в основном через электронные письма. Прогресс не стоит на месте, злоумышленники приспосабливаются, все чаще появляются новости о мошенничестве через социальные сети и мессенджеры. О том, как обезопасить себя и свой бизнес — Алишер Джураев, внутренний эксперт организации по социальной инженерии и фишингу StopPhish.

Предупрежден — значит вооружен

Из-за наличия человеческого фактора технические средства защиты не могут полностью обеспечить информационную защиту. Выход один — повышать осведомленность сотрудников в вопросах кибербезопасности.

Наилучшее запоминание любой информации обеспечивается практикой ошибок.

Если речь идет об информационной безопасности, то стоимость инцидентов очень высокая. Они чреваты финансовыми потерями, репутационными рисками, массовыми утечками информации.

Поэтому наилучшим решением будет заставить ошибиться искусственно.

Наш пример: мы регулярно проводим учебные атаки с целью повышения осведомленности сотрудников о киберугрозах, таких как фишинг и социальная инженерия. Эти атаки представляют собой симуляции реальных угроз и позволяют оценить, насколько хорошо сотрудники могут распознавать подобные инциденты и реагировать на них.

Если сотрудник попадается на одну из таких учебных атак, то ему назначается курс обучения. Этот курс, направленный на улучшение понимания методов киберугроз, дает знание о том, как правильно действовать в подобной ситуации. Курсы включают в себя промежуточные и финальные вопросы.

Как правило, на первую обучающую атаку попадается примерно 60% сотрудников. С течением времени это количество снижается до 3%, что как нельзя лучше доказывает эффективность такого подхода.

Кривая забывания Эббингауза

Немецкий психолог Герман Эббингауз на основе своих экспериментов в 1885 году сформировал концепцию кривой забывания, которая иллюстрирует, что в начале изучения информация сохраняется довольно хорошо, но со временем — особенно в первые часы и дни — уровень запоминания существенно снижается. Эббингауз выявил закономерность, наглядно демонстрирующую процесс забывания.

Через 20 минут после прочтения в памяти содержится 60% прочитанной информации, в течение первого часа процент снижается до 45, через 10 часов человек помнит 35%, через 6 дней — 20%.

Учитывая быстрое забывание информации, организации могут планировать регулярные тренинговые сессии и повторения, чтобы закрепить навыки и знания сотрудников. Это может быть сделано через краткие обзоры содержимого, обучающие игры, интерактивные задания и тренажеры.

Благодаря этой концепции можно распланировать повторения наиболее эффективным образом:

• первое повторение — сразу же после потребления информации;
• следующее повторение — через полчаса после первого повторения;
• третье повторение — спустя 1 день;
• четвертое повторение — через 2 недели после третьего повторения;
• следующее — через 2 месяца после четвертого повторения.

Для того чтобы держать сотрудников «в тонусе», учебные атаки также должны быть распланированы согласно этой кривой.

Познаем играючи

Еще одной недооцененной практикой являются так называемые дидактические игры. Принято считать, что игры созданы только для детей, но, как известно, в каждом взрослом человеке есть детское я.

Дидактические игры — это метод активного обучения, когда в игровой форме преподается весь необходимый материал. Зачастую сами участники могут своим умом дойти до определенных знаний, достаточно только задать им вектор.

Как это может выглядеть на практике?

Назначается один ведущий. Это может быть руководитель отдела или человек из отдела информационной безопасности. Этот человек распределяет роли, делит участников по группам (к примеру, группа хакеров и противостоящая им группа «безопасников»), объясняет участникам правила. Внутри группы также есть свои роли: аналитики, теоретики, спикеры и так далее. Предполагается некоторая теоретическая подготовка сотрудников.

Сам процесс заключается в отыгрывании ролей участниками посредством дискуссий: группа «хакеров» разрабатывает сценарии фишинга. Они реализуются через электронные письма, сообщения в мессенджерах или телефонные звонки с приемами социальной инженерии. При этом задействуются различные стратегии, чтобы запутать «безопасников» — например, подделка адреса отправителя, создание фейковых аккаунтов, психологические уловки.

Один человек из группы хакеров наблюдает, как «безопасники» реагируют на их «атакующие» действия и собирают информацию о том, какие тактики оказались наиболее успешными.

Задача же «безопасников» сводится к распознаванию конкретных признаков мошенничества. Они осуществляют анализ полученных писем и сообщений на наличие признаков фишинга, таких как неправильные ссылки, грамматические ошибки, подозрительные запросы и т. д. Они разрабатывают подходы и рекомендации, которые могут помочь предотвратить атаки, включая обучение сотрудников и разработку политик безопасности.

В рамках дискуссий «безопасники» обсуждают действия в случае получения вредоносного письма и то, какие шаги следует предпринять для безопасного реагирования. Один человек из их группы ведет протокол о выводах и предложениях по предотвращению атак, что может служить основой для последующего обучения.

В финале игры происходит обмен мнениями, рекомендациями. При необходимости ведущий дает дополнительную информацию и высказывает свои мысли.

Таким образом сотрудники глубже знакомятся с принципами фишинга и социальной инженерии через интересную, игровую форму. К тому же, кому не хочется иногда побыть кем-то другим?

Мы рассмотрели некоторые проверенные методики эффективного обучения, которые значительно снижают риски, связанные с фишингом и социальной инженерией. Знание методов, используемых злоумышленниками, а также понимание принципов безопасного поведения в современном цифровом мире помогут предотвратить инциденты информационной безопасности. Правильное повышение осведомленности сотрудников не только защищает данные, но и способствует формированию среди них более ответственного подхода к вопросам кибербезопасности.

ООО «СИ КЬЮР»

Реклама