Что поможет компании защититься от кибератак

27.09.2022 Развиваем

Однажды главбух получил письмо с приглашением на бесплатные курсы и перешел по ссылке. Компания потеряла 7 миллионов рублей. Ссылка вела на сайт, где злоумышленники украли рабочий логин и пароль. Они зашифровали часть компьютеров и организация неделю простаивала.

В 90% случаев компании страдают от взлома из-за ошибок работников. Результат этого — убытки, штрафы и потеря репутации. Вячеслав Яшкин, директор по информационной безопасности Ак Барс Банка, и Юрий Другач, гендиректор компании StopPhish, рассказали, как научить сотрудников правилам кибербезопасности.

На какие уловки хакеров попадаются сотрудники

У любой компании есть персональные данные, секреты производства, деньги. Чтобы их получить, хакеры используют кибератаки. Самый простой способ «взломать» организацию — через аккаунты и устройства работников.

Вот несколько приемов:

Письма-ловушки. 80% от всех кибератак. Отправляют письмо, которое может заинтересовать сотрудника. В нем ссылка на сайт, где крадут данные, или вредоносный файл.
Бесплатные ресурсы. Работник устанавливает программы с интернета или скачивает игры и фильмы, а вместе с ними вирусы.
Публичный вайфай. Взламывают Wi-Fi в магазинах, отелях. Сотрудник подключается к сети. Злоумышленник копирует всю информацию.
«Потерянные» носители. В коворкинге, офисе оставляют флешку. Сотрудник находит и вставляет в компьютер. Под заманчивым названием скрывается файл с вредоносным ПО.

Ущерб зависит от вида атаки и компании. Если это вирус-шифровальщик, выкуп за файлы на одном ПК около 500 $ — больше 30 000 ₽. Крупная организация заплатит примерно 50 000 $ — больше 3 000 000 ₽. Плюс убытки от простоя.

так выглядит — Рабочий стол взломанного ПК. В файлах README. txt — сумма выкупа и номер кошелька взломщика. Нет гарантии, что после оплаты данные расшифруют

При утечке данных страдают репутация, бизнес-процессы и добавляется штраф до 500 000 ₽. В среднем от кибератаки малый бизнес теряет — 2 000 000 ₽, крупный — 50 000 000 ₽. Часть компаний не может восполнить ущерб и закрывается.

Меры поддержки бизнеса

Обучаем сотрудников навыкам кибербезопасности

Сотрудников обязаны обучать компании, которые работают в стратегически важных областях, например, в науке, транспорте, связи. Для остальных это дело выбора. Но дешевле защититься от будущих атак, а не бороться с последствиями.

С чего начать

Руководитель выделяет бюджет, назначает ответственных и группы для занятий. Обучают всех сотрудников, которые имеют доступ к компьютерам и конфиденциальной информации. Если средств мало, защищают топ-менеджмент, финансистов, IT-службу.

Льготные кредиты до 1 млрд рублей

Взять на себя обучение могут специалисты из айти или ИБ отделов, а также кадровики. В маленьких компаниях — системный администратор или любой человек, который разбирается в компьютерах.

Чему учить

Сотрудники должны понимать, какие данные закрытые и как с ними обращаться. Они изучают «Политику по информационной безопасности». В ней прописано, что для компании является конфиденциальной информацией: это могут быть научные разработки, списки поставщиков, персональные данные. В документе указана ответственность за их разглашение.
«Политику ИБ» дополняют положения и пошаговые инструкции, например, по работе в компьютерной сети компании. С частью документов сотрудники знакомятся под подпись.
Чтобы предотвратить взломы, нужно знать каналы утечки информации и порядок действий при угрозах. Дополнительный материал зависит от группы учеников.

Программа обучения по кибербезопасности для сотрудников — Программа обучения от StopPhish. Есть уроки для всех и для отдельных специалистов

Как заниматься

Для уроков покупают онлайн-курсы, которые работают на сервере компании или в облаке. Занятия проводят не реже 2 раз в месяц, по 10–15 минут. План уроков настраивают с помощью обучающей платформы.

Сотрудники смотрят слайды, проходят тесты и отражают учебные атаки. Большую часть времени занимает практика, приближенная к реальной жизни. Например, ученикам рассылают письма-ловушки. Результаты видны в отчетах.

Пример учебной кибератаки — Пример учебной атаки от компании StopPhish. В письме — неправильный адрес отправителя и поддельная ссылка. 99,5 % сотрудников перешли по ней, 12% — оставили рабочий логин и пароль.

«Двоечникам» назначают повторение материала. Уже через пару недель в 2–6 раз снижается количество сотрудников, которые попадаются на учебные атаки. Весь курс занимает от двух недель до квартала. Чтобы закрепить навыки, нужны ежемесячные проверки и напоминания в течение года, иначе правила ИБ забывают.

Сколько стоят курсы

Цена зависит от количества учеников и услуг. В расширенный тариф могут входить доработка программы под риски компании и требования проверяющих органов, большее количество учебных атак, руководство обучением.
У многих поставщиков нет единого прайса. Они рассчитывают стоимость тарифа индивидуально для каждой компании. Для примера цен рассмотрим несколько программ из реестра отечественного ПО.

Перечисленные курсы по обучению навыкам кибербезопасности — с доступными ценами. Кроме этих поставщиков, основными можно считать Phishman и «Лабораторию Касперского», но они по карману только крупным компаниям.

Как сэкономить

Обучайте сотрудников, у которых больший доступ к данным. Берите базовый тариф и уточняйте условия. Некоторые компании делают скидки, если часть услуг не нужна. Используйте бесплатные программы.

Как убедить сотрудников соблюдать правила

Часто работники забывают правила ИБ или игнорируют их. Исправить поведение помогут несколько шагов.

Начните с руководства

Недостаточно поддерживать проект на словах. Всем руководителям от высшего до линейного уровня нужно обучаться и соблюдать правила ИБ.

Вячеслав Яшкин, директор департамента информационной безопасности ПАО «АК БАРС БАНК»:

«Чтобы мотивировать топ-менеджеров, необходимо говорить с ними на языке бизнеса, объяснять, чем грозят инциденты. Например, если вовремя не обновить веб-сервисы, может утечь миллион персональных данных. В результате — потеря репутации и закрытие компании.

Важно сохранять одинаковые требования ко всем и не допускать ситуации «чем выше топ-менеджер, тем короче его пароль». Мы не разрешаем работу с внешними чатами, если они не отслеживаются системами защиты, регулярно пересматриваем активные учетные записи. У каждого пользователя есть доступ только к ресурсам, необходимым для выполнения обязанностей».

Упрощайте

Правила соблюдают, когда они понятны. Документы по ИБ — не методички на сто страниц. Сотруднику дают короткие инструкции и объясняют содержание. Требования не должны быть избыточными. Например, не стоит менять пароли каждую неделю, если достаточно одного раза в месяц. Удобно, когда правила не нужно где-то искать: подойдут памятки на рабочем месте, плакаты.

Используйте кнут и пряник

Поощрения более эффективны, но полностью отказаться от наказаний нельзя, поскольку речь идет о рисках для бизнеса. Еще при подписании документов сотрудник понимает, что за нарушение ждет штраф и другие меры.

Награды применяют чаще. Это премии, сертификаты на продукцию компании и почетные звания. Чтобы выбрать вариант, нужно знать мотивацию сотрудника. Для кого-то похвала от значимых лиц важнее денег. При вручении учитывают результаты учебы, соблюдение инструкций и помощь в выявлении угроз.

Укрепляйте доверие

Главный результат обучения — умение определять опасные письма и прочие виды кибератак и сообщать о них в отдел ИБ. Бывает, сотрудники умалчивают об инцидентах, так как боятся наказаний.

Вячеслав Яшкин, директор департамента информационной безопасности ПАО «АК БАРС БАНК»:

«Для создания атмосферы доверия нужно, во-первых, вежливо общаться и оперативно решать проблемы. Во-вторых, обучать персонал и проводить корпоративные мероприятия.

Мы придерживаемся позиции открытой коммуникации. Для связи с отделом ИБ есть почта. Каждый сотрудник может сообщить о своих подозрениях и не быть при этом наказанным или осмеянным».

Коротко, увлекательно и с пользой на тему денег — в нашем телеграм-канале @life_profit. Присоединяйтесь!

Татьяна Дмитриева, поговорила с экспертами по кибербезопасности

0 комментариев