Утечка конфиденциальных данных или нарушение работы информационных систем может привести к серьёзным последствиям: финансовым потерям, утрате доверия клиентов, репутационным рискам. Во многих компаниях это понимают. Или нет? И все ли достаточно осведомлены о способах защиты от киберугроз?
Методы защиты, которые недавно были достаточными, сегодня становятся устаревшими и неэффективными. Важно постоянно следить за динамикой и тенденциями в сфере ИБ — как угроз, так и способов противодействия им.
Мы провели опрос, чтобы дать возможность пользователям Хабра высказать своё мнение об уровне защищённости компаний от киберугроз — и оценить важность информационной безопасности.
Кто участвовал в опросе
Обычно участники таких опросов слишком уверены в себе и своей компании. Для многих достаточно антивируса на ПК и общих знаний о том, что лучше не переходить по ссылкам, присланным в письмах с неизвестных адресов.
В нашем же опросе участвовали IT-специалисты, сотрудники ИБ, топ-менеджеры и руководители компаний. По размеру — больше всего небольших бизнесов от 150 сотрудников. На втором месте — компании свыше 1000 человек.
Выборка респондентов получилась отличной. Вряд ли можно найти такую аудиторию, как на Хабре. Почти 10 000 человек просмотрели опрос, более 1600 начали его проходить. Благодарим всех, кто принял участие в опросе и прокомментировал его.
Уровень киберзащиты
Переходим непосредственно к сути опроса, а именно — к вопросу «Насколько, на ваш взгляд, компания защищена от киберугроз?». Здесь лидируют ответы «Защищена хорошо, но неидеально», и «Удовлетворительно, но я сомневаюсь в надёжности защиты».
Если не брать в расчёт ответ «Не знаю, это не моя ответственность», то практически пополам разделились две группы ответов: пессимистичные — «Удовлетворительно, но я сомневаюсь в надёжности защиты» и «Думаю, всё рухнет при первой же атаке»; оптимистичные — «Защищена хорошо, но неидеально» и «Отлично защищена».
Такой результат не является сюрпризом и совпадает с другими исследованиями и опросами. Например, в нашем другом недавнем исследовании, в котором изучался человеческий фактор в IT, мы предложили компаниям оценить, насколько, как им кажется, они хорошо защищены от киберугроз. Оказалось, что более половины компаний не уверены в уровне защиты.
Среди ответов на вопрос «Что, на ваш взгляд, нужно доработать в защите?» лидирует «Вложиться в обучение всех сотрудников компании», а замыкает тройку «Вложиться в обучение ИБ-сотрудников». В глобальном исследовании процент таких ответов был ниже. Ответ на этот вопрос стал для нас удивительным, но удивление это было скорее приятным.
Положительный тренд на обучение нетехнических сотрудников набирает обороты. Всё больше и больше компаний осознают, что технических средств недостаточно и что для обеспечения всесторонней защиты необходим комплексный подход.
Как правило, необходимость системно обучать сотрудников для повышения их киберграмотности и сокращения количества инцидентов, связанных с человеческим фактором, понимают в крупных компаниях. Возросшее количество кибератак в России за последние пару лет, безусловно, повлияло на развитие этого тренда. Также триггером для проведения такого обучения являются изменения в законодательстве или требования контрагентов.
На втором же месте — «Заказать аудит и оценить результат». Для нас аудит (и, в частности, услуга «тестирование на проникновение») — одна из самых популярных услуг: работа наших специалистов в этой области рассчитана на год вперёд. Часто такую услугу оказывают наши партнёры-интеграторы. В первую очередь аудит заказывает крупный бизнес — компании, которые сильно озабочены возможным ущербом от атак, потерей данных.
Общемировые данные о росте рынка малых и средних предприятий в сфере IT и показатель регистраций новых IT-предприятий (подробнее на РБК) в России говорит о росте спроса на данный спектр услуг. Возможно, тут повлияло то, что достаточно большой процент респондентов — это представители крупных компаний, которые в России гораздо более закрытые, а кроме того, имеют собственный SOC (центр управления ИБ).
Обучение ИБ и пандемия как поворотный момент
Вернёмся к тренду на обучение сотрудников. Ранее в России достаточно долго существовал стереотип, что кибербезопасность — это ответственность ИБ: если человек работает в маркетинге, в бухгалтерии, это направление его не касалось. Но с ростом числа фишинговых атак и использования социальной инженерии пришло понимание, что каждый, кто в той или иной степени сталкивается с IT-инфраструктурой, должен быть подкован в области информационной безопасности.
Бизнес начинает больше осознавать, что в результате атак, иногда довольно стандартных, компания может потерять большие деньги. Гораздо большие, чем потребуется на обучение сотрудников.
Поворотным моментом могла стать пандемия, когда из офисов люди массово перешли на удалённую работу. У многих отсутствовали базовые знания, что приводило к весьма плачевным последствиям: компании стали всё чаще сталкиваться с атаками, произошедшими из-за ошибок сотрудников. К тому же в офисе всегда рядом мог быть IT-специалист. Дома людям приходилось быть один на один с проблемами.
Несколько лет назад мы провели исследование и выяснили, что рабочие девайсы сотрудники использовали далеко не только для работы, — они делились своими рабочими компьютерами с другими членами семьи. Затем популярным стал гибридный формат, поэтому необходимость обучения каждого сотрудника базовым знаниям осталась.
Важность ИБ и перегибы на местах
Кто-то не до конца понимает важность ИБ, другие же — доводят дело до перегибов, при которых сотрудники теряют возможность нормально работать и вместо этого занимаются исключительно информационной безопасностью.
Полная изоляция и параноидальные настроения не способствуют повышению эффективности работы. Возможно, именно с подобной ситуацией столкнулись 3,9% опрошенных.
Вопрос на тему актуальности обучения ИБ для конкретных категорий сотрудников показал ответственный подход респондентов к безопасности. Скорее всего, именно характер аудитории повлиял на то, что наибольший процент получил вариант ответа «Для всех сотрудников компании». Вероятно на этот вопрос отвечали те специалисты, которые уже сталкивались с последствиями действий других пользователей и понимают, к чему приводит недостаточное понимание мер безопасности рядовым сотрудником компании. Базовые знания необходимы всем.
Снова мы видим высокий уровень ответственности аудитории на вопросе о том, достаточно ли знаний ИБ, которыми обладают сотрудники компаний. Более половины респондентов считают, что знаний недостаточно.
Компании, особенно использующие системы трекинга активности пользователей, часто отслеживают инциденты, связанные с пользовательскими ошибками, недостатком знаний, по количеству обращений.
Если бы большая часть ответивших не были связаны с IT и ИБ, результат, скорее всего, был бы другой — сами себя люди оценивают более оптимистично.
Обучение или инструменты?
Обычно на российском рынке с точки зрения ИБ главными считались именно программные продукты для защиты информации — до недавнего времени. В данном же случае максимальный процент набрал ответ «50/50», а второе место — у обучения, не у инструментов.
Это очень интересная и важная тенденция, которую ранее можно было наблюдать на Западе — понимание необходимости обучения.
Сейчас ситуация усложняется и тем, что на рынке не так много квалифицированных ИБ-специалистов. Поэтому бизнес не только вкладывается в развитие собственных специалистов по информационной безопасности, проводит тренинги, чтобы снизить нагрузку на службы ИБ, но и проводит тренинги для повышения киберграмотности всех сотрудников, чтобы снизить нагрузку на службы IT и ИБ.
Как сегодня чаще всего обучают сотрудников
Наш опыт показывает, что некоторые крупные производственные компании разрабатывают свои собственные курсы по повышению осведомлённости для сотрудников — несмотря на то, что это достаточно трудоёмкий процесс.
Однако, согласно результатам опроса, компании чаще всего для обучения сотрудников используют памятки, инструкции и рассылки. Так ответили более половины опрошенных. А 30% попросту не знают, как повышать осведомлённость и киберграмотность.
С точки зрения частоты информирование на тему ИБ производится почти в 45% случаев раз в несколько месяцев и реже. Такой подход сложно назвать достаточно эффективным. Мероприятия должны проходить регулярно, ведь человеческий мозг не способен долго удерживать то, что он считает неважным. А информационную безопасность рядовые сотрудники редко считают настолько важной, чтобы думать о ней постоянно.
Почти в четверти случаев обучение не проводится никогда. К сожалению, пока это вполне обычный результат. Чаще всего при этом речь идёт о небольших компаниях.
Но важен не только способ, но и качество обучения. В 42% компаний, по мнению пользователей Хабра, оно находится на низком уровне. И это не очень хороший симптом: он показывает, что обучение не нравится, а значит, не мотивирует сотрудников получать новые знания и осваивать новые навыки. При этом важность обучения понимает большинство.
Обучение нетехнических специалистов: инструменты и знания
На сегодня самый удобный формат обучения — это онлайн-курсы. Они позволяют учиться каждому из сотрудников в своём режиме, не зависеть от различных факторов. Также этот подход более удобен и для организаторов: не нужно собирать сотрудников в зале, у компании отсутствуют накладные расходы, связанные с проведением мероприятия.
В вопросе о наиболее частом способе информирования об ИБ наибольший процент ответов получила почтовая рассылка. Однако её эффективность сомнительна: многие сотрудники просто не читают такого рода сообщения. А если и читают, то довольно быстро забывают, о чём шла речь. Получается, что чаще всего компании используют далеко не самый эффективный инструмент.
Можно ли сделать почтовую рассылку об ИБ эффективной? Она принесёт пользу только в случае, если пользователю необходимо будет пройти, например, обязательное тестирование после прочтения письма. В любом другом случае письмо могут воспринять как информационный шум и проигнорировать.
Если говорить о знаниях в области ИБ для не IT-специалистов, то в первую очередь важны базовые знания о фишинге и о паролях — например, почему нельзя ставить qwerty; почему не нужно переходить по подозрительным ссылкам и открывать вложения; как получается, что даже письмам от якобы коллег не всегда можно доверять. Результаты ответа на следующий вопрос как раз подтверждают это.
Заключение
Опрос показал, что растёт спрос на повышение знаний. Многие считают, что компании недостаточно защищены; при этом мы видим рост успешных атак на бизнес и появление новых уловок, которые помогают злоумышленникам просочиться в инфраструктуру организаций через корпоративные почты сотрудников. Это говорит о том, что преступники не стоят на месте, ищут новые способы и инструменты для взлома. Следовательно, персонал нужно обучать регулярно. Фактически же такое обучение часто ограничивается рассылкой раз в полгода, которую никто не читает.
Сегодня сотрудники компаний должны обладать достаточными навыками для того, чтобы не попадаться на уловки мошенников, знать, что должно их насторожить и что делать в случае, если случился инцидент или они заметили подозрительную активность на своём ПК. Обучение стало новым трендом во всём мире и в России в частности.
Однако понимание бизнесом важности ИБ не всегда достаточно для построения эффективной системы обучения. Часто вместо онлайн-курсов, созданных под нужды организации или приобретённых у ИБ-компаний, используют почтовые рассылки, памятки. К сожалению, далеко не все в принципе читают информационные письма от работодателя, — для них это информационный шум. Рассылки можно рассматривать лишь как дополнение к систематической работе.
Чек-лист: как обеспечить достаточное информирование
-
Обеспечьте периодичность и поэтапность обучения. Различного рода тренинги, тесты и прочие активности по проверке киберграмотности сотрудников должны проводиться регулярно. Чтобы полученные навыки стали привычкой, нужно время и постоянные напоминания.
-
Уделите внимание качеству обучения. Важно, чтобы в создании курса принимали участие не только специалисты в области ИБ, но и специалисты в области обучения. Тот, кто что-то очень хорошо знает сам, не всегда может обучить этому других людей.
-
Сделайте обучение разнообразным. Идеальный вариант — сочетание различных форматов: традиционный онлайн-курс, видеоуроки, интерактивные задания, тесты, симуляции и др.
-
Вовлекайте всех сотрудников, даже топов. Повышение киберграмотности нужно как IT-сотрудникам, так и всем сотрудникам компании, включая руководителей. Подкованность руководителей в вопросах ИБ позволит не только избежать серьёзных инцидентов (ведь ошибки руководителей в силу уровня доступа к чувствительной информации могут особенно дорого обойтись бизнесу), но и заручиться их поддержкой различных инициатив в области информационной безопасности.
-
Диверсифицируйте программы. Один курс или одна программа не будет одинаково эффективно работать для всех. Назначайте обучение в зависимости от уровня подкованности сотрудников и их уровня доступа к конфиденциальной информации. Если сотрудникам придётся тратить время на изучение того, в чём они собаку съели, или, наоборот, того, с чем они никогда не сталкиваются в работе, от такого обучения будет мало пользы.
Над проблемой повышения киберграмотности мы работаем уже давно: у нас есть линейка продуктов для всех сотрудников, включая специализированные программы для руководителей — Kaspersky Security Awareness. А наш флагман — автоматизированная платформа Kaspersky ASAP. Есть и более продвинутые тренинги для сотрудников IT/ИБ. С помощью этих продуктов мы помогаем компаниям добавить дополнительный уровень киберобороны — подкованных сотрудников.
ИСТОЧНИК: https://habr.com/ru/specials/792652/
