13 липня, 2022

Як ISSP підвищує рівень кібергігієни працівників критичної інфраструктури України і чому це так важливо    

Нові  виклики у світі, що стрімко оцифровується, - це не тільки необхідність осягнути нові компетентності, перекваліфікуватися персоналу та трансформуватися організаціям, це ще й  робота над сприйняттям нової реальності, створенням нової цифрової культури та правил поведінки у цифрових спільнотах. Особливо коли нові технології стають інструментом впливу, злочину чи навіть військової агресії…  

Головні напрямки у забезпеченні безпеки у технологічно розвинутому цифровому середовищі поєднуються у трикутник «Технології-Процеси-Люди». І у цьому трикутнику позиція «Люди» є найбільш вразливою, адже  крім об’єктивних характеристик всі ми керуємося суб’єктивними або ж поведінковими факторами. 

Для посилення стійкості цієї позиції у кіберпросторі й виник такий напрямок як «кібергігієна».

 

Це у певному сенсі аналог гігієни фізіологічної, але вже для «цифрового здоров’я». І актуальна вона як для людини (її цифрової ідентичності), так і для спільноти, організації чи навіть держави.    

 

Як можна підвищити власний рівень  кібергігієни? Існує досить багато статей на цю тему, популярних роликів, тренінгів, курсів тощо. Тут можна згадати проєкт Мінцифри на порталі Дія, який допомагає засвоїти базові принципи кібергігієни та типові алгоритми дій у разі виявлення ознак інформаційних атак.

 

Але існують і професійні інтерактивні навчальні інструменти, такі, наприклад, як естонська платформа від CybExer, з якою команда ISSP та Міжнародної Кібер Академії працює вже декілька років. За цей час у співпраці з міжнародними донорами була проведена адаптація платформи під потреби українського ринку, регулярно проводяться навчання для вітчизняних організацій, в тому числі і операторів критичної інфраструктури.

 

Успішне впровадження

 

З 2019 року платформа активно використовується в Україні для оцінки та підвищення рівня  кібергігієни різних потенційно вразливих груп. Зокрема: 

  • У співпраці з Національною академією внутрішніх справ України було впроваджено онлайн-навчання курсантів з проведенням відповідного тестування  

  • За підтримки EUAM (Консультативна місія Європейського Союзу в Україні) курс з  кібергігієни пройшло біля тисячі співробітників МВС України  

  • У співпраці з банківським сектором організовано онлайн-навчання співробітників низки українських банків  

  • Курс із кібергігієни планується додати до навчальних програм Мінцифри в рамках проєкту «Цифрова освіта» 

  • Навчання співробітників компаній енергетичного сектору в рамках програми Development Cooperation Partnership (DCP). Проєкт реалізовується у співпраці з European Cyber Security Initiative (Естонія) за підтримки Посольства США та Міністерства закордонних справ Естонії. Заплановано, що до кінця 2022 року рівень знань у питаннях кібергігієни підвищать декілька тисяч працівників галузі.

  

Як працює навчальна платформа з кібергігієни?

 

Концепція платформи базується на розумінні того, що управління поведінкою людини в кіберпросторі є постійним та безперервним процесом, в якому слухачі та викладачі так само потребують навчання та адаптації.  

Курс ґрунтується на дослідженнях та успішних практиках, які виконували естонські та латвійські Міністерства оборони та Європейське оборонне агентство в якості прямої відповіді на складні цілеспрямовані кібератаки. Ця спеціальна програма кібероборони була розроблена та впроваджена протягом 2015-2017 років. Після успіху в оборонному секторі курс був скоригований для більш широкого використання. 

Курс є інтерактивним та ефективним інструментом, що складається з навчального модуля та двох окремих модулів тестування для визначення ризикової поведінки людей у кіберпросторі. Навчання орієнтовано на три категорії співробітників (управлінці, активні користувачі та спеціалісти) і вирішує конкретні проблеми та загрози, пов'язані з кожною з цих груп. 

Ключовим результатом проходження курсу є отримання ефективного інструменту відображення ризиків в конкретній організації. Система аналізує відповіді та реакції учасників на проблеми, демонструючи загальний ризик відповідно до обраної групи.

 

Метою такого  багаторівневого аналізу є сприяння реалізації політики безпеки, покращення процесів ухвалення  рішень в кіберпросторі та ефективного зменшення ризиків. 

Учасники оцінюються на основі системної матриці ризику, в якій виділяється рівень ризику по кожному вектору загрози. Матриця ризику не тільки стосується технічних аспектів, але й описує питання, пов'язані з особистістю та організацією в цілому.  

Складові матриці ризику 

Матриця ризику в кіберпросторі розділена на чотири частини:  “Особистість”, “Знання”, “Вплив” та  “Приналежність”. 

“Особистість” профілю ризику допомагає розповісти нам, хто ми є як особистості і, очевидно, це найскладніша частина профілю. 

“Знання” показує, наскільки добре учасник розуміє технологію та безпеку. Ця частина включає аутентифікацію, змінні носії, портативні пристрої тощо. 

“Вплив” аналізує ризики, яким піддається учасник у кіберпросторі, наприклад, соціальні медіа, електронна пошта та веб-сторінки. 

“Приналежність” демонструє ступінь ризику, на який піддається учасник в організації. Ця частина присвячена корпоративній культурі, управлінню інформацією та терпимістю до обмежень/виключень задля безпеки в організації. 

валерій цюпа 1.jpeg

Переваги застосування платформи 

Взаємодія. Курс є інтерактивним: учасники повинні реагувати на ситуації та питання, які представлені під час курсу. На додаток до розуміння індивідуальних ризиків учасників та профілю загрози всієї організації, цей підхід є ефективним способом збереження курсу динамічним і сенситивним. 

Зворотній зв'язок. Окрім загальної взаємодії, ми просимо учасників також надати відгук. У кожному конкретному сценарії учасники можуть поділитися своїми історіями та досвідом анонімно і можуть відзначити розбіжності або коментарі, які вони вважають необхідними. Все це допомагає залишатися на зв'язку з реальним світом. Ця функція є надзвичайно корисною, адже часто викладачі не можуть уявити деякі з областей, які потребують вирішення, або ж можуть існувати відмінності у ставленні до безпеки або уявних «ярликів», які люди створили у сфері безпеки. 

«Підхід до брандмауера». Курс постійно оновлюється, і нові випуски проходять навчання на основі оновлених  глобальних, національних або галузевих загроз. Регулярність курсу та постійні удосконалення  допомагають створити «людський брандмауер» в організаціях, які формують кінцеву лінію захисту від кібератак. 

Враховуючи тенденцію до підвищення рівня кіберзагроз у період війкової агресії рф, особливо для критичної інфраструктури України, подальше впровадження даного навчального проєкту із залученням більш широкого кола організацій має надзвичайне значення для підвищення загального рівня кіберстійкості України.

 

Хотіли би підвищити рівень кібергігєни своєї команди? Звертайтесь до нас. Ми допоможемо. Детальніше за посиланням

 

 

 

                                    Валерій Цюпа, key account & business development manager ISSP, СЕО Міжнародної Кібер Академії