18 лютого, 2021

Перший фаєрвол. Як правильно підвищувати рівень кібергігієни працівників

Все більше компаній розуміють, що першим фаєрволом у системі безпеки будь-якої організації є людина. Саме працівник – це той рубіж, який може впустити або не впустити хакера в інфраструктуру. Тому навички кібергігієни кожного працівника мають велике значення для ефективності системи інформаційної безпеки. 


Це питання не є новим, але у 2020 році воно отримало якісно нове життя. Сьогодні розвиток кібергігієни піднесено на рівень не факультативної, а системної роботи з працівниками. Це вже не одноразова вправа, а постійна підготовка до марафону. 


Раніше компанія могла провести якийсь тренінг з кібергігієни для працівників, а могла і не провести. Натомість зараз організації, в першу чергу банки, бачать необхідність у тому, щоб ця навчальна робота була постійною, регулярною і багатовимірною. Мова йде не лише про передачу специфічних знань, а й про постійне нагадування і тестування рівня кібергігієни працівників.
Як правильно формувати підхід до кібергігієни у найближчі роки? Варто зважати на кілька особливостей.


По-перше, потрібно розуміти, що люди не зацікавлені в проходженні такого навчання. Це не професійний тренінг, який дозволяє співробітнику посилити професійні навички і тим самим підняти свою вартість на ринку. Але важливо розуміти, що це все одно підвищення професійної цінності кожного працівника. Адже високий рівень кібергігієни свідчить про те, що ти переймаєшся цими питаннями, а це важливо для успішності організації в цілому.


Друга особливість навчання з кібергігієни полягає в оцінці результатів. Після проходження тренінгу чи курсу працівники зазвичай проходять тест, який можна здати або не здати. Якщо набрав менше 90% правильних відповідей – не здав, 90% або більше – здав. Але що це означає? Чи достатньо 90%, щоб не стати жертвою атаки? І що робити з 10% неправильних відповідей? Працівник клюне на фішингову атаку? Підніме з землі флешку, якщо хтось підкине, і вставить її в робочий комп’ютер? 
У цьому аспекті важливо не «здав» чи «не здав» працівник тест. Необхідно оцінювати зони ризику кожної людини, щоб у подальшому працювати з її слабкими сторонами. У підсумку результати тесту повинні показати не тільки те, що людина знає про електронну пошту, соціальні мережі та інші технічні аспекти, не тільки розуміє в теорії, що таке фішинг, а й те, наскільки схильна вона порушити усталені норми та політики, наскільки вона дисциплінована в питаннях інформаційної безпеки тощо.


Третя особливість – ефективність за часом. Оскільки це не професійне навчання, воно має бути настільки коротким, наскільки можливо. Оптимальний варіант – 45-60 хвилин тренінгу на онлайн-платформі раз на квартал. 


Якщо уявити собі тренінг на півдня або цілий день, у якому бере участь тисяча осіб, то кожного з них ми відриваємо від основної роботи і втрачаємо тисячу людино-днів – і це лише безпосередні втрати. Тому ефективність за часом – це те, що буде відрізняти проекти з розвитку кібергігієни завтрашнього дня.


Серед усіх організацій лідерами в питаннях інформаційної та кібербезпеки завжди були і залишаються банки. Вони першими застосовують щораз новіші технології, системи та підходи. Банки вже змінюють підхід до розвитку навичок кібергігієни співробітників. Іншим організаціям варто наслідувати їхній приклад.


Євген Бондарець, керівник ISSP Training Center