16+
Вторник, 18 декабря 2018
  • BRENT $ 58.41 / ₽ 3911
  • RTS1103.44
15 ноября 2018, 19:38 Компании

Опасность там, откуда не ждешь

Лента новостей

Главной угрозой для информационной системы любого бизнеса зачастую становятся не профессиональные хакеры, фишинговые атаки или хитрые вирусы, а действия собственных сотрудников компании. О том, как этого избежать, рассказала эксперт по онлайн-безопасности «Лаборатории Касперского» Мария Наместникова

Мария Наместникова.
Мария Наместникова. Фото: «Лаборатория Касперского»

По ее данным, до 80% всех инцидентов, имеющих отношение к информационной безопасности, связаны с поведением сотрудников.

Самым уязвимым участком обороны информационного периметра предприятия зачастую являются недостаточно обученные, неопытные и неграмотные сотрудники. Их беспечность, небрежность, а иногда и злонамеренность обходятся бизнесу дороже, чем любые уязвимости и «багги» в информационных системах и оборудовании.
Мария Наместникова: Исследования показывают, что до 80% всех инцидентов, имеющих отношение к информационной безопасности, так или иначе связаны именно с поведением сотрудников. Из-за собственных ошибок и невнимательности они попадаются на фишинговые атаки или другие достаточно примитивные массовые атаки, с которыми мы сталкиваемся ежедневно.
Вопреки расхожему предубеждению, недостаточно подготовленными в области информационной защиты часто оказываются не кадровики или бухгалтеры, а сотрудники IT-служб, которым по должности положено знать и уметь все, но, к сожалению, это не всегда так.
Мария Наместникова: Вспомним историю с WannaCry, которая произошла в мае 2017 года, когда вирус заразил компьютеры даже в очень крупных организациях. Причем хакеры использовали уязвимости программного обеспечения, заплатка для которых вышла задолго до того, как началась эпидемия. То есть об обновлении софта не позаботились не только сами пользователи, но даже IT-персонал, для которого обеспечение безопасности компьютеров является прямой обязанностью. К сожалению, оказалось, что системные администраторы и другие ответственные за эту сферу сотрудники либо что-то не до конца знают, либо недостаточно серьезно относятся к своей работе.
Можно ли побороть небрежность и неграмотность персонала в области IT-безопасности?
Мария Наместникова: Есть сотрудники более обучаемые, есть менее обучаемые. Но есть подход, который гарантирует результаты. Он предполагает постоянство, регулярность и умеренность. Если мы систематически напоминаем важную информацию и при этом не загружаем его знаниями настолько, что он перестает их воспринимать, то вероятность того, что у него больше откладывается в голове, возрастает. В этом случае даже самого неспособного сотрудника можно выучить какому-то набору навыков.
Тренинги, курсы, вебинары, сертификации — в руках у бизнеса целый набор инструментов для обучения персонала. Все это лучше, чем ничего. И все же, этого недостаточно.
Мария Наместникова: Все эти тренинги и вебинары у сотрудников отнимают огромное количество времени. При этом они далеко не всегда усваивают услышанное. Между тем, те, кто заинтересован в обучении персонала, например, владелец бизнеса или человек, отвечающий за информационную безопасность, никак не могут проверить, прослушали ли сотрудники курс, все ли поняли и усвоили.
Мы не первый раз общаемся с экспертами по IT-безопасности «Лаборатории Касперского», и всякий раз они напоминают о том, что защита информационной системы — вопрос, который должен стоять на повестке дня первых лиц бизнеса. Это же видение заложено в разработанную «Лабораторией Касперского» систему обучения персонала компаний. Причем интерфейс платформы устроен так, чтобы руководитель бизнеса, который не является экспертом в области IT, мог настроить параметры обучения и контролировать успехи своих сотрудников при его прохождении.
Мария Наместникова: Нашу платформу, Kaspersky ASAP (Automated Security Awareness Platform), может настроить владелец бизнеса или человек, отвечающий за информационную безопасность компании. Он имеет возможность не только определять задачи по обучению сотрудников, но и следить за тем, насколько эффективно оно проходит, а также видеть результаты тех или иных отделов или даже конкретных людей. Кроме того, он может сравнить успехи своей компании с другими организациями и понять, насколько его сотрудники хорошо обучены или же еще есть к чему стремиться. Это позволит не просто выкинуть деньги на непонятный тренинг, после которого все моментально забывается, но действительно эффективно управлять обучением своего персонала и контролировать его результаты. Наши исследования показывают, что количество инцидентов в компаниях после прохождения обучения уменьшается на 83%. К тому же более 90% навыков, которые получает сотрудник в процессе, потом используются им в работе.
Единственный способ съесть слона — разрезать его на маленькие кусочки. В «Лаборатории Касперского» убеждены: чтобы обучить всех сотрудников такой важной и сложной вещи, как IT- безопасность, нужно разбить эту большую тему на последовательность простых и понятных микромодулей.
Мария Наместникова: В течение приблизительно года сотрудник будет получать небольшие уроки продолжительностью от 2 до 10 минут. В них перечисляются возможные опасности, представлены обучающие видео. Кроме того, сотруднику предстоит ответить на проверочные вопросы, которые должны показать, насколько он уже знаком с этой темой и насколько он понял урок. Урок проходит каждый день или раз в два дня. Наша задача — обучить не только сотрудников, которые что-то понимают в IT, но и обычных пользователей, знакомых только с работой в интернет-браузере или программах, с которыми они непосредственно сталкиваются. И чтобы помочь понять сложные для них вещи, необходимо разбить информацию на понятные, емкие и короткие единицы. Потому что когда ты слушаешь огромный семинар, ты в какой-то момент устаешь, отключаешься и не понимаешь, что тебе говорят, тем более что тема очень сложная. Мы же закладываем привычки, рефлексы, чтобы человек, попадая в опасную ситуацию, не задумываясь, поступил так, как мы отработали во время уроков.
В борьбе за умы и рефлексы сотрудников за компьютером силы руководства бизнеса и хакеров заведомо неравны. Для взлома системы хватит одного опытного работника и одной ошибки. Цель бизнеса — обучить всех. Задачи, стоящие перед создателями системы обучения IT-безопасности, — дойти до каждого и проконтролировать каждого.
Мария Наместникова: Недостаточно подготовить нескольких ключевых сотрудников. Впрочем, и останавливаться, обучив 99%, тоже бессмысленно, потому что в этом случае злоумышленник все равно имеет шанс добраться до вашей компании через того самого одного необученного человека. Платформа Касперский ASAP решает эту проблему, благодаря ей никто из ваших сотрудников не уйдет без необходимых знаний.

Добавить BFM.ru в ваши источники новостей?

Рекомендуем:

Фотоистории

BFM.ru на вашем мобильном
Посмотреть инструкцию