Tuesday 07.12.2021|

    Партнёры

    Партнёры

    Партнёры

    Загрузка...
    Фото: Depositphotos.com
    Фото: Depositphotos.com

    Защита от киберугрозы – учить надо всех

    Для израильских служб обеспечения кибербезопасности наступили нелегкие времена: всего за один месяц хакеры взломали компьютерную систему больницы «Хиллель Яффе» в Хадере, базы данных нескольких поставщиков финансовых услуг, медицинские архивы института «Мор» и учетные данные одного из крупнейших в стране сайтов знакомств ЛГБТ-сообщества. Это только начало; каждый день множество организаций становятся жертвами кибератак. Как правило, эти случаи не попадают в СМИ.


    Один из выводов, который можно сделать из недавней серии атак, заключается в том, что компании должны вкладывать средства в то, чтобы их сотрудники лучше осознавали проблему, а не просто бросать деньги на технологическую защиту.

    «Безразлично, сколько денег вы вкладываете в технологии, – они никогда не дадут вам стопроцентной защиты, – говорит Гай Даган, генеральный директор компании Consienta, которая специализируется на повышении киберосведомленности. – В конечном итоге один сотрудник может все разрушить».

    Он приводит пример: «В США при взломе киберсистемы нефтепровода Colonial некий сотрудник использовал дома и на работе один и тот же пароль. Это все, что потребовалось хакерам для проникновения в сеть. В этом случае одного украденного пароля с другого сайта было достаточно, чтобы организовать атаку с целью получения выкупа, которая обошлась в миллионы долларов и нарушила поставки нефти по всему Восточному побережью США. Человеческий фактор – слабое звено в цепи кибербезопасности как внутри компании, так и дома».


    Специалисты по кибербезопасности ломают голову, пытаясь понять, как укрепить это звено путем повышения осведомленности сотрудников. По словам Дагана, эти попытки, например презентации, не увенчались успехом. Сотрудники не чувствуют, что это их работа, что это не один из показателей, по которым оценивается их работа».

    «Скажу вам честно: если кто-то взламывает компьютерную сеть организации и шифрует ее компьютеры, с точки зрения большинства сотрудников, это прекрасно – для них это выходной день, который они могут провести на пляже, – добавляет он. – Работники не понимают, что благодаря надежной системе кибербезопасности они могут многое выиграть. Пробудить у них интерес к кибербезопасности не удалось».

    Защита на работе начинается дома

    Компания Consienta, созданная в 2007 году, проводит учения по кибербезопасности для корпоративных менеджеров, и, по словам Дагана, ее клиентами являются более 100 компаний.

    «Мы узнали, что в организациях существует негласное предположение, что в случае кибератаки генеральный директор может положиться на менеджера по кибербезопасности, который сообщит ему, когда система снова заработает, –говорит Даган. – На самом деле, когда это происходит, менеджеры по кибербезопасности ничего не знают. Они не контролируют сеть, не знают, какие резервные копии существуют, какова была точка входа хакеров в сеть учреждения. Им приходится заниматься расследованием инцидента».

    Даган объясняет: «Кибератака – это не техническая, а управленческая проблема. Есть и медийный аспект, например, врачи в больнице «Хиллель Яфе», которые поспешили дать интервью на телевидении. Есть и юридический аспект, поскольку еще до того, как инцидент был исчерпан, было подано четыре коллективных иска.


    Для каждой компании мы разрабатываем конкретный сценарий – развивающее упражнение на утечку данных, в котором компания получает удар по наиболее чувствительному месту и ей причиняется максимальный ущерб. Целью является не глубокое изучение проблемы, а обучение менеджеров тому, как выявлять проблемы и принимать решения в ситуации хаоса. Например, кто решает, платить ли выкуп, если атаке подверглась компания, которая котируется на бирже, – оперативные руководители или совет директоров?»

    Но самая большая проблема для бизнеса – это развитие осведомленности среди сотрудников и руководителей среднего звена. Компания Consienta использует два подхода к решению этой проблемы. Первый – показать сотрудникам, что кибербезопасность – это и их проблема тоже.

    «Допустим, в ваш рабочий компьютер попадет блокирующий вирус, который требует выкуп за разблокировку. Ну и что? Но если он попадет на ваш личный домашний компьютер, хакер может обмануть в интернете ваших детей или попытаться ограбить банковские счета ваших родителей – это уже совсем другая история. Поэтому мы говорим: если мы научим сотрудника распознавать фишинговые письма, поступающие на домашний компьютер, он сможет распознавать их и на работе».


    Вторая часть подхода Consienta направлена на то, чтобы участники применяли полученную информацию, и Даган считает это своей специализацией. «Каждый год я провожу 450 тысяч человек через программу викторин, которые вводят их в курс дела. Это система, которую я разработал за последние 35 лет в армии, в медицинских учреждениях и других местах».

    Для этого компания привлекает мастера телевизионных викторин Дана Хамицера. Consienta и Хамицер готовят для каждого клиента свой веб-сайт, на котором к обучающим слайдам прилагаются загадки. Чтение учебного материала помогает разгадать загадку.

    Например, один слайд гласит: «Как защитить свой мобильный телефон?» Есть несколько правил – использование надежного пароля, отключение Bluetooth, установка приложений, приобретенных в авторизованных магазинах, отказ от работы с конфиденциальной информацией в общественных сетях Wi-Fi.

    Участникам предлагается ответить на вопрос, зашифрованный в рифмованной загадке. Чтобы выйти в финал, участнику необходимо разгадать как минимум 10 из 20 загадок. Три участника, набравшие наибольшее количество баллов, получают призы, например iPhone. «Учебная программа проводится с компанией-клиентом в течение месяца, и за это время компания рассказывает сотрудникам о кибербезопасности, – говорит Даган. – Нам не нужно привлекать к участию в программе 100 процентов сотрудников; мне достаточно, чтобы в учебной программе принимала участие треть штата».

    Даже если у кого-то нет способностей к разгадыванию загадок, объясняет Хамицер, участник несколько раз перечитывает информативный слайд, и именно в этот момент происходит обучение. По их мнению, сотрудник должен вовлечь в игру всю свою семью, чтобы они тоже могли ему помогать – и учиться вместе с ним.

    Первоначально идея Дагана и Хамицера заключалась в том, чтобы охватить более широкую аудиторию, провести национальную кампанию под эгидой Национального управления кибербезопасности («Маарах ха-сайбер ха-леуми»). Хамицер обратился к главе этой организации, но, как он вспоминает, «того в основном интересовал вопрос, как мы узнали его номер телефона». В любом случае по бюджетным причинам проект не был запущен, «поэтому мы решили разработать концепцию как инструмент для использования внутри компаний».

    «Я не думаю, что кто-то может управлять компанией, не понимая, как действует мир рисков кибербезопасности, – говорит Хамицер. – Люди получают текстовые сообщения, обещающие им миллион долларов, и попадают в ловушку не потому, что они глупы, а потому, что они не знакомы с этим языком. Мы считаем, что такое обучение может действительно эффективно научить всех, превратив учебный процесс в игру».

    Амитай Зив, «ХаАрец», М.Р. Фото: Depositphotos.com

    ЧИТАЙТЕ ТАКЖЕ
    ЧИТАЙТЕ ТАКЖЕ
    МНЕНИЯ
    ПОПУЛЯРНОЕ
    Размер шрифта
    Send this to a friend