СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Ростелеком
11.12.2024
#ИБ#ИИ#Инфра

Кибергигиена 2.0: от боли к профилактике — путь «Ростелекома» в создании корпоративной киберкультуры

Кибергигиена 2.0: от боли к профилактике — путь Ростелекома в создании корпоративной киберкультуры

изображение: recraft

Впервые понятие «Security Awareness» или «повышение осведомленности в вопросах информационной безопасности» было определено в 2003 году в документе «Building an Information Technology Security Awareness and Training Program» (NIST SP 800-50-2003). На законодательном уровне вопросами повышения осведомленности озаботились еще в конце девяностых, когда в ряде международных стандартов стали предъявляться требования по обучению персонала вопросам информационной безопасности.

В Россию практика внедрения Программ повышения осведомленности пришла в 2005-2006 годах, когда у государственных и коммерческих компаний появились две причины задуматься о погружении персонала в вопросы киберкультуры:

  • необходимость соответствия международным стандартам ИБ (ISO/IEC, PCI DSS и др),
  • появившимися на законодательном уровне требованиями регуляторов ознакомлять работников с основными положениями законодательства РФ, регулирующими вопросы ИБ.

С момента появления Security Awareness как отдельного направления в ИБ прошло 18 лет, все больше компаний различного масштаба активно занимаются повышением осведомлённости работников в вопросах ИБ, рынок технологических решений типа SACBT (Security Awareness computer based training) активно растет, а статистика словно замерла на месте и вот уже 18 лет:

  • социальная инженерия и фишинговые письма — самый успешный вид атак,
  • 70-80% инцидентов ИБ происходят по вине сотрудников компании (по причине незнания/непонимания правил ИБ),
  • в большинстве компаний в подразделениях ИБ нет отдельно выделенной штатной единицы c названием «Специалист по Security Awareness»,
  • теме Security Awareness отводится второстепенное значение на отраслевых мероприятиях, и эксперты по Security Awareness выступают со своими докладами перед полупустыми аудиториями.

Как трансформирует эти установки и меняет текущие тренды в своей деятельности «Ростелеком»?

Сегодня «Ростелеком» – мощный технологический хаб, раскинувшийся по всей территории нашей необъятной страны. Обеспечение кибербезопасности цифровых решений, функционирующих как на внешнем, так и во внутреннем периметре компании – одна из стратегических задач, актуальность которой сложно переоценить. Масштабы компании и количество сотрудников, занятых сегодня на всех участках работ, во многом определяет, в том числе, и стратегию выбора инструментов и технологий, направленных на формирование киберкультуры «Ростелекома».

В своих подходах к киберпросвету «Ростелеком» ориентируется на перспективу пяти-шести лет, учитывает мировые тенденции и стремительное развитие технологий искусственного интеллекта. Важно отметить, что сегодня мы не используем термин «повышение осведомленности». В своем докладе в марте 2024 года компания Gartner обозначила ряд мировых прогнозов в области кибербезопасности. Одна из наиболее значимых и ярких тенденций — смена парадигмы в работе с персоналом по вопросах ИБ, переход от понятия «осведомленность» к понятию «культура безопасного поведения», пересмотр соотношения усилий, прилагаемых к технической и «человеческой» составляющим процесса киберпросвещения. Что это значит и как это реализовать у себя в компании?

Сегодня в большинстве компаний для формирования культуры безопасного поведения, как правило, используется два инструмента:

  • Технологические решения, предназначенные для проведения провокационных фишинговых рассылок, включающие в себя минимальный функционал образовательных платформ, с возможностью интеграции с SIEM, DLP, AD и другими (от вендора к вендору комбинация интеграций разная). Такие решения закрывают две основные боли подразделений ИБ – отсутствие отдельной штатной единицы на направление «Security Awareness» и необходимость лично взаимодействовать с пользователями.
  • Электронные обучающие курсы, назначаемые персоналу «в наказание» при выполнении небезопасных действий в ходе учебных фишинговых рассылок. Образовательный контент закрывает еще одну боль подразделений ИБ – изложение сложных для обычного пользователя правил и регламентов по ИБ максимально простым и доступным способом.

И здесь кроется ответ на вопрос о том, почему в течение 18 лет ситуация не меняется и по-прежнему человек – самое слабое звено в защите. Рынок услуг Security Awareness не ориентирован на пользователей. Он решает проблемы специалистов подразделений ИБ, но никак не заботиться о самом важном «клиенте» во всей этой цепочек – о человеке – пользователе, который сегодня каждый день сталкивается с кибермошенничеством не только на работе, но и в повседневной жизни.

Можно ли выровнять ситуацию и сделать так, чтобы культура безопасного поведения в компаниях вышла на новый уровень? Как найти баланс между технологией и человеком?

В своем прогнозе Gartner отметил: к 2026 году сократить число инцидентов в сфере кибербезопасности, возникающих по вине сотрудников, на 40% сумеют те предприятия, кто сможет эффективно объединить генеративный ИИ с программами формирования безопасной культуры и поведения (security behavior and culture programs, SBCP).

Сегодня первый шаг к этому уже сделан: на российском рынке уже есть решения, которые эффективно и качественно осуществляют поведенческий анализ и если пойти дальше, пересмотреть акценты, расширить ассортимент используемого для погружения в тему ИБ контента, использовать не только стремительно устаревающие курсы, но и другие аудио-визуальные решения, каналы коммуникаций и эффективное взаимодействия между различными функциями в компании – тогда можно сдвинуть с мертвой точки 18-летний status quo, мешающий компаниям эффективно решать проблемы человеческого фактора в кибербезопасности.

Сегодня организации уделяют все больше внимания персональному взаимодействию, которое становится важной составляющей SBCP. Ростелеком так же в бОльшей степени ориентирован на активное и максимально «человеческое» взаимодействие с работниками в вопросах кибербезопасности.

Территориальная распределенность, широта охвата, учет мировых тенденций – это ключевые параметры, которые являются определяющими при реализации мероприятий, направленных на формирование корпоративной культуры кибербезопасности в Ростелекоме.

Несколько простых рецептов, как превратить раздраженных пользователей в преданных адептов киберебезопасности:

  1. Сделайте тему кибербезопасности «вкусной и полезной» для всех без исключения, рассказывайте то, что сотрудникам полезно знать не только на работе, но и в личной жизни, давайте те знания, которыми можно поделиться с родными и близкими.
  2. Интегрируйте тему кибербеза в корпоративную жизнь: находите интересные новостные поводы, общайтесь с сотрудниками через максимальное количество информационных каналов: в почте, в блогах, в новостных и информационных чатах, через хранители экранов на компьютерах, будьте в тесном сотрудничестве с HR-подразделением, придайте кибербезу «человеческое лицо»:)
  3. Будьте всегда в диалоге с пользователями, даже если они пришли к вам раздраженные и недовольные. Вы – продавец, пользователь – покупатель. Продайте ему кибергигиену так, чтобы у него не возникало сомнений в том, что она ему жизненно необходима!
  4. Создавайте традиции. В Ростелекоме есть замечательная традиция: каждый год в ноябре в честь Международного дня защиты информации мы проводим Месяц кибербезопасности. Это конкурсы, викторины, квесты, CTF, душевные интервью с ребятами из Блока ИБ, киберучения, скринсейверы. Все активности реализуются в тандеме с блоком внутренних коммуникаций. Количество заинтересованных участников ежегодно растет в геометрической прогрессии.

Основные принципы, которых мы придерживаемся:

  • Человекоцентричность – в центре процесса находится человек со своими ценностями, потребностями и приоритетами.
  • SACBT-решения как источники анализа человеческих киберрисков путем сбора поведенческих данных из нескольких организационных систем.
  • Лучшие практики LMS/LXP платформ, учитывающих путь пользователя и наполненных вовлекающим, актуальным контентом.
  • Генеративный ИИ в части подготовки гиперперсонализированного контента и учебных материалов, учитывающих уникальные качества сотрудника.
  • Амбассадор кибербеза – отдельно выделенный специалист (сейчас по статистике в 80% случаев для повышения осведомленности выделяется менее одного штатного сотрудника), занимающийся исключительно вопросами формирования корпоративной культуры кибербезопасности в компании, тесно взаимодействующий с функциями HR (внутренние коммуникации, обучение и развитие персонала) и маркетинга, активно транслирующий ценности корпоративной культуры кибербезопасности для сотрудников компании.

Сейчас во многих компаниях подразделение информационной безопасности больше похоже на кабинет стоматолога: все знают, что туда надо ходить и чтоб «зубы не болели», надо соблюдать определенные правила кибергигиены. Но правила соблюдают не все, и к «стоматологу» бегут тогда, когда уже очень сильно болит.

В Ростелекоме мы стараемся изменить эту привычку и предпринимаем определенные усилия, чтобы сотрудники относились к команде информационной безопасности как к терапевту: можно к нам прийти, пожаловаться на всё, что «болит»,получить направления к другим специалистам, рецепт на «лекарства». Ведь кибербез в терапевтических дозах — это очень полезно и эффективно.

Автор: Марина Копрусова, начальник отдела повышения осведомленности, Блок информационной безопасности «Ростелекома».

Ростелеком
Автор: Ростелеком
ПАО «Ростелеком» — российская телекоммуникационная компания, предоставляющая услуги связи, цифровые услуги и сервисы населению и другим организациям.
Комментарии: