Наталья Воеводина: персональной киберустойчивости каждого можно достичь через кибербезопасность бизнеса
Изображение: recraft
Государство и бизнес вкладывают сотни миллиардов рублей в защиту граждан в киберпространстве. Наталья Воеводина, генеральный директор АО «Кибериспытание», считает, что достичь высокого уровня индивидуальной защищенности можно через развитие прогрессивных практик информационной безопасности в бизнесе. Таким мнением она поделилась в рамках форума «Финансы цифровой эпохи».
Новости о новых жертвах интернет-мошенников ежедневно наполняют новостную ленту — с помощью социальной инженерии киберпреступники выманивают у своих жертв деньги, уговаривают взять на себя кредиты или совершить деструктивные действия. Страдает и бизнес, поскольку фишинг остается одним из самых распространенных и эффективных способов получения доступа к инфраструктуре компании.
По словам Натальи Воеводиной, концепция новой архитектуры кибербезопасности строится по модели трех линий защиты. Первая и главная — это сотрудники компании, непосредственно исполняющие бизнес-процессы. Вторая линия — специалисты риск-менеджмента или комплаенса, которые разрабатывают правила и постоянно наблюдают за аномальными отклонениями деятельности первой линии. Третья линия — внутренний аудит.
«Этот подход не будет работать эффективно, если первая линия не осознает, что именно она первая линия защиты от рисков, и полагается на контролирующие подразделения, — подчеркнула Наталья в ходе выступления. — На векторе атаке всегда человек с первой линии. В рамках наших Кибериспытаний, например, был кейс, когда исследователи смогли убедить техподдержку отключить двухфакторную аутентификацию. Что в итоге и привело к успешному развитию атаки. Поэтому соблюдение базовых мер ИБ должно стать привычкой для любого пользователя. Перекладывание ответственности, например, на компанию или службу ИБ — это инфантильная позиция.
Так, сотрудник, пренебрегающий парольной политикой или двухфакторной аутентификацией, может быть более опасен для компании, чем техническая уязвимость. Поэтому компаниям следует развивать осведомленность сотрудников в вопросе цифровой гигиены и проводить регулярные киберучения с участием операционного персонала», — комментирует Наталья Воеводина.
О необходимости регулярных киберучений, направленных не только на технические атаки, но и на применение социальной инженерии, повышение осведомленности сотрудников, говорится и в отчете ФинЦЕРТа. Концепция регулярных и всеобъемлющих киберучений полностью соответствует и концепции проведения Кибериспытания.
В условиях ограниченности ресурсов важно вести работу не только на уровне уязвимостей, но и на уровне полноценных векторов атаки, которые могут привести к критическим последствиям для бизнеса — недопустимым событиям. Такой подход позволяет бизнесу понимать реальный уровень защищенности, развивать не только технические аспекты ИБ, но и держать на высоком уровне готовности своих сотрудников, от линейного менеджера, до профильной команды реагирования на инциденты, и даже СЕО.
Сотрудники с высоким уровнем цифровой грамотности экстраполируют свой рабочий опыт не только на свое нерабочее время, но и на ближний круг — семью, друзей. Это способствует повышению уровня цифровой зрелости всего населения, в чем заинтересованы и бизнес, и государство, и общество.
