Top.Mail.Ru
Колонки

Всегда ли виноват «Вася», или мифы о человеческом факторе в информационной безопасности

Колонки
Станислав Карпович
Станислав Карпович

Менеджер по развитию бизнеса департамента «Киберполигон» ГК «Солар»

Елизавета Шатохина

От утечек конфиденциальных данных до масштабных хакерских атак — во многих инцидентах виноватыми оказываются инсайдеры, которые используют свои служебные полномочия для нанесения вреда работодателям. Виновных, как правило, находят и наказывают. Но всегда ли в таких делах вопрос вины однозначен?

При расследовании инцидентов нередко упускаются из виду факторы, которые могли повлиять на поведение сотрудника и в итоге спровоцировать его на противоправные действия. И что самое главное, эти факторы, как правило, кроются внутри организаций: в системе найма, контроля и мотивации персонала. 

Станислав Карпович, менеджер по развитию бизнеса департамента «Киберполигон» ГК «Солар», рушит устоявшиеся мифы, связанные с киберинцидентами.

Всегда ли виноват «Вася», или мифы о человеческом факторе в информационной безопасности
  1. Колонки

 Содержание:

 

Миф первый: «железо» не так важно, как люди

По итогам 2023 года, общая сумма ущерба от инцидентов, связанных с нарушениями информационной безопасности, составил около 156 млрд рублей. Фактор внутреннего нарушителя превалирует в инцидентах, связанных с утечками информации из-за умышленных действий инсайдеров. 

Как показывают расследования киберинцидентов, во многих организациях отсутствует мониторинг активности своих работников, что позволяет инсайдерам годами красть данные, не опасаясь разоблачения. 

Средний ущерб от одной утечки информации для российских организаций в 2023 году составил около 5,5 млн рублей, а таких инцидентов может быть несколько в течение года.

Чтобы снизить подобные риски, разработаны классы решений информационной безопасности:

  • DLP-системы, которые предотвращают риски утечек данных;
  • решения класса IdM для управления учетными записями и правами доступа;
  • PAM-системы для контроля привилегированных пользователей.

Эти решения снижают риски по вине внутренних злоумышленников, но не способны противостоять методам социальной инженерии, которым подвержен обычный человек.

Когда слабое «звено» поддается на уловки хакеров, виновным объявляют именно его. Хотя первопричина лежит глубже — недостаточный уровень киберграмотности сотрудников компаний и невысокий уровень инвестиций в программы Security Awareness и подготовку команд киберзащиты. 

Вопрос не в том, смогут ли киберпреступники склонить на «темную» сторону сотрудника. Скорее всего, смогут. Вопрос в количестве ресурсов, которые для этого потребуются, и объеме потенциального ущерба, который они причинят.

Компании легко выделяют миллиардные бюджеты на «железо» и софт, но избегают систематического подхода к развитию навыков своих сотрудников. И специальных автоматизированных решений, которые помогли бы решить проблему, к сожалению, на рынке практически нет.


По теме. Прячем, шифруем и маркируем: как разработчики защищают свои языковые модели от кражи


 

Миф второй: «мы всех тщательно проверяем»

Недавний кейс американской компании KnowBe4, которая случайно наняла хакера из Северной Кореи, показателен. «Кандидат» успешно прошел четыре этапа собеседований по видеосвязи, не вызвав подозрений ни на одном из них. 

В первый же день, получив рабочий Mac, новый сотрудник начал загружать вредоносное ПО. Эту манипуляцию пресек оперативный центр информационной безопасности (SOC). 

Как показало дальнейшее расследование, «сотрудник» физически находился в Северной Корее и подключился к рабочему устройству через «ферму» ноутбуков, используя виртуальную частную сеть.

Кейс подобного масштаба — это редкость. Но в целом процесс найма остается одним из наиболее узких мест. Стремясь закрыть вакансии как можно быстрее, HR-службы порой пренебрегают тщательной проверкой биографии и послужного списка кандидатов. 

В результате на ключевые позиции могут выйти люди с компрометирующим прошлым, которые впоследствии становятся причиной серьезных инцидентов.

В ближайшее время кризис на рынке труда будет только нарастать. Уже сейчас мы наблюдаем тенденцию «оффер за один день» с мотивацией: «если мы не вышлем предложение, то его вышлют другие, а эта позиция у нас не закрыта уже полгода».

Поэтому вряд ли проверка в актуальном формате останется эффективным барьером для ненадежных кандидатов.

 

Миф третий: всегда виноват «стрелочник»

Нельзя сбрасывать со счетов и личные мотивы инсайдеров — от финансовых затруднений до мести работодателю. Одним из мотивов может быть и банальное выгорание, неудовлетворенность текущими задачами, атмосферой в компании, личные конфликты с сотрудниками на схожих позициях или топ-менеджментом.

Например, трое бывших сотрудников Министерства внутренней безопасности США похитили ПДн сотен тысяч госслужащих. Мурали Венката, Чарльз Эдвардс и Сонал Патель осуждены за сговор с целью кражи. 

Согласно данным следствия, под угрозу попали данные более 200 тыс. человек. Кроме того, преступники собирались разработать свою коммерческую систему, чтобы продать её обратно федералам. Для этого они похитили государственное ПО.

Однако и здесь вопрос заключается в том, почему сотрудники оказался в таком положении и почему организация не смогла вовремя его выявить и предотвратить? 

Есть способы, как снизить число таких инцидентов по вине сотрудника, но намного важнее, чтобы люди сами верно оценивали собственные риски и потенциальный урон от своих действий. 


По теме. Геймдев и безопасность: рекомендации по защите от хакерских атак


 

Миф четвертый: «наш ИБ-отдел неуязвим»

До 2022 года для оценки навыков кандидатов и сотрудников значимыми были системы международных сертификатов. После ухода международных сертификационных центров из России возможность практической проверки компетенций на подобном уровне не сложилась. 

Но даже система сертификации не давала понимания о том, какими актуальными знаниями и навыками обладает сотрудник, так как требования к квалификации постоянно растут и делают это нелинейно, а всплесками.

С 2020 года мы провели более 300 киберучений для 5000 сотрудников компаний и государственных организаций и можем выделить две тенденции, которые наблюдаем в профессиональном сообществе.

Во-первых, пришло понимание, что уровень компетенций «бумажных» ИБ-специалистов недостаточен для реагирования на инциденты. Во-вторых, приобретать опыт непосредственно во время инцидента — слишком дорого для компании, которая в моменте реагирует на кибератаку.

Можно привести аналогию с подготовкой пожарных, которые поддерживают свои навыки в ходе тренировок, чтобы в нужный момент сделать все правильно и быстро.

Еще один пример — это подготовка пилота гоночного болида, который отработает виражи на виртуальной трассе 100 раз, прежде чем сесть за руль в Монте-Карло. Аналогичная ситуация с экипажем самолета. Перед каждым вылетом он прорабатывает все возможные негативные сценарии.

В ИБ процесс развития компетенций должен стать такой же неотъемлемой частью рабочего процесса, как заполнение отчета о пилоте или отслеживание срока действия лицензий.

 

Миф пятый: обучением сотрудников должны заниматься сами сотрудники

Стремление HR и руководителей компаний привлечь готовых кандидатов, обладающих всеми компетенциями, понятно и логично. При этом команда киберзащиты, как и пилоты Формулы–1, должна регулярно участвовать в киберучениях, чтобы прокачивать навыки практического реагирования на атаки. Преступники постоянно совершенствуют тактики и техники взломов, значит, и ИБ-команде важно быть если не впереди, то наравне.

Для команд киберзащиты разрабатываются программы киберучений, которые проходят на платформах киберполигонов. В идеале лучше регулярно проводить командно-штабные тренировки по отработке различных инцидентов. А далее на основе метрик SLA определять, какие компетенции и каким сотрудникам важно прокачать.

Следующий шаг — составить план развития каждого сотрудника киберзащиты с подтверждением приобретаемых навыков или нанять Blue Team. Людей, от которых зависит успех в отражении кибератаки и минимизации ущерба, важно знать в лицо. Например, матрица компетенций — это наглядный способ понять, от какого типа и от какого уровня атак защищена компания и при каком сценарии шансов не будет.

Ни один профильный семинар не сделает из вашего ИБ-специалиста Нео из Матрицы. Только практика: отработка навыков по защите различных отраслевых инфраструктур и работа в команде. В определенной степени этот процесс потребует пересмотра стратегии подготовки кадров в информационной безопасности, поднимет на поверхность вопрос адаптации команды к форс-мажорам. В этом случае проблема «Васи» перестанет быть столь острой для российского бизнеса и госорганизаций.

Фото на обложке: aleks333 / Shutterstock

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Дипфейк-атаки на финансовый сектор выросли на 13%
  2. 2 Рейтинг российских антивирусов
  3. 3 С начала года Роскомнадзор заблокировал более 450 млн мошеннических звонков с подменных номеров
  4. 4 DDoS атака: что такое, как защититься и чем опасна
  5. 5 Минцифры создаст единую платформу против интернет-мошенничества за 6 млрд рублей