С ростом числа сливов данных и кибератак растет и количество программ для защиты бизнес-информации. У цифровых инструментов множество функций и преимуществ, однако на нелегальных форумах до сих пор можно купить номера паспортов и коды пластиковых карт клиентов разных компаний, в том числе и ведущих банков. Возможно, причина краж в том, что собственники бизнеса недооценивают другой инструмент — создание культуры кибербезопасности. Как работать с персоналом, чтобы сотрудники превратились из потенциальных шпионов в защитников?
Российские предприниматели часто недооценивают важность лояльности персонала в сфере информационной безопасности. Однако по данным ноябрьского отчета EY, 88% утечек данных пользователей в нашей стране происходит по вине сотрудников, тогда как в мире этот показатель равен 56%.
Сегодня все больше западных компаний практикуют комплексный подход к обеспечению защиты. Они не ограничиваются установкой специальных программ или запретом на использование внешних носителей — эти организации создают объемную культуру безопасности, включающую в себя целый ряд мер по охране данных. Эта политика органично встроена в корпоративную культуру и обязательно содержит эмоциональную составляющую, которая повышает интерес сотрудников к теме киберзащиты, а значит, их лояльность.
Еще в 2016 году 58% компаний по всему миру имели стратегию безопасности, 52% внедрили собственные стандарты для взаимодействия со сторонними организациями и 49% провели оценку угроз безопасности. При этом расходы бизнеса на создание заслона от кибератак стабильно растут: по прогнозу Juniper Research, они будут увеличиваться в среднем на 9% в год. Но киберпреступность растет быстрее: по данным глобального исследования Accenture, за последние пять лет количество нарушений увеличилось на 67%. Это означает, что защита данных еще долго будет перспективным направлением деятельности — как для существующих организаций, так и в контексте создания нового бизнеса.
Пока культуру безопасности активно внедряют в основном крупные производственные, транспортные, телекоммуникационные и финансовые компании, но статистика говорит, что небольшим организациям стоит как можно скорее последовать их примеру: 43% мировых кибератак нацелены на малый бизнес.
Первый шаг к построению эффективной культуры безопасности — понимание основных причин причин утечек данных. Их всего три. Первая — ошибки в обращении с информацией: многие сотрудники просто не знают правил и обязанностей по сохранению коммерческой тайны. Вторая причина — желание заработать на продаже данных конкурентам (или заказчикам на теневых форумах). Третья — обида на работодателя из-за плохих условий труда, низкой зарплаты, отсутствия повышения и других факторов.
Все эти причины возникают из-за несовершенства корпоративной культуры компании и отсутствие в ней блока, посвященного кибербезопасности. Безусловно, формирование среды, благоприятной для сохранения данных, требует серьезных усилий и трат. Но эти действия окупятся, ведь ваши сотрудники из потенциальных шпионов превратятся в грамотных защитников.
Чтобы создать эффективную культуру кибербезопасности, компания должна пройти всего 5 шагов — а затем повторять этот путь снова и снова, чтобы система работала без перебоев.
Реальное участие руководства в обеспечении безопасности
Одного решения генерального директора мало, чтобы сделать среду безопасной: необходимо выделить бюджет, назначить ответственных, открыто сообщать о поддержке проекта и даже подавать личный пример. Сринивас Вемула, технический консультант SenecaGlobal, признался, что добился положительных результатов, только когда топ-менеджеры начали активно участвовать в процессе изучения угроз и снижения рисков. В качестве примера он привел упражнение, в котором руководители разделились на две команды: одна проводила DOS-атаку на сервер, а другая подробно описывала, как компания будет отражать ее. Такие необычные тренировки помогают не только включить топ-менеджеров в процесс создания культуры кибербезопасности, но и выявить «слепые зоны» организации.
Внедрение политики по безопасности данных
Правила использования и защиты конфиденциальной информации должны знать абсолютно все сотрудники компании — от генерального директора до курьера. Для начала нужно ввести режим коммерческой тайны в соответствие с Федеральным законом №98: создать перечень сведений, которые к ней относятся, разработать положение по работе с ними и пометить все носители (даже цифровые) соответствующим грифом. При этом очень важно изложить принципы понятным языком. После этого все сотрудники должны внимательно изучить положение и подписать документ о неразглашении данных, содержащий в том числе и суммы штрафов за нарушения.
При этом многие компании руководствуются принципом “доверяй, но проверяй”, используя технологии, которые позволяют вычислить конкретного нарушителя. Например, в случае утечки конфиденциальных данных поймать ее виновника помогает ILD-система (Information Leak Detection — обнаружение утечки информации). При открытии или отправке документа с важной информацией на печать система автоматически подменяет оригинал его уникальной копией. Таким образом, у каждого сотрудника своя версия документа. Она ничем не отличается от оригинала, но если сотрудник по ошибке или умышленно сольет данные в сеть, система определит, для кого этот документ был сгенерирован. Для поимки виновника необходимо всего лишь загрузить в систему небольшой фрагмент изображения, слитого документа. Когда сотрудники осведомлены о причинах “слива” чувствительной информации и знают, что в случае утечки они будут определены, риск утечек значительно снижается.
Регулярное обучение персонала правилам кибербезопасности
Одного прочтения правил безопасности недостаточно: информирование должно быть постоянным. Многие западные компании создают обучающие курсы по защите данных: занятия проходят как в кабинетах, так и онлайн. Однако нужно соблюдать три ключевых правила. Во-первых, тренинги должны быть адаптированы к разным должностям (например, сотрудникам, не имеющим доступ к клиентской базе, незачем знать правила работы с ней). Во-вторых, методические указания должны обновляться как минимум раз в год, ведь угрозы постоянно совершенствуются. И в-третьих, посещение тренингов должно быть обязательным условием работы в компании.
Но чтобы обучение было действительно эффективным, оно должны быть интересным. Вместо привычных презентаций в PowerPoint и тестовых заданий можно использовать видеотренинги и ролевые игры, в ходе которых сотрудники решают определенные проблемы, руководствуясь положениями документов о защите данных. Например, Саманта Дэвисон, менеджер по безопасности Uber, рассказала о том, что компания активно использует геймификацию — один из тренингов провели по мотивам «Игры престолов».
При написании сценариев лучше сосредоточиться на двух-трех основных ИТ-рисках, с которыми сталкивается именно ваш бизнес. Можно даже использовать реальные случаи нарушений, рассказывая о наказаниях, которые понесли сотрудники (но не раскрывая имен). Также есть смысл время от времени проводить учебную тревогу: искусственно создавать фишинговые атаки, чтобы определять людей, не умеющих отличать вредоносные электронные письма, и обучать их правильной реакции.
Организация таких мероприятий может показаться слишком затратным и трудоемким делом, но это действительно важный шаг в направлении создания безопасной среды. Согласно отчету Netwrix по ИТ-рискам за 2017 год, 37% респондентов назвали недостаточную подготовку персонала одним из основных препятствий при реализации эффективной стратегии защиты данных.
Регулярная проверка знаний сотрудников
Обучение должно подкрепляться мониторингом знаний — обычно достаточно проводить короткие тестирования каждые 3–6 месяцев. По итогам этих экзаменов стоит поощрять «отличников». К примеру, компания Talking Rain вручает награды тем, кто дает 100% правильных ответов. Это позволяет повысить вовлеченность сотрудников в процесс развития культуры безопасности и сформировать команду людей, умеющих справляться с кибератаками и предотвращать утечки информации.
Внедрение кибербезопасности в повестку дня компании
Культура безопасности будет максимально эффективной только тогда, когда защита данных станет чем-то обыденным. Для этого нужно постоянно напоминать сотрудникам о правилах и мерах предотвращения угроз — и делать это в доступной форме. Можно использовать информационные бюллетени, плакаты, тематические заставки для рабочего стола и другие носители. К примеру, компания Talking Rain из Сиэтла даже размещает вкладыши с информацией о собственной программе безопасности в ящиках на дверях уборной.
Когда защита данных станет частью повестки дня, сотрудники сами начнут сообщать не только о серьезных инцидентах, но и о подозрительных вещах. Для этого нужно предоставить им возможность напрямую обращаться в ИТ-отдел, а также публично благодарить их за предотвращение угроз. Привлекая весь персонал к работе по обнаружению слабых мест, компания сможет быстрее и эффективнее снизить риски.
Важно помнить, что люди, а не программы, создают угрозы безопасности данных, а значит именно люди — первая и самая важная линия защиты корпоративной информации. Поэтому создание и развитие культуры безопасности должно идти рука об руку с внедрением программных способов защиты: такой комплексный подход будет способствовать динамичному росту и укреплению компании.