Міцність ланцюга визначається міцністю найслабшої ланки. І все більше компаній розуміють, що першим «фаєрволом» у системі безпеки будь-якої організації є людина. Незалежно від того, скільки рівнів захисту у вас встановлено, саме працівник є тим рубежем, який може впустити або не впустити хакера в інфраструктуру. Тому навички кібергігієни кожного працівника мають велике значення для ефективності системи інформаційної безпеки.
Це питання не є новим, але у 2020 році воно отримало якісно нове життя. Пандемія COVID-19 змусила весь світ навчитись працювати у віддаленому форматі, а це відкриває нові можливості для зловмисників, адже підключення до системи з домашньої мережі (яка апріорі є менш захищеною, ніж корпоративна) суттєво підвищує можливості для несанкціонованого доступу. Тож сьогодні розвиток кібергігієни має бути піднесено на рівень не факультативної, а системної роботи з працівниками. І це вже не одноразова вправа, а постійна підготовка до марафону.
Навчальна робота має стати перманентним процесом
Раніше компанія могла провести «якийсь тренінг з кібергігієни» для працівників, а могла і не провести. Зазвичай це рішення приймалось не ІТ-службами, а спеціалістами з навчання персоналу, причому нерідко за залишковим принципом. Натомість зараз організації, в першу чергу банки, бачать необхідність у тому, щоб ця навчальна робота була постійною, регулярною та багатовимірною. Мова йде не лише про передачу специфічних знань, а й про постійне нагадування і тестування рівня кібергігієни працівників.
Як правильно формувати підхід до кібергігієни у найближчі роки? Варто зважати на кілька особливостей.
По-перше, потрібно розуміти, що люди зазвичай не зацікавлені в проходженні такого навчання і сприймають його як чергову «зобов’язаловку». Адже це не професійний тренінг, який дозволяє співробітнику посилити професійні навички і тим самим підняти свою вартість на ринку. Але важливо дати працівнику зрозуміти, що це все одно підвищення професійної цінності кожного працівника. Адже високий рівень кібергігієни свідчить про те, що ти переймаєшся цими питаннями, а це важливо для успішності організації в цілому.
Друга особливість навчання з кібергігієни полягає в оцінці результатів. Після проходження тренінгу чи курсу працівники зазвичай проходять тест, що має певний прохідний бал. Якщо набрав, наприклад, менше 90% правильних відповідей – не здав, 90% або більше – здав. Але що це означає? Чи достатньо цих 90%, щоб не стати жертвою атаки? І що робити з 10% неправильних відповідей? Чи клюне працівник на фішингову атаку? Чи візьме зі столу незнайому флешку і вставить її в робочий комп’ютер?
У цьому аспекті важливо не те, «здав» чи «не здав» працівник тест. Необхідно оцінювати зони ризику кожної людини, щоб у подальшому працювати з її слабкими сторонами. У підсумку результати тесту повинні показати не тільки те, що людина знає про правила роботи з електронною поштою, соціальними мережами та інші технічні аспекти, не тільки розуміє в теорії, що таке фішинг, а й те, наскільки взагалі вона схильна до порушення усталених норм та політик, наскільки вона дисциплінована в питаннях інформаційної безпеки тощо.
Третя особливість – ефективність за часом. Оскільки це не професійне навчання, воно має бути настільки коротким, наскільки можливо. Оптимальний варіант – 45-60 хвилин тренінгу на онлайн-платформі раз на квартал.
Якщо уявити собі тренінг на півдня або цілий день, у якому бере участь тисяча осіб, то кожного з них ми відриваємо від основної роботи і втрачаємо тисячу людино-днів – і це лише безпосередні витрати. Тому ефективність за часом – це те, що буде відрізняти проекти з розвитку кібергігієни завтрашнього дня.
Як світовий, так і український досвід показує, що серед усіх організацій лідерами в питаннях інформаційної та кібербезпеки були та залишаються банки. Зазвичай саме вони першими застосовують щораз новіші технології, системи та підходи. Банки вже змінюють підхід до розвитку навичок кібергігієни співробітників. Іншим організаціям варто наслідувати їхній приклад.
Автор статті – керівник ISSP Training Center