Разработка мероприятий по повышению осведомленности сотрудников в ИБ

Сотрудник, не распознавший фишинговое письмо, может нанести организации больший ущерб, чем самый изощренный хакер. Но повышать осведомленность персонала в вопросах ИБ уже недостаточно – ее нужно встроить в культуру компании. Это не формальная рассылка памяток, а системная работа с конкретными рисками, сценариями и поведенческими паттернами.

Автор: Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности

Высокотехнологичные системы защиты, надежные сетевые периметры и передовые средства обнаружения атак составляют лишь часть от общей оборонительной стратегии организации. Ключевым и зачастую наиболее уязвимым звеном в этой цепи остается человек – сотрудник. Именно человеческий фактор, будь то неосторожность, незнание или ошибка, служит причиной большинства успешных компьютерных атак, включая те, что используют методы социальной инженерии и возможности искусственного интеллекта.

Актуальная статистика подтверждает эти тезисы. Так, по данным отчета Positive Technologies "Актуальные киберугрозы: III квартал 2024 г."1, социальная инженерия по-прежнему является наиболее популярным методом для атак на организации (50%) и частных лиц (92%). Кроме того, в исследовании компании "Астерит"2 за февраль–ноябрь 2024 г. указывается, что инсайдерские действия (41%) входят в четверку самых опасных способов кибератак, а фишинг (42%) и ошибки персонала (22%) являются наиболее распространенными киберугрозами, с которыми сталкивались респонденты. Более того, 78% опрошенных сталкивались с инцидентами, связанными с ошибками персонала. Эти цифры убедительно демонстрируют, что, несмотря на инвестиции в технические средства защиты, без повышения осведомленности персонала организации остаются крайне уязвимыми.

Таким образом, повышение осведомленности в ИБ в настоящее время трансформировалось из второстепенной задачи в одну из основных. Я уже рассматривал подходы к решению этой задачи в одной из предыдущих статей (см. журнал "Information Security/ Информационная безопасность" № 1, 2023. С.32–33), где охарактеризовал мероприятия по повышению осведомленности, которые применяю в своей практике. Схематично перечень мероприятий можно представить в виде майндкарты на рис. 1.

Рис. 1. Система мероприятий по повышению осведомленности сотрудников в вопросах ИБ

Разработка системы мероприятий по повышению осведомленности в ИБ – это не набор случайных тренингов, а процесс, требующий системного подхода. Любая эффективная программа начинается с детального понимания текущего состояния и потребностей. Иными словами, необходимо провести своего рода внутренний аудит (он не должен быть формальным, как привычные для понимания аудиты). В рамках аудита оцениваются:

1. Существующие политики и процедуры ИБ: внутренние документы, регламентирующие работу с информацией, доступом, инцидентами и т.д. Насколько они актуальны, понятны и применимы?
2. Пробелы в знаниях и поведении работников (пользователей). Изучение отчетов об инцидентах ИБ, связанных с человеческим фактором: какие ошибки сотрудники совершают чаще всего; какие подразделения наиболее уязвимы. Анализ результатов предыдущих симуляций, например антифишинговых тренировок.
3. Определение специфических рисков. Каждая организация уникальна. Для финансовой компании это могут быть угрозы мошенничества, для производственной – нарушение работы автоматизированных систем управления, для медицинской – утечки персональных данных и т.п. Мероприятия должны быть адаптированы под специфические угрозы и контекст деятельности организации.
4. Определение целевых групп. Не все сотрудники нуждаются в одном и том же обучении. Программа должна быть дифференцирована по группам. Для менеджмента – осведомленность о стратегических рисках, комплаенсе, реагировании на кризисные ситуации. Для рядовых сотрудников: основы кибергигиены, распознавание фишинга, безопасное использование почты и интернета. Для ИТ-специалистов: глубокие знания о технических угрозах, безопасной разработке, администрировании. Для новых сотрудников: введение в корпоративные политики ИБ с момента прихода в организацию.

Следующим этапом будет являться разработка содержания мероприятий по повышению осведомленности: создание курсов, сценариев киберучений, антифишинговых тренировок.

В рамках данного этапа обратим внимание на то, с помощью чего можно быстро и эффективно реализовать разработку мероприятий по повышению осведомленности. Речь идет о таком мощном помощнике в создании динамичного и увлекательного контента, как сервисы (модели) искусственного интеллекта. Как конкретно ИИ может помочь?

1. Разработка курсов по ИБ:

• Разработка содержания курса с учетом специфики аудитории и/или деятельности организации.
• Разработка программ и сценариев внутренних мероприятий по ИБ: митапы, деловые игры, мини конференции и т.п.
• Генерация видеоинструкций – использование ИИ для создания коротких, динамичных видеороликов с использованием анимированных персонажей или говорящих аватаров.
• Персонализированные аудиоподкасты – ИИ может адаптировать аудио-контент, включая примеры, истории и даже интонации голоса, под предпочтения и уровень подготовки слушателя, делая обучение более релевантным.
• Быстрое создание инфографики и визуализаций – ИИ-модели могут мгновенно создавать привлекательные и понятные инфографики, диаграммы, иконки и иллюстрации. Это значительно сокращает время и ресурсы на создание визуальных материалов.

2. Интерактивные форматы, усиленные ИИ:

• ИИ-генерируемые фишинговые симуляции. Это один из наиболее мощных инструментов. Собственно, как вам наверняка известно, злоумышленники широко используют ИИ для генерации фишинговых писем, так почему бы не использовать этот инструмент и в рамках тренировок. ИИ, в частности большие языковые модели, могут генерировать реалистичные, персонализированные фишинговые письма и сценарии социальной инженерии. Они могут имитировать внутренние корпоративные письма (например, от HR, ИТ-отдела, бухгалтерии), учитывать последние новости компании или даже использовать данные из открытых источников для создания максимально убедительного контекста.
• Симуляция фишинга с использованием дипфейка руководителя, требующего срочных действий, позволит сотрудникам на практике увидеть и понять, насколько убедительными могут быть подобные угрозы.
• Сценарии для командно-штабных учений. Большие языковые модели могут создавать сложные и многоступенчатые описания сценариев атак, имитирующие действия реальных хакерских групп, с учетом специфики организации (по описанию).
• Чат-боты на базе больших языковых моделей могут предоставить сотрудникам безопасную песочницу для практики. Например, сотрудник может потренироваться отвечать на подозрительный звонок или электронное письмо, а чат-бот, имитируя злоумышленника, будет вести диалог, пытаясь манипулировать. Чат-боты могут выступать в качестве виртуальных экспертов по ИБ. Сотрудники могут задавать им вопросы 24/7 (например, "Как распознать фишинг?", "Что делать, если я потерял корпоративный ноутбук?" и т.п.), получая мгновенные и точные ответы, соответствующие корпоративным политикам. Это значительно снижает нагрузку на команду ИБ и повышает оперативность получения информации сотрудниками. Однако наиболее распространенным применением чат-ботов в настоящее время является процесс адаптации нового работника (онбординг). Чат-боты могут выступать в роли интерактивных помощников, отвечая на вопросы новичков по ИБ, корпоративным политикам и процедурам, связанным с безопасностью данных и систем.

Разработка контента – это полдела. Важно обеспечить его эффективную доставку и поддержание постоянного интереса сотрудников.

Эффективность программы осведомленности определяется не только качеством ее разработки, но и тем, насколько успешно она внедряется и поддерживается в динамично меняющейся среде.

В рамках этапа внедрения мероприятий обратим внимание на следующие моменты:

1. Проведение пилотных запусков – прежде чем масштабировать программу на всю организацию, рекомендуется провести пилотный запуск для небольшой группы сотрудников. Это позволит собрать первичную обратную связь и внести необходимые коррективы до полномасштабного внедрения.
2. Полномасштабное внедрение – после успешного пилота программа масштабируется на всех целевых сотрудников.
3. Обеспечение регулярности и постоянства. Осведомленность – это не однократный проект, а непрерывный процесс. Необходимо разработать график регулярных напоминаний, обновлений контента и повторных обучений. Угрозы и обстановка постоянно меняются, и знания сотрудников должны обновляться соответствующим образом.
4. Интеграция в онбординг. Вопросы ИБ должны быть включены в процесс адаптации новых сотрудников с первого дня их работы. Это формирует правильное понимание значимости ИБ с самого начала.

Итак, мероприятия разработаны и внедрены – что дальше? Как и в классическом PDCA, необходим контроль и оценка их эффективности. С помощью каких метрик это можно делать?

1. Количественные метрики:

• Прохождение курсов и результаты тестов – базовые показатели, показывающие, сколько сотрудников прошли обучение и насколько хорошо они усвоили материал.
• Снижение количества успешных фишинговых атак – одна из ключевых метрик. Регулярные тренировочные фишинговые кампании позволяют отслеживать динамику. Снижение этих показателей – прямой индикатор повышения осведомленности.
• Число зафиксированных инцидентов ИБ, связанных с человеческим фактором. Анализ инцидентов до и после внедрения программы позволяет оценить ее влияние на реальные риски.
• Время реакции на инциденты. Насколько быстро сотрудники сообщают о подозрительных активностях?
• Соблюдение политик ИБ. Например, соблюдение политик паролей, корректная классификация документов.

2. Качественные метрики:

• Опросы удовлетворенности путем заполнения анкеты на внутреннем портале (или по электронной почте). При этом следует учитывать, что всегда имеются определенные работники, которые выступают с неконструктивной критикой.
• Анализ изменений в повседневном поведении. Этот показатель сложнее измерим, но крайне важен. Наблюдение за изменениями в привычках (например, блокировка экрана при отходе от рабочего места, более осторожное обращение с внешними накопителями) может подтвердить успех программы.

На основе собранных данных необходимо проводить регулярный анализ (не менее раза в год), выявлять области, требующие улучшения, и доносить эти результаты до всех заинтересованных сторон. Отчеты должны быть прозрачными и демонстрировать ценность программы как для бизнес-подразделений, так и для высшего руководства.

Программа повышения осведомленности не может быть статичной. Она должна постоянно адаптироваться к изменяющемуся ландшафту угроз, новым технологиям, изменениям в организационной структуре и, конечно, на основе полученной обратной связи и результатов оценки.

1. https://ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-iii-kvartal-2024-goda/  
2. https://ict.moscow/analytics/kiberugrozy-i-intsidenty-ib-v-organizatsiiakh-rf-v-2024-godu/