16 января 2020 г.
Сегодня на повестке дня остро стоит вопрос нехватки специалистов в сфере кибербезопасности, и на это есть веские причины. Такая ситуация наблюдается по всему миру, что снижает безопасность как самих компьютерных сетей, так и тех, кто от этих сетей зависит, то есть практически всех. Ситуацию усугубляет и то, что человеческий фактор по-прежнему остается самым слабым звеном в корпоративной стратегии кибербезопасности. Как правило, за безопасность компьютерных сетей на предприятии отвечает лишь небольшое число специалистов, при этом остальные сотрудники в целом не обладают достаточным пониманием существующих в этой области проблем и нередко совершают какие-то элементарные ошибки, что лишь повышает шансы киберпреступников на успех.
Очевидно, что сегодня сотрудников необходимо планомерно обучать основам кибербезопасности — это позволит им лучше понимать проблемы защиты системы компании и не совершать ошибок. Сложность заключается в том, что в нашем динамичном мире, когда у коллектива и без того немало работы, довольно трудно оторваться от повседневных задач и найти время на то, чтобы принять участие в очных или онлайн-программах обучения, которые зачастую бывают весьма продолжительными. Таким образом, организациям нужна новая парадигма обучения, которая бы позволяла доносить соответствующий контент до сотрудников без ущерба для бизнеса.
Преимущества нетрадиционных методов обучения
В традиционном понимании процесс обучения предполагает нахождение сотрудников в классе в течение нескольких часов или дней с инструктором или ментором. Или работа за компьютерами, где каждый сотрудник последовательно проходит различные модули учебного курса для самостоятельного обучения. Хотя эти методы обучения могут быть весьма эффективными, за последние несколько лет подходы к образованию значительно изменились.
Существует множество нетрадиционных форм обучения, которые, тем не менее, оказались весьма эффективными и способными решить те проблемы, с которыми сталкиваются CISO в своем стремлении повысить подготовку персонала предприятия в сфере информационной безопасности. Многие из таких подходов допускают, что сотрудники будут в значительно меньшей степени отвлекаться от своей работы (а в ряде случаев и вовсе не отрываться собственных задач). Таким образом они по сути трансформируют весь учебный процесс, превращая его из неких отдельных, разрозненных событий, когда учащийся потребляет учебный контент, в целую культуру непрерывного образования, где сотрудники являются «активными участниками» более неформального социального процесса обучения, основанного на интересах.
У нетрадиционных методов обучения существует целый ряд научно доказанных преимуществ, например, они обеспечивают снижение когнитивной нагрузки, благодаря чему учащиеся чувствуют себя более заинтересованными и лучше усваивают информацию. В этой заметке я не буду детально изучать этот аспект, только отмечу, что подтверждение данного факта можно с легкостью найти в интернете. Можно привести следующие варианты нетрадиционных методов обучения:
Использование памяток:
Как уже упоминалось выше, процесс обучения далеко не всегда требует нахождения сотрудников в классе. Нередко учащимся приходится выполнять задачи, непохожие на те, с которыми они обычно сталкиваются в своей повседневной практике, и зачастую подобная работа может оказаться весьма сложной. Во многих случаях значительно повысить эффективность обучения можно за счет использования инструкций или памяток по выполнению тех или иных операций. В качестве примера можно привести ситуацию, когда сотрудник получает по электронной почте письмо, которое может содержать вредоносный код. Вместо того, чтобы перечитывать толстый учебник или пытаться вспомнить конкретные признаки электронных писем с вредоносным кодом, которые обсуждались на предыдущем занятии, человек может воспользоваться памяткой. Она может быть выполнена, например, в виде обычного двухстороннего ламинированного листа, на одной стороне которого будут представлены признаки различных вредоносных электронных писем, а на другой — простые блок-схемы с инструкциями того, что делать. По сути, это обучение по принципу «как раз вовремя», которое вскоре станет для сотрудников самым обыденным делом.
Микрообучение:
Микрообучение — это общая концепция, в рамках которой обучение осуществляется сравнительно небольшими дозами, когда это уместно. Знания, умения и навыки при микрообучении могут передаваться учащимся самыми различными способами, например, с помощью современных систем управления обучением (learning management systems, LMS). Кроме того, это могут быть менее формальные средства, например, викторины, интегрированные в новостную рассылку или в другие неформальные мероприятия. Микрообучение — это новая, набирающая силу тенденция, которая отвечает особым потребностям современных динамичных организаций и их сотрудников. Хотя микрообучение является общей концепцией, которая применяется ко многим методикам обучения, лучше всего она подходит для обучения каким-то отдельным навыкам, например, навыкам в области кибербезопасности. С учетом стремительно меняющегося ландшафта киберугроз, микрообучение может проводиться регулярно, что позволит познакомить сотрудников с актуальными проблемами безопасности, развить у них необходимые навыки и за счет этого повысить общий уровень безопасности в компании.
Обучение через игру:
Геймификация — это прием, при котором в учебном процессе используются подходы, характерные для компьютерных игр. Цель геймификации — вовлечь обучающихся в учебный процесс с помощью заданий развлекательного характера, а в некоторых случаях — сформировать конкурентную и/или социальную среду. Набирая очки, повышая свой статус и поднимаясь по таблице лидеров или с помощью других игровых приемов пользователи получают дополнительный стимул продолжать обучение. Геймификация обучения может быть реализована самыми различными способами и в самой разной степени. Это может быть просто начисление очков по мере участия пользователей в программах микрообучения, либо более сложные очные соревнования. Для повышения осведомленности сотрудников о проблемах информационной безопасности, геймификацию обучения можно проводить с участием специалистов по кибербезопасности, которые могли бы имитировать фишинговые атаки, при этом сотрудники, сумевшие не попасться в ловушку и назвать различные признаки угрозы, получают за это дополнительные очки.
Цифровые фишки:
Выдача цифровых фишек или беджей свидетельствует о выполнении поставленной задачи, получении необходимого навыка или о том, что их владелец соответствует каким-либо требованиям. Хотя само по себе использование цифровых фишек не является методом обучения, они могут послужить великолепным мотивационным инструментом и способствовать вовлечению сотрудников в учебный процесс путем признания их достижений. Такой инструмент может использоваться в качестве механизма информирования участников сообщества о статусе коллег. Фактически цифровые беджи быстро становятся альтернативой традиционным техническим сертификатам, для получения которых нередко требуется потратить немало времени и средств. В 2011 году университет Peer 2 Peer University и фонд The Mozilla Foundation инициировали проект «An Open Badge System Framework». Это послужило одним из факторов развития целой сети открытых систем цифровых беджей, которые позволяют пользователям делиться с коллегами, контролирующими органами и потенциальными работодателями информацией о своих достижениях. Подобная система может быть отличным инструментом оценки навыков и знаний потенциальных сотрудников перед их наймом для CISO и HR-отделов компаний. Кроме того, она может стать хорошей основой для простой оценки общего уровня осведомленности сотрудников компании о проблемах кибербезопасности и составления соответствующих отчетов.
Кампании, нацеленные на повышение уровня осведомленности:
Пусть и не столь технологичный, как геймификация или использование цифровых беджей, один из зачастую недооцененных методов обучения заключается в проведении информационных кампаний. Подобные кампании могут состоять из какого-то небольшого образовательного мероприятия, направленного на повышение осведомленности сотрудников в одной отдельной сфере, или носить масштабных характер, например, это может быть «Месяц кибербезопасности». Такие инициативы могут быть как внутренними, так и внешними, и, как правило, предполагают использование значительных ресурсов и обеспечение обширной поддержки. Например, Ассоциация развития кадрового потенциала (Association for Talent Development) каждый год проводит Неделю обучения сотрудников (Employee Learning Week), ссылаясь на растущий дефицит квалификаций и необходимость сохранять конкурентоспособность в условиях современной глобальной экономики. Подобные общеотраслевые информационные кампании могут стать отличным подспорьем для запуска или расширения собственных корпоративных мероприятий, направленных на повышение осведомленности сотрудников о проблемах кибербезопасности.
На что следует обращать внимание при подготовке сотрудников
Какой бы формат обучения вы ни выбрали, ваша задача заключается в том, чтобы донести до сотрудников необходимую информацию о том, как они могут защитить себя. Далее мы поделимся несколькими важными советами, которым необходимо следовать при реализации любых обучающих программ, направленных на подготовку сотрудников к работе в условиях современных киберугроз.
1. Пересмотрите свою политику в отношении управления паролями
На данный момент использование паролей остается неизбежным злом. Поскольку запомнить пароли для каждой учетной записи бывает весьма непросто, часто люди применяют один и тот же пароль для всех своих аккаунтов.
Но в подобной ситуации лучше воспользоваться одним из следующих вариантов. Во-первых, существуют специальные программы для хранения имен и паролей для каждого аккаунта, поэтому вам потребуется запомнить лишь один пароль от такого приложения, и дальше оно само позаботится обо всем. Кроме того, вы можете разбить приложения на группы и для каждой из группы придумать пароли разного уровня сложности. Отдельно — пароли для сайтов социальных сетей, отдельно — для сайтов, где вы осуществляете оплату, и отдельно — для доступа к онлайн-банку.
Еще одним вариантом является использование технологий двухфакторной аутентификации, при этом вам потребуется вводить пароль и подтверждать вход в систему с помощью еще одной формы аутентификации, например, вводом кода, отправленного на ваше мобильное устройство. Это значительно повышает безопасность учетных записей и данных.
2. Будьте более осмотрительны при просмотре электронной почты и веб-сайтов
Никогда не открывайте электронные письма или вложения, полученные от неизвестных лиц, особенно сообщения с броскими темами, сулящими денежные вознаграждения, или со счетами за покупки, которых вы не совершали. Кроме того, следует иметь в виду, что нередко злоумышленники используют скомпрометированные почтовые аккаунты для рассылки сообщений с вредоносным кодом лицам, найденным в адресной книге жертвы, поскольку в этом случае получатели с гораздо большей вероятностью открывают такие письма и вложения. Если почтовое сообщение от известного вам адресата по какой-то причине кажется вам странным или необычным, рекомендуем перед открытием сначала связаться с отправителем и убедиться в том, что оно действительно было отправлено вам.
Не переходите по ссылкам в рекламе, отправленной на вашу электронную почту или размещенной на сайтах, пока не убедитесь в их безопасности. Сайт выглядит подозрительно? Слишком много всплывающих окон? Текст содержит ошибки или опечатки? Если навести мышь на ссылку, то вы сможете увидеть реальный URL адрес. Если он слишком длинный или в названии сайта вместо букв используются цифры, то лучше по такой ссылке не переходить.
3. Убедитесь в безопасности своей Wi-Fi сети
Общественные точки беспроводного доступа не всегда безопасны. Хакеры могут этим пользоваться а это означает, что они смогут перехватывать все передаваемые данные между вами и вашим онлайн-магазином, банком, системной умного дома и т.д.
Отличить хорошую точку доступа от плохой часто бывает весьма непросто. Поэтому перед подключением к публичной сети рекомендуем обратиться к сотруднику того заведения, где вы находитесь, и спросить у него, как называется точка доступа. Кроме того, рекомендуем рассмотреть возможность установки VPN клиента на вашем устройстве для создания надежных, шифрованных подключений к нужным сервисам.
4. Обеспечьте защиту от вирусов и вредоносного кода
Установите признанное потребителями и участниками отрасли программное обеспечение для защиты от вредоносного кода и регулярно его обновляйте. Для более продвинутых пользователей настольных и мобильных систем рекомендуется иметь под рукой чистую виртуальную машину, которую можно запускать в тех случаях, когда особенно важно обеспечить высокий уровень безопасности при посещении сайтов или выполнении онлайн-транзакций.
5. Не пренебрегайте установкой обновлений
Хакеры чаще всего используют уязвимости, которые уже хорошо известны, но для которых еще не представлена защита. Разработчики устройств, как и создатели приложений, регулярно выпускают обновления безопасности для защиты своих пользователей от угроз. Загружайте и устанавливайте эти обновления сразу же, как только они станут доступны.
Культура непрерывного обучения
Обеспечение информационной безопасности остается одной из главных задач современного бизнеса, и повышение осведомленности сотрудников о проблемах кибербезопасности должно стать частью любой успешной стратегии противодействия киберугрозам. Использование персоналом своих собственных устройств при выполнении рабочих обязанностей, стремление работать вне офиса способствуют увеличению рисков, но в то же время открывают перед вами новые возможности для обучения сотрудников передовым методам противодействия угрозам с использованием различных нетрадиционных подходов. Развивая собственную стратегию повышения осведомленности о киберугрозах и включая в нее разнообразные нетрадиционные методы с учетом ваших потребностей, вы сможете добиться большего, чем просто подготовить сотрудников к работе в современных условиях, — измените общую культуру обучения в вашей компании и сделаете ее действительно «обучающейся организацией» (Learning Organization).
Источник: Алексей Андрияшин, CISO Fortinet в России