Andrey Sorokin. Șef al departamentului de securitate a informațiilor al DAAC digital

Andrei, bună ziua. Vreau un sfat. Am puțină experiență în ceea ce privește interviurile legate de securitatea informațiilor. Acestea nu se adresau specialiștilor, ci unui public necalificat. Și de multe ori exista un decalaj. Informația este importantă, dar cititorul nu este foarte interesat de ea. Ca urmare, eficiența interviului este scăzută. Cum ați putea să transmiteți publicului informații despre securitatea informațiilor în așa fel încât să fie și interesante?

Exact despre asta vorbesc mereu. Dacă formarea în domeniul securității informațiilor nu este interesantă și captivantă, nu este de mare folos. Angajații sunt întotdeauna ocupați cu alte probleme și rareori se concentrează asupra formării sau cursurilor de securitate.

Deci, există o cale de ieșire sau nu?

Bineînțeles că există. Doar un singur exemplu. Imaginați-vă că vă uitați la un serial TV despre viața de birou, în care o fată drăguță, folosindu-se de înfățișarea și farmecul ei, trece împreună cu un angajat al biroului prin ușile cu sistem de acces, iar apoi, sub masca unui nou ofițer de securitate, sustrage pe o unitate flash informații din computerele de birou….

Dacă actorii sunt buni și dacă intriga este dinamică, îl voi urmări cu plăcere. Dar ce legătură are un astfel de serial cu formarea în domeniul securității?

Ți-am spus în mod special despre asta. Pentru că această serie este unul dintre elementele platformei moderne de formare în domeniul securității pe care o recomandăm clienților noștri. Iar formarea de pe această platformă este, de asemenea, gamificată în multe feluri.

Această platformă este dezvoltată DAAC digital?.

Nu, este vorba de KnowBe4, cea mai mare platformă integrată din lume pentru instruire în domeniul securității combinată cu simularea atacurilor de phishing. Peste 50.000 de clienți o folosesc pentru a rezolva problema persistentă a ingineriei sociale. La fel ca majoritatea proiectelor moderne, KnowBe4 oferă o serie de opțiuni gratuite pentru a testa nivelul de securitate a informațiilor din organizația dumneavoastră, dar, desigur, este mai convenabil să lucrați cu platforma prin intermediul partenerilor oficiali, unul dintre aceștia fiind DAAC digital.

Când ați vorbit despre serialul TV, a existat un element de spargere „fizică” a birourilor, iar când ați vorbit despre KnowBe4 ați menționat atacurile de phishing. Pe ce ați dori ca cititorul să se concentreze acum?

Bineînțeles, toate aspectele securității informațiilor sunt importante. Aș putea să vă povestesc un scenariu în care un atacator lasă în mod deliberat o unitate flash într-un loc vizibil, în fața intrării într-un birou de interes, în speranța că cineva din birou va fi interesat de unitatea flash și o va conecta la computerul său, permițându-i atacatorului accesul neautorizat la rețeaua biroului…..

Și oamenii se lasă păcăliți de aceste opțiuni?

Nu vă dați seama cât de neglijenți pot fi unii dintre angajații dvs., mai ales dacă nu ați cerut niciodată echipei dvs. să participe la un curs sau la o sesiune de formare în domeniul securității informațiilor. Cu toate acestea, aveți dreptate. Să ne concentrăm astăzi asupra phishing-ului ca fiind cea mai comună formă de inginerie socială cu care ne confruntăm cu toții din când în când.

Să începem prin a defini phishing-ul pentru profani…..

Phishing-ul este un tip de fraudă pe internet care are ca scop obținerea de date sensibile ale utilizatorilor. Aceasta include furtul de parole, numere de carduri de credit, numere de conturi bancare și alte informații.

Phishing-ul este o notificare falsă prin e-mail de la bănci, furnizori, sisteme de plată și alte organizații, în care se afirmă că, dintr-un anumit motiv, destinatarul trebuie să transfere/actualizeze urgent datele personale. Motivele pot fi denumite în diverse moduri. Poate fi vorba de pierderi de date, defecțiuni ale sistemului etc.

Judecând după corespondența mea, autorii acestor „scrisori în lanț” au devenit foarte activi în ultima vreme…..

Acest tip de fraudă se numește „inginerie socială” pentru un motiv anume. Escrocii se folosesc de motivele de bază ale comportamentului oamenilor. Este vorba de dorința de a ajuta banca „lor” să corecteze o greșeală și să obțină informațiile „corecte”, uneori este vorba de curiozitate, alteori de teama de a încălca ceva. Dar unul dintre motive funcționează și atunci se dovedește că 30% din e-mailurile banale de phishing ajung să fie eficiente. Escrocii obțin datele și parolele necesare. Urmează pătrunderea în rețelele corporative, furtul de bani din conturile bancare și de carduri și scurgerea de informații confidențiale.

Și instruiți organizațiile și personalul acestora cu privire la modul în care să nu „cadă în capcana” phishing-ului?

Da, iar o platformă de formare în domeniul securității, precum KnowBe4, ajută foarte mult în acest sens. Apropo, unul dintre cei mai faimoși hackeri ai vremurilor noastre, Kevin Mitnick, a participat la crearea acesteia. Dar nu mai ca hacker, ci ca un profesionist care a învățat și experimentat temeinic toate trucurile la care hackerii sunt gata să recurgă.

Cum vă ajută platforma?

Cu ajutorul acestuia, puteți să vă instruiți utilizatorii și să le faceți phishing, să urmăriți cum scade procentul de propensiune la phishing în timp și să obțineți rezultate măsurabile. În esență, obțineți o instruire interactivă și captivantă la cerere prin intermediul unui browser, combinată cu un număr nelimitat de atacuri de inginerie socială simulate prin e-mail, telefon și SMS. Abonamentul KnowBe4 vă oferă acces la cea mai mare bibliotecă de instruire în domeniul securității din lume, cu conținut actualizat în mod constant. De asemenea, puteți alege din zeci de categorii cu mii de modele de phishing reale și cunoscute în 34 de limbi.

Deci, în calitate de specialist, puteți folosi platforma pentru a simula atacuri de phishing și apoi să prezentați șefului organizației cum se prezintă securitatea și cum poate fi îmbunătățită?

Exact așa este. Îmi place expresia „firewall uman”. O ființă umană este ultima linie de apărare atunci când toate nivelurile tehnice de apărare au fost depășite. Dacă, dintr-o dată, o persoană nu este pregătită din punct de vedere psihologic și din punct de vedere al educației generale și al gândirii critice pentru a gestiona un e-mail, un mesaj pe messenger sau un apel telefonic, atunci niciun mijloc tehnic și nicio tehnologie nu vor descuraja atacatorii. Noi toți, și în primul rând liderii organizaționali, trebuie să ne schimbăm complet abordarea acestei probleme.

Și DAAC digital gata să ajute?”.

Aceasta este treaba noastră. În plus, este poziția fermă a conducerii companiei noastre că trebuie să contribuim la îmbunătățirea nivelului general de securitate a informațiilor din țară. Iar acesta nu este un concept abstract, ci o cerință constantă. De aceea, de foarte multe ori furnizăm servicii de securitate chiar și gratuit. Astfel, am cooperat, de exemplu, cu un proiect de dezvoltare a sistemului național de biblioteci, care a implicat un număr mare de întâlniri cu bibliotecarii, și a fost absolut gratuit.

Acest lucru evidențiază atitudinea dumneavoastră față de responsabilitatea socială. Dar, după părerea mea, afacerile trebuie pur și simplu să fixeze o rubrică în cheltuielile lor pentru securitatea informațiilor. Pentru că pierderile pot fi incomparabile cu costurile.

Un motiv în plus pentru a încheia prin a vă spune că, pentru majoritatea clienților, un abonament anual pentru utilizarea KnowBe4 nu costă mai mult decât o ceașcă de cafea pe zi.