Андрей Сорокин. Начальник отдела информационной безопасности DAAC digital
Андрей, добрый день. Хочу вашего совета. У меня есть небольшой опыт интервью, связанных с информационной безопасностью. Они были направлены не на специалистов, а на неподготовленную аудиторию. И часто возникал разрыв. Информация важная, но читателю она не очень интересна. В итоге эффективность интервью невысокая. Как бы вы донесли информацию об информационной безопасности до аудитории так, чтобы она была еще и интересна?
Это как раз то, о чем всегда говорю я. Если обучение навыкам информационной безопасности не интересно, не захватывает слушателя, то и польза от него небольшая. Сотрудники компании всегда заняты другими проблемами и редко концентрируются на тренингах или лекциях по безопасности.
Так выход есть или нет?
Конечно есть. Только один пример. Представьте, что вы смотрите сериал про жизнь офиса, где симпатичная девушка, пользуясь внешностью и обаянием, проходит вместе с сотрудником офиса через двери с системой доступа, а потом, под видом нового сотрудника по безопасности, снимает на флэшку информацию со служебных компьютеров…
Если актеры хорошие и сюжет динамичный, то посмотрю с удовольствием. Но причем такой сериал к тренингам по безопасности?
Я специально рассказал вам о нем. Потому что такой сериал – один из элементов современной платформы по обучению безопасности, которую мы рекомендуем нашим клиентам. И обучение на этой платформе во многом еще и геймифицировано.
Это платформа разработана Daac Digital?
Нет, это KnowBe4 — крупнейшая в мире интегрированная платформа для обучения по вопросам безопасности в сочетании с имитацией фишинговых атак. Более 50 000 клиентов используют ее, чтобы решить постоянную проблему социальной инженерии. Как и большинство современных проектов KnowBe4 предлагает ряд бесплатных опций для тестирования уровня информационной безопасности вашей организации, но, конечно, удобнее работать с платформой через официальных партнеров, одним из которых является Daac Digital.
Когда вы рассказывали о сериале, то там был элемент «физического» проникновения в офис, а когда заговорили о KnowBe4 вы упомянули фишинговые атаки. На чем бы вы хотели акцентировать внимания читателя сейчас?
Конечно все аспекты информационной безопасности важны. Я мог бы вам рассказать о варианте, когда злоумышленник специально оставляет флэшку на видном месте перед входом в интересующий его офис в расчете, что кто-то из сотрудников офиса заинтересуется флэшкой и подключит ее к своему компьютеру, что позволит получить злоумышленникам несанкционированный доступ к офисной сети…
И люди ведутся на такие варианты?
Вы не представляете насколько беспечным может оказаться кто-то из ваших сотрудников, особенно, если вы никогда не обязывали свою команду прослушать курс или тренинг по информационной безопасности. Тем не менее, вы правы. Давайте сегодня сконцентрируемся на фишинге, как наиболее распространенной форме социальной инженерии, с которой всем нам приходится периодически сталкиваться.
Давайте, для начала дадим определение фишинга для неспециалистов…
Фишинг – это вид интернет-мошенничества, цель которого — получить конфиденциальные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой информации.
Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее.
Судя по моей почте, авторы этих «писем счастья» очень активизировались в последнее время…
Не зря этот вид мошенничества называется «социальная инженерия». Мошенники используют базовые мотивы поведения людей. Это и желание помочь «своему» банку исправить ошибку и получить «нужную» информацию, иногда это любопытство, иногда страх что-то нарушить. Но один из мотивов срабатывает и потом оказывается, что 30% банальных фишинговых рассылок заканчиваются результативно. Мошенники получают необходимые данные и пароли. А за этим происходит взлом корпоративных сетей, похищение денег с банковских и карточных счетов, утечка конфиденциальной информации.
И вы обучаете организации и их сотрудников как не «вестись» на фишинг?
Да. И в этом очень помогает такая платформа для обучения навыкам безопасности, как KnowBe4. Кстати, в ее создании принимал участие один из самых известных хакеров современности – Кевин Митник. Но уже не как хакер, а как профессионал, досконально изучивший и на своем опыте все ухищрения, к которым готовы прибегнуть хакеры.
Как помогает платформа?
С ее помощью вы можете обучать и фишинговать своих пользователей, наблюдать за тем, как их процент склонных к фишингу уменьшается с течением времени, и получать измеримые результаты. По сути вы получаете интерактивное увлекательное обучение по запросу через браузер в сочетании с неограниченным количеством имитируемых атак социальной инженерии по электронной почте, телефону и текстовым сообщениям. Ваша подписка на KnowBe4 дает вам доступ к крупнейшей в мире учебной библиотеке по вопросам безопасности с постоянно обновляемым контентом. Также вы можете выбирать из десятков категорий с тысячами реальных, известных в работе фишинговых шаблонов на 34 языках.
То есть вы, как специалист, можете с помощью платформы имитировать фишинговые атаки, а потом представить руководителю организации информацию, как у него обстоят дела с безопасностью и как ее можно улучшить?
Именно так. Мне нравится выражение — human firewall. Человек — это последняя линия обороны, когда все технические уровни защиты преодолены. Если, вдруг, человек не готов психологически и с точки зрения общего образования и критического мышления обработать e-mail, сообщение в мессенджере или телефонный звонок, то никакие технические средства и технологии не сдержат злоумышленников. Нам всем, а руководителям организаций – в первую очередь, нужно полностью поменять сам подход к этой проблеме.
И Daac Digital готов помочь?
Это наша работа. Более того, твердая позиция руководства нашей компании, что мы должны внести вклад в повышение общего уровня информационной безопасности в стране. И это не отвлечённая концепция, а постоянное требование. Поэтому мы очень часто оказываем услуги по безопасности даже бесплатно. Так мы сотрудничали, например, с проектом по развитию национальной системы библиотек, в рамках которой было проведено большое количество встреч с библиотекарями и это было абсолютно бесплатно.
Это подчеркивает ваше отношение к социальной ответственности. Но бизнес, на мой взгляд, просто обязан зафиксировать статью в своих расходах на информационную безопасность. Потому что потери могут быть несопоставимы с затратами.
Тем более, в завершение вам скажу, что для большинства клиентов годовая подписка на использование KnowBe4 обходится не дороже чашки кофе в день.
Павел Зинган
Источник: pavelzingan.md.