Кибербезопасное будущее: почему так важно просвещение в сфере защиты данных

Программного обеспечения и технологий защиты информации становится больше с каждым годом. Кибератак, впрочем, тоже. Не меняется одно: самым слабым звеном в любой системе защиты от киберугроз был и остается человек. О необходимости просвещения в области информационной безопасности, важности инвестиций в сфере защиты данных и роли компаний в этом процессе рассуждает исполнительный директор IT-компании «Киберпротект» Елена Бочерова

Фото Getty Images
Стремительная цифровизация затронула все сферы жизни человека, повлияв на государство в политическом, культурном, экономическом, финансовом и социальном смыслах. Преимуществ у цифровой экономики множество: от упрощения жизни конечного потребителя (например, простых покупок в интернете) до повышения конкурентоспособности бизнеса за счет его цифровизации. Но это рождает проблему: развитие технологий сделало экономику в целом, компании и жизнь обычных людей более уязвимыми для киберугроз.

Чем грозит кибератака для компании? Ущерб репутации, вынужденные сделки с преступниками, штрафы, в будущем возможно весьма внушительные, за утечки персональных данных или даже потеря важной информации и остановка бизнеса — если злоумышленник не пошел на сделку или же просто имел цель навредить, а не обогатиться. 

При этом, как известно, большая катастрофа начинается с малого. Зачастую точка входа для ​​кибератак — это фишинговое письмо, то есть e-mail или сообщение в мессенджер с вредоносной ссылкой. Ничего не подозревающий и недостаточно бдительный сотрудник переходит по ней, открывая лазейку для злоумышленника. Другой способ проникнуть за защитный барьер — социальная инженерия. Например, хакер крадет аккаунт работника компании в социальных сетях или создает фейковый и просит коллегу напомнить доступы к корпоративной CRM. Да иногда ему даже воровать ничего не нужно, достаточно позвонить и представиться сотрудником. Учитывая, что многие компании сегодня перешли на удаленный формат работы, при котором коллеги даже в рамках одного подразделения вполне могут ни разу не видеться в жизни, реализация такого сценария становится еще проще.

Данные бизнеса в опасности несмотря на стены фаерволов, потому что непросвещенный или просто беспечный сотрудник сам откроет ворота злоумышленнику. Именно поэтому сегодня так важны вложения в образование, цифровую гигиену и формирование новых пользовательских привычек: аккуратного обращения с паролями, недоверию к незнакомым ссылкам, созданию регулярных бэкапов ценных данных.

Культура кибербезопасности
Любая культура закладывается в обществе годами. С одной стороны, это вертикальный процесс, направленный сверху вниз: государство проводит системную работу с населением, крупный бизнес выступает проводником знания. Таким образом, корпорации и правительство занимаются просвещением в широком смысле, пока последняя бабушка и первоклассник не уяснят, что хранить пароль от почты на стикере, приклеенном к монитору — это небезопасно.

Также с темой кибербезопасности пересекается такая метрика, как индекс цифровой грамотности населения. Аналитический центр НАФИ каждый год, начиная с 2018-го, изучает цифровые компетенции россиян и оценивает их по шкале от 0 до 100. Динамика тут в целом не прослеживается: общий индекс цифровой грамотности, который планомерно рос с 2018-го до 2022 года, в 2023-м приостановился на уровне 71 п.п. Однако внутри этого показателя есть еще и подиндексы, один из которых — «Цифровая безопасность»: он показывает, насколько хорошо россияне умеют распознавать угрозы в интернете, а также бороться с ними и предотвращать их. И данные по этому подиндексу неутешительные: если еще в 2020-м он был на втором месте из пяти и свидетельствовал о высоком уровне владения навыками, то сейчас откатился на предпоследнее 4-е место. Эта компетенция растет медленнее прочих — таких, как информационная и коммуникационная грамотность, а также навыки решения проблем в цифровой среде. Уровень знаний людей по кибербезопасности по-прежнему делает их легкой мишенью для злоумышленников. Работа с цифровой грамотностью в целом также должна быть приоритетом государства.

С другой стороны, киберпросвет — это процесс, идущий снизу вверх, работа на местах. Например, когда компания делает обязательной частью онбординга (onboarding — «введение в должность», действия компании по адаптации нового сотрудника) курс по ИБ или когда она отправляет сотрудников на тематические тренинги и конференции.

Более продвинутый уровень обучения — это переход от пассивного потребления информации к активному. Компания эмулирует кибератаку внутри себя, например, сотрудники отдела защиты данных рассылают якобы фишинговые письма своим же коллегам. После этого проводится публичный разбор полетов: кто попался на удочку, в чем были типовые ошибки. Так, в декабре 2020 года хостинговая компания GoDaddy.com решила провести тест среди своих сотрудников, разослав по электронной почте сообщения 500 контактам с предложением праздничного бонуса в размере $650. Вот только это было не благодарственное письмо в знак признательности за хорошую работу, а фишинговый тест. Те, кто перешел по ссылке, вместо вознаграждения получили доступ к дополнительному тренингу по кибербезопасности.

С таким же успехом компания может имитировать блокировку системы, удаление данных — процесс похож на отработку действий при учебной тревоге. Статистика говорит о том, что российский бизнес сегодня увеличивает расходы на «киберучения». Частные и государственные организации в 2023 году потратили на 20% больше средств  по сравнению с предыдущим годом на то, чтобы опробовать на практике разные системы защиты и проверить навыки своих ИБ-специалистов. Расходы на каждого такого сотрудника превысили 1 млн рублей — это показывает, насколько это приоритетная статья расходов.

Главная задача бизнеса — осознать и донести до сотрудников понимание, что  безопасность организации обеспечивает не только ПО, но и люди. Привить чувство общей ответственности за сохранность данных. Именно поэтому бизнесу нужно вкладываться не только в обучение кадров, но и в образовательные программы — от школьной скамьи до университетов. 

Еще одна роль государства в этом процессе — регуляторная. Ужесточая размер штрафов за несоблюдение закона о защите персональных данных, оно влияет на бизнес, вынуждая тем самым его действовать. Когда штраф за утечку многомиллионной базы составлял 100 000 рублей без какой-либо привязки к обороту, у бизнеса просто отсутствовал стимул всерьез заниматься защитой пользовательских данных. С принятием новых законов ответственность за это может выражаться в десятках и даже сотнях миллионов рублей.    

Чек-лист по кибербезопасности
Из всего вышесказанного становится понятно, что культура защиты данных важна как для общества, так и для бизнеса, причем любого размера. Возможно, для субъектов МСП она даже приоритетнее: у компаний такого масштаба часто нет выделенного бюджета для внедрения сложных систем безопасности и проведения дорогостоящих киберучений. Выход — вкладываться в культуру работы с информацией до того, как это станет проблемой. 

На что стоит обратить внимание:

Разработана ли у вас политика конфиденциальности и подготовлены ли локальные акты по вопросам обработки персональных данных? Как знакомят с ними новых сотрудников?

Есть ли ответственные за обработку и защиту информации?

Есть ли перечень лиц, которым необходим допуск к персональным данным для выполнения их работы?

Как обеспечивается безопасность помещений, в которых ведется обработка информации?

Зарегистрирована ли организация в Реестре операторов персональных данных?

Есть ли у сотрудников персональные учетные записи?

Блокируются ли учетные записи уволенных работников? Как быстро?

Какую антивирусную защиту вы используете? Как часто обновляются базы?

Как часто обновляются операционные системы и ПО?

Проводите ли вы резервное копирование? Каким именно образом?

Как часто создаются резервные копии данных?  

Кто в вашей компании ответственный за резервное копирование и хранение информации?

Как происходит поиск и устранение уязвимостей?

Применяются ли решения, защищающие от утечек информации класса DLP?

Опубликована ли на сайте политика обработки персональной информации?

Собирается ли согласие на обработку персональных данных в форме обратной связи? 

Формирование культуры защиты данных — длительный и сложный, но очень важный процесс. Повышение осведомленности о цифровых угрозах и способах их предотвращения и недопущения должно представлять собой непрерывный процесс. При правильном внедрении он поможет не только снизить уровень опасности, но и способствовать развитию культуры работы с данными. Сотрудники перестанут быть «внутренним врагом» там, где ошибка каждого может повлечь материальный и репутационный ущерб, а превратятся в активных защитников вашего бизнеса и его данных.

Источник: "Forbes"