Обзор рынка сервисов повышения осведомленности по ИБ (Security Awareness)

Обзор рынка сервисов повышения осведомленности по ИБ (Security Awareness)

Знаменитое изречение «Предупрежден — значит вооружен» в современном мире информационных технологий можно перефразировать в «Осведомлен — значит защищен». Рассмотрим рынок услуг повышения осведомленности в вопросах информационной безопасности, или Security Awareness, разберемся в проблемах осведомленности в зарубежном и отечественном законодательстве и примерах мировой и отечественной практике по сервисам Security Awareness.

 

 

 

  1. Введение
  2. Что такое Security Awareness
  3. Мировая практика по Security Awareness
    1. 3.1. Вопросы осведомленности в международных стандартах
    2. 3.2. Вопросы осведомленности в Евросоюзе
    3. 3.3. Вопросы осведомленности в США
  4. Российская практика по Security Awareness
  5. Краткий обзор сервисов Security Awareness в России
    1. 5.1. Kaspersky Security Awareness
    2. 5.2. Phishman Awareness Center
    3. 5.3. «Антифишинг»
    4. 5.4. UBS Security Awareness Platform
    5. 5.5. Syssoft Security Awareness
    6. 5.6. Deteact Awareness
  6. Выводы

 

Введение

В современном мире телекоммуникационных технологий работники во всех сферах деятельности должны обладать знаниями не только в рамках своих производственных процессов, но и обязательно обладать знаниями и умениями, связанными с обеспечением ИБ. Это обусловлено как требованиями законодательства Российской Федерации, нормативными правовыми актами, международными и отечественными стандартами и внутренними документами организации, так и просто одним из негласных правил безопасности — обеспечить безопасность важной для организации информации.

Однако ситуация уже много лет не меняется — основной причиной большинства инцидентов ИБ остается рядовой пользователь. Чаще всего причиной возникновения их является халатность, невнимательность и простое незнание основных принципов обеспечения ИБ.

Даже если вы внедрите самые современные и самые дорогие подсистемы обеспечения информационной безопасности, а ваш персонал по-прежнему не знает и не выполняет основные правила обеспечения ИБ, организация будет подвержена угрозам.

Для решения такой проблемы необходимо повышать осведомленность, обучать и формировать навыки в области обеспечения ИБ. И начинать все это необходимо с руководства организации.

В рамках статьи мы постараемся рассмотреть, что же представляет собой процесс осведомленности в области безопасности, или Security Awareness, зачем это нужно, а также какова ситуация на мировом и отечественном рынке в данной сфере.

 

Что такое Security Awareness

Само словосочетание Security Awareness, или повышение осведомленности в вопросах безопасности, вошло в обиход совсем недавно. Все начиналось с простого и понятного обучения персонала и его тестирования. Потом появились тренинги, которые вошли в систему обучения. И лишь после этого появилось понятие осведомленности.

Осведомленность является компонентом системы образования организации, которая направлена на изменение поведения и понимания персонала организации в вопросах использования технологий, интернета и выполнения обязанностей. Повышение осведомленности является отдельным элементом обучения персонала и выполняется на постоянной основе с использованием различных методов предоставления информации персоналу.

Самое раннее упоминание «осведомленности», которое удалось найти, определено в специальной публикации NIST 800-16-1998 Information Technology Security Training Requirements: A Role- and Performance-Based Model. В данном документе отмечается, что осведомленность не является обучением. Целью презентаций по повышению осведомленности является просто сосредоточить внимание на вопросах, связанных с безопасностью. Презентации по повышению осведомленности предназначены для того, чтобы показать проблемы безопасности ИТ и как необходимо на них реагировать. В деятельности по повышению осведомленности учащийся является получателем информации, в то время как учащийся на тренинге играет более активную роль.

Повышение осведомленности носит формальный характер, имея целью формирование знаний и навыков, чтобы облегчить выполнение работы.

 

Рисунок 1. Учебный процесс согласно NIST 800-16

Учебный процесс согласно NIST 800-16

 

Где-то в 2003 году уже в документе NIST SP 800-50-2003 Building an Information Technology Security Awareness and Training Program, который построен на базе NIST 800-16, появляется понятие Security Awareness. Таким образом, понятие зародилось в Америке.

В данном документе отмечается, что учебный процесс является непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках обучения.

Взаимосвязь видов учебного процесса, согласно NIST SP 800-50, показана на рисунке 2.

 

Рисунок 2. Взаимосвязь видов учебного процесса согласно NIST SP 800-50

Взаимосвязь видов учебного процесса согласно NIST SP 800-50

 

Итак, повышение осведомленности в вопросах ИБ — это часть системы обучения персонала, а значит, часть менеджмента ИБ. При этом повышение осведомленности в вопросах ИБ в организации должно начинаться с руководства. Если руководство организации понимает важность обеспечения ИБ и необходимость построения постоянно развивающейся системы обеспечения безопасности организации, то вопросы, связанные с необходимостью обучения и повышения осведомленности персонала, будут решаться без проблем. Ведь как мы с вами знаем, информационная безопасность — это не просто установленный антивирус на компьютере пользователя! А ведь до сих пор много людей считают, что после установки антивируса их организация полностью защищена от всех киберугроз.

Процесс повышения осведомленности в вопросах ИБ как часть системы обучения персонала подразумевает использование определенных форм, видов и методов обучения. На то, как и чему обучать персонал организации, влияют различные факторы, начиная от размеров организации, понимания руководства организации, знаний обучаемых и заканчивая выделенным бюджетом на обучение.

По данным «Лаборатории Касперского», исследования и опросы показывают, что большинство существующих программ повышения осведомленности в сфере ИБ недостаточно эффективны. Причин такого положения дел несколько:

  • пользователям скучно читать описания политик и техническую документацию, термины не всегда понятны, а описания атак вызывают скепсис. Упор делается на запреты, а не на примеры того, как нужно поступать;
  • у сотрудников отсутствует мотивация к обучению (они не допускают, что могут стать мишенями злоумышленников, либо, напротив, думают, что с хакерами бороться бесполезно и предпринимать что-либо для своей защиты бессмысленно);
  • пользователи видят в отделе ИБ помеху в работе, а не защитников, и постоянно пытаются обойти установленные меры безопасности;
  • кроме того, сложно оценить результат тренинга по осведомленности. Обычно учитывается только число пользователей, прошедших обучение, но даже если есть результаты неких тестов — обычно все равно не очень понятно, стоили ли усилия результатов.

 

Мировая практика по Security Awareness

Мировую практику в части законодательства мы уже начали рассматривать ранее. В этом разделе продолжим и рассмотрим международное, европейское и американское законодательство, а также какие сервисы Security Awareness представлены за рубежом.

Вопросы осведомленности в международных стандартах

Если рассматривать мировую практику по осведомленности в вопросах информационной безопасности, то мы видим, что за рубежом на законодательном уровне этим вопросом озаботились в конце девяностых — начале нулевых, еще в международном стандарте ISO/IEC 17799:2000 Information technology – Code of Practice for Information Security Management, который в 2005 году был принят в России как ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология. Практические правила управления информационной безопасностью», предъявляются требования по обучению персонала организации вопросам информационной безопасности. ISO/IEC 17799 в дальнейшем стал ISO/IEC 27002.

Согласно международному стандарту ISO/IEC 27000:2016 Information Technology — Security Techniques — Information Security Management Systems — Overview and Vocabulary («Информационная технология — Методы и средства обеспечения безопасности — Системы менеджмента информационной безопасности — Общий обзор и терминология») (в РФ известен как ГОСТ Р ИСО/МЭК 27000–2012, идентичный ISO/IEC 27000:2009), для успешной реализации системы менеджмента информационной безопасности (СМИБ), позволяющей организации достигать своих бизнес-целей, имеет значение большое количество факторов. Одним из них является эффективная программа повышения осведомленности, обучения и подготовки по информационной безопасности, доводящая до сведения всех сотрудников их обязанности по обеспечению информационной безопасности, сформулированные в политиках и стандартах информационной безопасности, и побуждающая их к соответственным действиям.

Вопросам осведомленности ИБ в международном стандарте ISO/IEC 27001:2013 Information Technology — Security Techniques — Information Security Management Systems — Requirements («Информационная технология — Методы и средства обеспечения безопасности — Системы менеджмента информационной безопасности — Требования») (в РФ был известен как ГОСТ Р ИСО/МЭК 27001-2006, но уже выведенный к настоящему времени из действия, идентичный ISO/IEC 27001:2005) посвящен подраздел 7.3. «Осведомленность» (Awareness). В нем приведены требования, что лица, осуществляющие работу под контролем организации, должны быть осведомлены о:

  • политике информационной безопасности;
  • своем вкладе в обеспечение эффективности системы менеджмента информационной безопасности, включая выгоды от улучшения функционирования информационной безопасности;
  • последствиях несоблюдения требований системы менеджмента информационной безопасности.

В международном стандарте ISO/IEC 27002:2013 Information Technology — Security Techniques — Code of Practice for Information Security Controls («Информационная технология. Методы и средства обеспечения безопасности. Свод правил по мерам и средствам контроля и управления информационной безопасностью») (в РФ — ГОСТ Р ИСО/МЭК 27002-2012, идентичный ISO/IEC 27002:2005) в разделе 7.2. «В течение занятости» отмечается, что в организации необходимо обеспечить уверенность в том, что сотрудники и пользователи сторонних организаций осведомлены о своих обязанностях в отношении информационной безопасности и выполняют их.

Пункт 7.2.2 «Осведомленность, обучение и подготовка в области информационной безопасности» (Information Security Awareness, Education and Training)

Мера и средство контроля и управления

Все сотрудники организации и при необходимости пользователи сторонних организаций должны проходить соответствующую программу информирования, обучение и подготовку и получать на регулярной основе обновленные варианты политик и процедур организации, необходимых для выполнения их рабочих функций.

Также в ISO/IEC 27002 приведены конкретные рекомендации по разработке программы осведомленности, обучения и подготовке в области ИБ.

В стандарте организации PCI DSS 3.2 «Стандарт безопасности данных индустрии платежных карт. Требования и процедура аудита безопасности» 2016 г. вопросам обучения и повышения осведомленности персонала посвящены несколько требований из раздела «Требование 12. Поддерживать политику информационной безопасности для всех работников», а именно:

«12.6 Внедрить официальную программу повышения осведомленности работников по вопросам безопасности, чтобы они знали политику и процедуры защиты данных держателей карт.

12.6.1 Обучать работников при приеме на работу, а также не реже одного раза в год.

Примечание: методы обучения могут зависеть от роли работника и уровня его доступа к данным о держателях карт.

12.6.2 Требовать, чтобы работники подтверждали не реже раза в год, что они прочли и поняли политику и процедуры информационной безопасности».

А в проверочных процедурах к требованиям PCI DSS 3.2 даны четкие рекомендации по проверке программ повышения осведомленности вопросам информационной безопасности. При этом не раз отмечается, что пересмотр такой программы должен осуществляться не реже одного раза в год.

Вопросы осведомленности в Евросоюзе

В Европе действует Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency — ENISA) — это организация Евросоюза, созданная для содействия функционированию внутреннего рынка. ENISA — это центр передовых знаний по сетевой и информационной безопасности для государств — членов Евросоюза и европейских организаций, дающий советы и рекомендации и выполняющий функции каталога информации об удачных практических приемах. Кроме того, агентство способствует контактам между европейскими организациями, организациями — членами Евросоюза и частными субъектами в сфере бизнеса и индустрии.

В рамках своей деятельности ENISA проводит исследования и разрабатывает документы, способствующие эффективному обеспечению сетевой и информационной безопасности в рамках ЕС.

Стоит отметить, что теме Security Awareness в ENISA уделяется немалое внимание. Например, в 2008 году выпущен документ Information Security Awareness in Financial Organisations, в котором приведены конкретные рекомендации по повышению осведомленности по вопросам ИБ в финансовых организациях. В 2010 году выпущен документ The new users guide: How to raise information security awareness, он распространяется на все сферы деятельности. Стоит отметить, что это не стандарт, не закон, а документ, в котором даются конкретные рекомендации.

Что еще стоит отметить про ENISA — на официальном сайте организации приведены видеоклипы, плакаты, иллюстрации и заставки на экран компьютера, способствующие повышению осведомленности по ИБ сотрудников организации.

 

Рисунок 3. Плакат ENISA: «Не делайте конфиденциальную информацию вашей организации доступной для всех!»

Плакат ENISA: «Не делайте конфиденциальную информацию вашей организации доступной для всех!»

Вопросы осведомленности в США

Про законодательство США: мы начинали рассматривать основные документы по Security Awareness, разработанные NIST. Основным из них является NIST SP 800-50.

Итак, мы уже говорили, что в NIST SP 800-50-2003 Building an Information Technology Security Awareness and Training Program отмечается, что учебный процесс является непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках обучения.

Также в документе приведены рекомендации относительно того, что в программу повышения осведомленности необходимо включать. Список значительный, например, рекомендуется включать освещать основные темы:

  • использование паролей (создание, частота смены, сложность и безопасность);
  • антивирусная защита;
  • появление электронных писем от незнакомых людей и открытие вложений;
  • использование интернета;
  • спам;
  • вопросы социальной инженерии;
  • реагирование на инциденты;
  • работа из дома и использование корпоративных систем для личных целей;
  • защита конфиденциальной информации и т. д.

Стоит также отметить, что исследованиями в области Security Awareness занимается один из известных в мире институтов — SANS Institute, деятельность которого связана с исследованиями и образовательными программами в области информационной безопасности, системного администрирования, аудита. SANS является самым надежным и, безусловно, крупнейшим источником для обучения информационной безопасности и сертификации безопасности в мире. Он также разрабатывает, поддерживает и бесплатно предоставляет самую большую коллекцию исследовательских документов по различным аспектам информационной безопасности.

SANS Institute еще в 2011 году разработал «Модель зрелости осведомленности по вопросам безопасности» (Security Awareness Maturity Model). Модель зрелости от SANS позволяет организациям определить, на каком этапе находится их программа повышения осведомленности безопасности в настоящее время и в каком направлении в дальнейшем должна двигаться организация по данному направлению.

Модель зрелости определяет пять основных этапов, под которые подпадает программа повышения осведомленности.

 

Рисунок 4. Модель зрелости осведомленности по вопросам безопасности (Security Awareness Maturity Model) от SANS

Модель зрелости осведомленности по вопросам безопасности (Security Awareness Maturity Model) от SANS

 

  1. Отсутствует: программа не существует. Сотрудники не имеют представления о том, что они являются мишенью, что их действия оказывают непосредственное влияние на безопасность организации, не знают и не понимают политики организации и легко становятся жертвами атак.
  2. Соответствие требованиям: программа предназначена в первую очередь для удовлетворения соответствия конкретным требованиям или для оценки в рамках аудита. Обучение ограничено ежегодной или специальной базой. Сотрудники не уверены в политике организации и их роли в защите информационных ресурсов организации.
  3. Повышение осведомленности и изменение поведения: программа определяет темы обучения, которые оказывают наибольшее влияние на реализацию целей организации, и фокусируется на этих ключевых темах. Программа выходит за рамки только ежегодного обучения и включает в себя постоянное укрепление в течение всего года. Контент передается в привлекательной и позитивной форме, которая способствует изменению поведения на работе и дома. В результате люди понимают и следуют политике организации и активно распознают, предотвращают и сообщают об инцидентах.
  4. Долгосрочная поддержка и изменение культуры: программа имеет процессы, ресурсы и поддержку руководства для долгосрочного жизненного цикла включая как минимум ежегодный обзор и обновление программы. Таким образом, программа и кибербезопасность являются неотъемлемой частью культуры организации.
  5. Надежная система показателей: программа имеет надежную систему показателей для отслеживания прогресса и измерения воздействия. Следовательно, программа постоянно совершенствуется и способна продемонстрировать рентабельность инвестиций. Важно отметить, что система показателей не является последней стадией модели. Система показателей являются важной частью каждого этапа. Этот этап просто подтверждает, что для того чтобы действительно иметь зрелую программу, необходимо не только изменять поведение и культуру, но и иметь систему показателей для определения этих изменение.

На рисунке 5 приведены результаты исследования SANS Institute, проведенного в 2017 году, насколько среднестатистическая программа осведомленности безопасности является зрелой.

 

Рисунок 5. Результаты исследования SANS Institute по вопросу, насколько среднестатистическая программа осведомленности безопасности является зрелой

Результаты исследования SANS Institute по вопросу, насколько среднестатистическая программа осведомленности безопасности является зрелой

 

Еще одной интересной инициативой зарубежных коллег является проведение месячников по повышению осведомленности в области ИБ. Например, в США проходят National Cyber Security Awareness Month (NCSAM) (Национальный месяц осведомленности о кибербезопасности) под эгидой Департамента национальной безопасности США, в рамках которых рассматриваются такие темы, как:

  • простые шаги к онлайн-безопасности;
  • кибербезопасность на рабочем месте — дело каждого;
  • сегодняшние прогнозы для завтрашнего интернета;
  • защита критической инфраструктуры от киберугроз.

На официальном сайте Департамента национальной безопасности США отмечается, что «NCSAM предназначен для привлечения и обучения партнеров из государственного и частного секторов посредством мероприятий и инициатив по повышению осведомленности о важности кибербезопасности, предоставления им инструментов и ресурсов, необходимых для обеспечения безопасности в интернете и повышения устойчивости страны в случае киберинцидента».

В Европе под эгидой ENISA тоже проходят подобные мероприятия под названием European Cyber Security Month (ECSM). ECSM — это кампания по повышению осведомленности в ЕС, которая способствует кибербезопасности среди граждан и организаций в отношении важности информационной безопасности и подчеркивает простые шаги, которые могут быть предприняты для защиты данных, будь то личные, финансовые или профессиональные. Основная цель заключается в повышении осведомленности, изменении поведения и предоставлении ресурсов для всех о том, как защитить себя в интернете. ECSM стартовал в 2012 году и с тех пор проводится ежегодно.

Цели ECSM:

  • генерировать общую осведомленность о кибербезопасности, которая является одним из приоритетов, определенных в Стратегии кибербезопасности ЕС;
  • генерировать конкретную информацию о сетевой и информационной безопасности, которая рассматривается в предлагаемой Директиве NIS;
  • содействовать более безопасному использованию интернета для всех пользователей;
  • создать сильную базу для повышения осведомленности через ECSM;
  • привлекать соответствующие заинтересованные стороны.

При этом стоит отметить, что месячники по осведомленности в области кибербезопасности распространяются на всех, начиная от госорганов и корпораций и заканчивая простыми гражданами. Регулируется все это правительством.

Подводя итог тому, как вопросы Security Awareness освещены в международном и зарубежном законодательстве, стоит отметить, что осведомленность — это короткие курсы направленные на формирование общего представления, знаний и навыков, в основном предлагаемых в виде презентаций, коротких видеороликов, плакатов и прочего, соответственно разработчики в области обучения вопросам ИБ и подсистем безопасности начали предлагать сервисы по Security Awareness.

Они представляют собой презентационные материалы по различным темам, связанным с ИБ, с последующим прохождением тестирования. Чаще всего это онлайн-сервисы. Но есть и офлайн-версии, которые встраиваются в инфраструктуру организации, а некоторые даже умеют взаимодействовать с DLP-системами. Если DLP выявляет неумышленные факты нарушения, она передает эти данные системе по повышению осведомленности по вопросам ИБ, которая анализирует нарушение и направляет пользователю обучающий курс в соответствии с нарушенным им требованием.

По статистике Gartner, рынок сервисов по повышению осведомленности в области ИБ (Security Awareness Computer-Based Training) является растущим и востребованность таких сервисов увеличивается с каждым годом.

 

Рисунок 6. Магический квандрант Gartner Magic Quadrant Security Awareness Computer-Based Training 2017

Магический квандрант Gartner Magic Quadrant Security Awareness Computer-Based Training 2017

 

Итак, по статистике Gartner самыми крупными мировыми провайдерами платформ Security Awareness являются:

  • PhishMe
  • Knowbe4
  • Wombat Security
  • MediaPro
  • Inspired eLearning

 

Российская практика по Security Awareness

Рассмотрим ситуацию в России относительно вопросов осведомленности в области ИБ. Скажем сразу, что законодательство значительно скуднее в этой части. Конечно, нельзя сказать, что его совсем нет, оно, в отличие от зарубежной практики, представлено в виде требований — без конкретики, как и что делать.

Первым документом, где приведены требования по осведомленности в области ИБ, является Федеральный закон Российской Федерации № 152-ФЗ от 27 июля 2006 года «О персональных данных». В статье 18.1 пункт 1 подпункт 6: «Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников».

На практике это ознакомление и обучение заканчивается росписью в акте ознакомления с документами в организации.

Также стоит отметить, что в Приказах ФСТЭК России приводятся требования по обучению и осведомленности. Например,

Требования к АСУ ТП — Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в котором обучению персонала вопросам безопасности информации отведен отдельный блок требований – «XVIII. Информирование и обучение персонала (ИПО)». Этот блок требований включает разработку правил и процедур (политик) информирования и обучения персонала, а также требования по проведению обучения и информирования персонала по вопросам защиты информации.

В Приказе ФСТЭК России от 31 мая 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» приведены требования по информированию пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение.

В недавно принятом приказе по КИИ — Приказе ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» приводится блок требований «XVII. Информирование и обучение персонала (ИПО)», как и в Приказе №31, отличием является лишь включение нового требования по контролю осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы.

Но учитывая тот факт, что ФСТЭК опирался на документы специальных публикаций NIST, включение таких требований не видится странным.

Также требования по осведомленности установлены в гармонизированных стандартах ГОСТ Р 27-й серии, про которые мы говорили ранее.

В финансовой сфере вопросы осведомленности в области ИБ представлены в следующих документах ЦБ РФ:

  • СТО БР ИББС–1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», в основе которого лежит ISO/IEC 27001:2005;
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»:
  • Положение Центрального Банка Российской Федерации от 24.08.2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России».

В данных документах отмечается, что в рамках системы менеджмента информационной безопасности должно проводиться повышение осведомленности и обучение работников в области защиты информации/информационной безопасности.

В отличие от зарубежного законодательства, отечественные требования по осведомленности в области ИБ представляют общие требования. Нет документов, детализирующих процесс осведомленности и обучения.

Соответственно, в большинстве случаев повышение осведомленности и обучение заканчивается тем, что при приеме на работу сотрудник расписывается в акте, что ознакомлен с кучей документов, и на этом все. А в некоторых случаях не делают даже и этого. И это касается всех сфер деятельности.

Таким образом, в России рынок услуг по повышению осведомленности в области ИБ находится в зачаточном состоянии. В основном у нас предлагаются курсы по обучению и повышению осведомленности, например:

  • АИС: «Повышение осведомленности сотрудников организации в вопросах информационной безопасности»;
  • УЦ «Информзащита»: «Повышение осведомленности персонала в области информационной безопасности»;
  • Центр инновационных и дистанционных технологий: «Повышение осведомленности сотрудников компании в вопросах информационной безопасности»;
  • Микротест: «Повышение осведомленности по вопросам информационной безопасности». При этом Микротест предлагает и услугу «Проверка осведомленности сотрудников»;
  • KPMG: «Осведомленность сотрудников о вопросах ИБ». Проводят как обучение, так и проверку осведомленности;
  • и другие.

Возможно, что в ближайшее время подобные курсы перерастут в сервисы, которые будут предлагаться организациям для повышения осведомленности персонала, проходить которые можно будет на рабочем месте. А пока это старые добрые курсы по обучению, на которые нужно ездить в обучающие центры.

Подводя итог, стоит отметить, что вопросы повышения осведомленности в области ИБ в России пока находятся на этапе становления, зарождения:

  • законодательно процесс не описан;
  • имеющиеся услуги по осведомленности в России направлены на крупные компании;
  • как таковая осведомленность простых граждан в части кибербезопаности —отсутствует.

 

Краткий обзор сервисов Security Awareness в России

В России рынок сервисов Security Awareness только начал формироваться, и вендоров в данном направлении представлено не много. Среди них такие компании, как:

  • «Лаборатория Касперского»
  • Компания Phishman
  • Компания «Антифишинг»
  • Компания UBS
  • Компания «Системный софт»
  • Компания DeteAct

Стоит также сказать, что один из крупных поставщиков услуг связи в России — «Ростелеком» — анонсировал в 2017 году новые виды услуг, в которые входит сервис повышения осведомленности в области информационной безопасности — Security Awareness. Рассмотрим, что предлагают отечественные производители.

 

Kaspersky Security Awareness

«Лаборатория Касперского» в рамках решений для крупного бизнеса запустила новый проект под названием Kaspersky Security Awareness(программа повышения осведомленности), который включает в себя несколько игровых тренингов для повышения осведомленности по информационной безопасности для сотрудников всех уровней, а также предполагает проверку полученных знаний.

По заявлениям «Лаборатории Касперского», более 80% всех киберинцидентов связаны с человеческим фактором. Предприятия тратят огромные средства на восстановление ресурсов после инцидентов безопасности, вызванных в том числе действиями сотрудников. Однако традиционные программы обучения, призванные предотвращать такие нарушения, недостаточно эффективны. Они информируют, но не мотивируют. Программы повышения осведомленности «Лаборатории Касперского» не только дают знания, но и формируют правильное поведение.

Первое, что хочется отметить, при обучении используются игровой подход, практические занятия, организуется имитация атак. Это в свою очередь позволяет формировать устойчивые привычки и укреплять кибербезопасность в долгосрочной перспективе.

Второе — тренинги направлены на сотрудников всех уровней, начиная с руководителей и заканчивая младшим персоналом. При этом подход к повышению осведомленности на каждом из уровней различен.

 

Рисунок 7. Иерархия модулей Kaspersky Security Awareness

Иерархия модулей Kaspersky Security Awareness

 

Для разных категорий сотрудников формируются разные навыки. Высшее руководство, линейные руководители/менеджеры среднего звена, IT-специалисты и рядовые специалисты — все эти группы сотрудников обучаются разным навыкам с учетом их должностных обязанностей.

Kaspersky Security Awareness включает в себя несколько модулей:

  • Kaspersky Interactive Protection Simulation (KIPS) для высшего руководства;
  • Kaspersky CyberSafety Games для линейных руководителей и (или) менеджеров среднего звена;
  • Онлайн-платформа обучения навыкам для всех сотрудников компании;
  • Cybersecurity for IT Online для обучения ИТ-специалистов навыкам поддержания кибербезопасности.

Большинство курсов проходят в онлайн-формате, что позволяет и отделу ИБ, и отделу кадров легко отслеживать успеваемость пользователей и контролировать ход обучения.

В основе курсов — богатый опыт «Лаборатории Касперского» в области кибербезопасности и разработки защитных решений.

По данным на июнь 2017 г., платформа Kaspersky Security Awareness доступна на 30 языках. С помощью платформы онлайн-обучения можно создать и внедрить эффективный, долгосрочный и контролируемый план обучения в области ИБ с постепенным переходом от простых задач к более сложным. Широкий тематический охват курса позволяет обучать пользователей в соответствии с ландшафтом угроз и их исходными навыками.

Игра Kaspersky Interactive Protection Simulation (KIPS) предназначена для руководителей компаний, корпоративных экспертов по кибербезопасности и сотрудников IT-отделов.

Цель курса повышения осведомленности:

  • популярно рассказать о рисках и проблемах безопасности, связанных с использованием современных технологий;
  • продемонстрировать влияние киберугроз на результаты бизнеса.

В KIPS предусмотрено шесть сценариев, каждый со своими типами атак, возможных для прохождения как онлайн, так и в офлайн-режиме:

Корпорация — защита предприятия от программ-вымогателей, целевых атак и нарушений безопасности автоматизации.

Банк — защита финансовых учреждений от специализированных целевых атак, направленных на банкоматы, управляющие серверы и бизнес-системы.

Нефтяная компания — защита добывающей компании от серии атак — от программ-вымогателей и взлома сайта до инсайдеров и высокоуровневых целевых атак.

Электронные госуслуги — защита государственных электронных ресурсов от атак и эксплойтов.

Транспортная организация — защита логистической компании от серии кибератак, включая целевую атаку, проникновение инсайдера, ошибку Heartbleed.

Электростанция — защита АСУ ТП и критически важной инфраструктуры.

Водоочистное сооружение — защита АСУ ТП и критически важной инфраструктуры.

В 2017 году «Лабораторией Касперского» были даже организованы весенние игры KIPS — региональный чемпионат по отражению киберугруз, в рамках которого соревновались команды из различных организаций.

Kaspersky CyberSafety Games — это интерактивный мастер-класс (игровой тренинг), который включает компьютерные занятия и уроки под руководством инструктора. Тренинг показывает линейным руководителям всю важность кибербезопасности на их уровне ответственности. Помимо создания необходимых знаний и компетенций, игровой курс помогает выработать правильное отношение к поддержанию безопасной рабочей среды во всем подразделении.

 

Рисунок 8. CyberSafety Management Games

CyberSafety Management Games

 

Что получают менеджеры по итогам тренинга:

  • Понимание. Внутреннее принятие методов кибербезопасности как важного и одновременно не слишком сложного набора действий.
  • Новое отношение к кибербезопасности. Взгляд на повседневные рабочие процессы через призму кибербезопасности.
  • Принятие решений с учетом кибербезопасности. Отношение к кибербезопасности как к неотъемлемой составляющей бизнес-процессов.
  • Мотивация к применению полученных знаний. Умение влиять на сотрудников, отвечать на их вопросы по ИБ и давать полезные советы.

Платформа обучения навыкам

Для обеспечения кибербезопасности важно не только расширять знания сотрудников, но и формировать у них нужные навыки. Онлайн-платформа обучения навыкам — ключевой компонент программы повышения осведомленности. Она помогает пользователям освоить разные сценарии и ситуации, получить больше знаний и понять, как определять и реагировать на распространенные киберугрозы. Онлайн-обучение позволяет практиковаться и учиться на интерактивном портале.

 

Рисунок 9. Платформа обучения навыкам «Лаборатории Касперского»

Платформа обучения навыкам «Лаборатории Касперского»

 

Интерактивные обучающие модули:

  • короткие и увлекательные;
  • упражнения с немедленной обратной связью;
  • закрепление навыков с помощью автоматической корректировки процесса обучения в соответствии с результатами выполнения предыдущих заданий;
  • более 25 модулей, охватывающих все области ИТ-безопасности.

Оценка знаний:

  • включает выбранные заранее или случайные тесты, причем сам заказчик может назначать тематику вопросов и длину теста;
  • охватывает разные сферы IT-безопасности;
  • обширная библиотека вопросов и механизм рандомизации исключают списывание.

Имитация фишинговых атак:

  • три типа фишинговых атак разной сложности, основанные на реальных событиях;
  • при каждом открытии фишингового сообщения игрок получает возможность обучиться новым навыкам и закрепить их;
  • настраиваемые шаблоны;
  • автоматическое назначение обучающих модулей для тех, кто не справился с имитированной атакой.

Отчеты и анализ:

  • Платформа предоставляет статистику для всей организации сразу, а также для каждого подразделения, должности и сотрудника индивидуально.
  • Платформа контролирует навыки и скорость обучения каждого сотрудника.
  • Кроме того, она поддерживает экспорт данных в разных форматах, а также может интегрироваться в систему дистанционного обучения (LMS) клиента.

Всесторонняя оценка:

При оценке культура безопасности рассматривается с разных точек зрения.

  • Организационный уровень (уровень руководства).
  • Персональный уровень (уровень сотрудников).
  • Знания в области ИБ.
  • Система кибербезопасности как непрерывно действующий процесс.

Cybersecurity for IT Online

Эта программа повышения осведомленности предназначена специально для IT-специалистов, учитывает их высокий уровень технической осведомленности и специфику их рабочих обязанностей.

Формат обучения

Обучение проходит онлайн: нужны только доступ в интернет или к корпоративной СДО (LMS) и браузер Chrome. Все модули состоят из короткой теоретической части, практических советов и 7-10 упражнений: каждое позволяет отработать определенный практический навык и учит использовать инструменты и защитное программное обеспечение в повседневной работе.

Рекомендуемый темп: модуль в неделю, то есть около 45 минут. Таким образом, курс будет успешно завершен через 1,5 месяца, причем каждый сотрудник потратит на него 4-5 часов.

Курс рекомендован для обучения всех IT-специалистов в организации, в первую очередь работников службы IT-поддержки и системных администраторов, но также он будет полезен и специалистам других отделов — в частности, всем, кто имеет права локального администратора на своей рабочей станции.

Курс состоит из шести модулей:

  • основные практические сведения о киберугрозах;
  • вредоносные программы;
  • потенциально нежелательные программы и файлы;
  • основы расследования инцидентов;
  • реагирование на фишинг и разведка в открытых источниках;
  • корпоративная безопасность: контроль уязвимостей и защита серверов.

Этот курс дает IT-специалистам практические навыки по распознаванию возможной атаки при изучении безобидного на первый взгляд инцидента, а также навыки по сбору данных для передачи службе IT-безопасности.

Оценка культуры кибербезопасности

В ходе оценки анализируется поведение сотрудников всех уровней с точки зрения разных аспектов кибербезопасности и показывается их отношение к этим аспектам.

Полученный отчет показывает выявленные проблемные области.

 

Рисунок 10. Результирующая диаграмма в рамках оценки культуры кибербезопасности

Результирующая диаграмма в рамках оценки культуры кибербезопасности

 

Стоит отметить, что оценка культуры кибербезопасности не равнозначна оценке уровня защищенности компании (это не аудит ИБ). Отчет о культуре кибербезопасности показывает, как обычный сотрудник воспринимает кибербезопасность, что он думает о культуре, привычках, ежедневных процедурах и других аспектах, связанных с кибербезопасностью, каковы его индивидуальные взгляды на принципы защиты компании от киберугроз.

Оценка проводится в виде онлайн-опроса на базе облачной платформы. Опрос одного сотрудника занимает около 15 минут. Клиент получает обобщающий отчет по результатам опроса.

Варианты обучения по программам осведомленности «Лаборатории Касперского»:

  • Профессиональные тренеры с сертификатами «Лаборатории Касперского».
  • Корпоративное лицензирование (обучение тренеров) для отделов ИБ и персонала, которые затем могут проводить тренинги для всей компании.
  • Лицензирование центров обучения.

Онлайн-тренинги (Платформа обучения навыкам и Cybersecurity for IT Online) не требуют участия тренеров и поставляются из расчета на число сотрудников и срок обучения (1, 2 или 3 года).

 

Phishman Awareness Center

Компании Phishman в области осведомленности вопросам безопасности предлагает продукт Awareness Center (Система управления осведомленностью пользователей), предназначенный для автоматизации процессов, позволяющих выявлять недочеты знаний и навыков сотрудников в области информационной безопасности, выстраивать процесс обучения и исследовать закрепленные профессиональные навыки пользователей. Принцип работы системы заключается в следующем.

Система Awareness Center осуществляет:

  1. Проверку пользователей:
  • Притворяясь нарушителем, отправляет электронные письма с различными ловушками и оценивает действия пользователя по факту получения таких писем.
  • Если пользователь «попался», то система фиксирует его действия и подбирает для него индивидуальную обучающую программу.
  1. Обучение пользователей:
  • Пользователю предлагается пройти обучающую программу — презентационный материал по выявленной проблеме, построенный на принципах интерактивности (включая элементы игры). Обязательна проверка усвоенного материала после его прохождения (тестирование пользователя).
  • Обучение пользователей без предварительного сбора информации об их уровне осведомленности (например, обучение новых пользователей или обучение персонала при выходе потенциально опасных вредоносных программ).
  1. Контроль пользователя:
  • Периодически осуществляется повторная рассылка электронных писем с ловушкой. Таким образом, система оперативно отслеживает проблемы с уровнем знаний пользователей, обучает их, тестирует и осуществляет периодический контроль.
  • Система Awareness Center предлагает более 20 готовых курсов по тематике информационной безопасности, в планах создание более 200 курсов, разбитых по темам ИБ, ИТ, HR.

Стоит также отметить пару интересных решений, применяемых в системе Awareness Center:

  • Возможность оценки уязвимостей браузера и автоматическое предложение мер по их устранению.
  • Возможность использования специальных флешек в качестве ловушек. Схема следующая: в организации оставляются специальные флешки, и если сотрудник ее находит и пытается вставить в компьютер, происходит фиксация в системе. Дальнейшие действия аналогичны открытию фишингового письма, а именно назначение сотрудника на обучение.

 

Рисунок 11. Интерфейс Awareness Center. Просмотр статистики по уязвимостям браузера

Интерфейс Awareness Center. Просмотр статистики по уязвимостям браузера

 

Рисунок 12. Интерфейс Awareness Center. Просмотр статистики по USB-флеш- накопителям

Интерфейс Awareness Center. Просмотр статистики по USB-флеш- накопителям

 

Рисунок 13. Интерфейс Awareness Center. Просмотр общей статистики по уязвимостям

Интерфейс Awareness Center. Просмотр общей статистики по уязвимостям

 

Awareness Center логически представлено двумя основными модулями:

Модуль обучения, содержит в себе 20 обучающих курсов с обязательной проверкой усвоенного материала по факту его прохождения (тестирования) и включает такие курсы, как, например: «Антивирусная защита», «Защита мобильных устройств», «Как защититься от фишинга».

Модуль контроля. Основу этого модуля составляет сервис Phishman, отвечающий за проведение учебных атак и анализ поведения пользователя во время атаки. Модуль контроля также анализирует поведение сотрудника согласно поступающим данным по событиям и инцидентам от DLP, SIEM, Web-filtering, СКУД, AD, кадровых систем и др. По результатам проведенного анализа для сотрудника готовится соответствующая программа обучения. Она составляется из индивидуального набора курсов, которые предварительно утверждаются заказчиком.

Система Awareness Center может работать как на облачной инфраструктуре, так и разворачиваться у заказчика.

Стоит отметить, что в 2017 году InfoWatch и компания Phishman объявили о завершении интеграции DLP-системы InfoWatch Traffic Monitor и системы Phishman Awareness Center. DLP-система InfoWatch Traffic Monitor фиксирует все события на рабочих станциях и корпоративных мобильных устройствах организации, анализирует их, выявляет факты нарушения политик безопасности и при необходимости блокирует передачу данных. Перехваченные DLP-системой события, попавшие в категорию неумышленных нарушений, затем передаются в систему Phishman Awareness Center, которая, в свою очередь, подбирает релевантные обучающие правила и курсы под каждый инцидент и назначает сотруднику, нарушившему политику информационной безопасности, соответствующее обучение.

 

Рисунок 14. Учебный курс, предлагаемый модулем Phishman сотруднику для прохождения обучения

Учебный курс, предлагаемый модулем Phishman сотруднику для прохождения обучения

 

Детально с продуктом можно ознакомиться в нашем обзоре Phishman Awareness Center.

 

«Антифишинг»

Компания «Антифишинг» предлагает одноименную систему обучения и контроля защищенности сотрудников (ознакомиться с сертифицированным обзором).

Система «Антифишинг» поддерживает два режима работы:

  • как сервис из собственного облака «Антифишинга»;
  • встраивается в информационную инфраструктуру заказчика. Обучение сотрудников и проверка навыков объединяются в единый процесс с измеримыми показателями эффективности. В качестве примера такие показатели проиллюстрированы на рисунке 15.

 

Рисунок 15. Интерфейс «Антифишинга». Управление защищенностью сотрудников в одной панели

Интерфейс «Антифишинга». Управление защищенностью сотрудников в одной панели

 

В рамках обучения сотрудников система «Антифишинг» включает в себя обучающие курсы и дайджесты. Курсы содержат минимум теории, в основном составлены из реальных примеров, рабочих ситуаций и простых правил, которые нужно знать обычному сотруднику, а именно:

  • работа с информацией, в электронном и бумажном виде;
  • безопасная передача файлов;
  • безопасная работа в интернете, на сайтах и в социальных сетях;
  • безопасная работа с электронной почтой;
  • выбор паролей и способы их хранения;
  • проверка и обеспечение безопасности личного компьютера, смартфона, планшета;
  • правила работы в офисе и в командировках;
  • реагирование на инциденты информационной безопасности;
  • и другие.

Каждый курс адаптируется под политики информационной безопасности и оформляется в соответствии с фирменным стилем организации заказчика.

Кроме курсов, заказчику доступны приватные ежемесячные дайджесты, с углубленным обзором новостей, инцидентов и разбором правил безопасности для разных категорий сотрудников.

 

Рисунок 16. Фрагмент курса «Антифишинга» о безопасной работе интернете

Фрагмент курса «Антифишинга» о безопасной работе интернете

 

В рамках проверки навыков сотрудников система «Антифишинг» позволяет проверить самые важные навыки сотрудников, которые зачастую используются реальными мошенниками в цифровых атаках на организации.

Компания «Антифишинг» ежемесячно проектирует несколько сценариев целевых атак для каждого заказчика. После согласования заказчику передаются рабочие шаблоны имитированных атак.

На рисунке 17 приведен пример сценария атаки, который передается заказчику для согласования.

 

Рисунок 17. Формат сценария атаки, передаваемый заказчику для согласования

Формат сценария атаки, передаваемый заказчику для согласования

 

После этого заказчик загружает их в систему «Антифишинг» и использует для выполнения атак и проверки навыков своих сотрудников. В результате будет видно, кто, когда и с каких систем открывал электронные письма, переходил по ссылкам, открывал вложенные файлы, открывал фишинговые сайты и вводил свои данные на них и др.

Сценарии и шаблоны атак готовятся в соответствии с классификацией цифровых атак, формируемой «Антифишингом». 

По результатам проверки навыков и реагированию сотрудника на имитируемые атаки у него накапливается рейтинг — число, означающее одновременно его опыт и общий уровень защищенности.

 

Рисунок 18. Интерфейс «Антифишинга». Рейтинг сотрудников по результатам реагирования на имитируемые атаки

Интерфейс «Антифишинга». Рейтинг сотрудников по результатам реагирования на имитируемые атаки

 

Отрицательный рейтинг означает, что в большинстве имитированных атак сотрудник совершал небезопасные действия. Степень в рейтинге и комментарий означают последние изменения: насколько ухудшилось или улучшилось поведение сотрудника и что именно он сделал в последней имитированной атаке.

Система «Антифишинг» также позволяет отслеживать историю действий сотрудника или группы сотрудников на протяжении времени и представлять эти данные в графическом виде.

 

Рисунок 19. Пример истории действий по группе сотрудников и статистика их действий в одной из имитированных атак

Пример истории действий по группе сотрудников и статистика их действий в одной из имитированных атак

 

Помимо обучения и проверки навыков сотрудников система «Антифишинг» позволяет контролировать программные уязвимости на рабочих местах и мобильных устройствах сотрудников.

Система «Антифишинг» позволяет выявить программные уязвимости в операционных системах, браузерах, почтовых клиентах и офисных программах, с которыми работают сотрудники.

Система «Антифишинг» оказывает содействие в работе таких подразделений организации, как:

  • Служба безопасности — помогает выявить слабые звенья в системе безопасности организации.
  • Департамент (отдел) информационных технологий — помогает снизить риски нарушения доступности ИТ-сервисов.
  • Служба информационной безопасности — помогает определить навыки сотрудников по вопросам информационной безопасности, снизить эффективность фишинга и других цифровых атак на организацию.
  • HR-отдел — позволяет автоматизировать процесс обучения по вопросам безопасности и не только.

Еще несколько особенностей системы «Антифишинг»:

  • встроенная система электронного обучения. Кроме курсов «Антифишинга», заказчик может загружать собственные курсы и обучать людей по темам, не связанным с безопасностью;
  • интеграция с Active Directory для импорта и синхронизации сотрудников;
  • встроенный планировщик для автоматизации всех процессов обучения и контроля навыков;
  • программный интерфейс REST API для управления всеми функциями системы «Антифишинг» из любой внешней системы: например, из системы R-Vision (мы не так давно обозревали R-Vision IRP 3.1).

Каждый новый сотрудник проходит обязательное обучение. Действующие сотрудники проходят проверку еженедельно.

 

UBS Security Awareness Platform

UBS предлагает платформу для повышения осведомленности персонала в области информационной безопасности. Также с недавнего времени UBS совместно с KnowBe4, одним из мировых лидеров, предлагает платформу повышения осведомленности KnowBe4.

Пакет предложений компании UBS по направлению повышения осведомленности в области информационной безопасности включает в себя следующее:

  • Облачная платформа повышения осведомленности UBS
  • Облачная платформа повышения осведомленности KnowBe4
  • Комплекс заказных услуг повышения осведомленности

Рассмотрим более подробно каждое из предложений UBS.

Облачная платформа повышения осведомленности UBSвключает в себя 15 интерактивных мультимедийных курсов по всем основным темам информационной безопасности, более 650 тестовых вопросов и кейсов, наглядная агитация (заставки, плакаты и постеры по информационной безопасности), публикации для рассылки персоналу и развитая система отчетности о результатах обучения и тестирования. Также доступны сервисы санкционированных фишинговых рассылок и других пентестов методами социальной инженерии.

 

Рисунок 20. Облачная платформа повышения осведомленности UBS

Облачная платформа повышения осведомленности UBS

 

Рисунок 21. Пакеты учебного контента облачной платформы повышения осведомленности UBS

Пакеты учебного контента облачной платформы повышения осведомленности UBS

 

Доступ к учебному контенту платформы осуществляется посредством любого браузера и с любого устройства, в том числе с мобильных.

Облачная платформа повышения осведомленности KnowBe4

UBS является первым и единственным на территории России и СНГ партнером американской компании KnowBe4 — одного из лидеров Gartner Magic Quadrant в сегменте Security Awareness Computer-Based Training 2017.

UBS предоставляют российским заказчикам облачную платформу, которая включает в себя как материалы и сервисы, разработанные KnowBe4, так и материалы на русском языке, адаптированные UBS для российской аудитории. Эта платформа повышения осведомленности включает в себя:

  • 63 учебных курса по ИБ;
  • 100 обучающих видеороликов;
  • 33 игры по ИБ разного жанра;
  • 120 постеров и плакатов;
  • антифишинговые рассылки, проверка паролей, USB-пентест, симулятор шифровальщиков и др;
  • авторский видеотренинг Кевина Митника по повышению осведомленности.

 

Рисунок 22. Пример интерфейса облачной платформы повышения осведомленности KnowBe4

Пример интерфейса облачной платформы повышения осведомленности KnowBe4

 

Комплекс заказных услуг повышения осведомленности

Компания UBS также оказывает услуги повышения осведомленности, адаптированные под требования и специфику конкретного заказчика.

При этом UBS предлагает заказчику разработку материалов для повышения осведомленности, включая разработку методологической базы и организационно-распорядительной документации, регламентирующей повышение осведомленности в области обеспечения корпоративной безопасности и соответствия нормативным требованиям.

Вышеупомянутые услуги, предлагаемые компанией UBS, оказываются в несколько этапов:

Этап 1: Планирование проекта и разработка организационно-распорядительной и методологической документации на систему обучения и повышения осведомленности в области информационной безопасности.

Этап 2: Реализация программы повышения осведомленности персонала в области информационной безопасности включает следующие услуги:

  • разработка тематических информационно-обучающих анимационных интерактивных материалов в соответствии с политиками по информационной безопасности, корпоративным стилем и иными требованиями;
  • разработка тематических информационно-обучающих графических материалов (плакатов и заставок, памяток, скринсейверов, листовок, календарей, канцелярской продукции и т. п.);
  • разработка инструктажей по информационной безопасности для новых и действующих сотрудников;
  • разработка курсов по информационной безопасности (MS PowerPoint, SCORM, видеокурсы);
  • проведение обучения и тестирования персонала;
  • разработка информационно-аналитических дайджестов по информационной безопасности;
  • разработка дополнительных тематических графических и информационно-обучающих материалов (видеоролики, игры, промо-сайты и т. п.);
  • выполнение пентестов методами социальной инженерии.

Этап 3: Оценка эффективности программы повышения осведомленности, разработка рекомендаций по корректирующим мерам, а также плана их реализации.

 

Syssoft Security Awareness

Компания «Системный софт» предлагает облачный сервис Syssoft Security Awareness для обучения сотрудников основам кибербезопасности.

Syssoft Security Awareness включает более 20 курсов по информационной безопасности, учебный портал и сервис рассылок. Сервис развернут в облачной инфраструктуре, но при этом, по заявлениям разработчика, может быть интегрирован с DLP-системой и системой контроля рабочего времени.

Syssoft Security Awareness работает следующим образом:

  • осуществляется рассылка писем с завлекающим контентом, таким образом выявляются уязвимые к социальной инженерии сотрудники;
  • проводится них обучение с тестированием после окончания;
  • через некоторое время проводится повторная рассылка.

При использовании сервиса выполняются следующие действия:

1 этап — Импорт списка сотрудников из Active Directory в сервис

2 этап — Автоматическое или ручное разделение сотрудников на фокус-группы

3 этап — Запуск серии писем с ловушками (счет на оплату, штраф ГИБДД и т. д.)

4 этап — Определение числа переходов по ссылкам и открытия вложений

5 этап — Формирование групп для обучения основам информационной безопасности

6 этап — Регулярное тестирование сотрудников на новых шаблонах

Syssoft Security Awareness осуществляет проверку сотрудников на подверженность атакам с использованием фишинговых писем. Если сотрудник переходит по ссылке в письме, ему автоматически предлагается пройти обучение. Также предлагается проходить регулярные обучения сотрудников основам кибербезопасности. Syssoft Security Awareness предлагает более 20 курсов по тематике информационной безопасности.

Система позволяет выявлять слабые места сотрудников с последующим обучением по выявленным темам. Осуществляется это с помощью интеграции с DLP-решениями и системами контроля рабочего времени.

В Syssoft Security Awareness существует возможность создания шаблонов электронных писем для рассылки сотрудникам. При этом с системой поставляется несколько десятков шаблонов фишинговых писем, и их база постоянно пополняется.

Syssoft Security Awareness легко интегрируется с Active Directory, что значительно облегчает формирование базы сотрудников.

Предусмотрена возможность брендирования учебного портала и курсов под фирменный стиль, а также настройка расписания обучения.

Стоит отметить, что сервис Syssoft Security Awareness в основном направлен на осведомленность персонала в вопросах защиты от фишинга и шифровальщиков.

 

Deteact Awareness

Еще один сервис на отечественном рынке представляет компания Deteact — сервис Deteact Awareness предназначен для повышения устойчивости компании к атакам с использованием методов социальной инженерии. При этом проводится обучение и тестирование сотрудников, а также контроль технических мер защиты.

Услуга состоит из нескольких компонентов:

  • регулярные рассылки фишинговых писем и исполняемых файлов для тестирования сотрудников;
  • автоматизированный аудит механизмов противодействия атакам на уровне почтового сервера (антиспам, антивирус) и на уровне рабочей станции (endpoint-защита);
  • мониторинг доменных имен, выявление фишинговых веб-сайтов, направленных на конкретную компанию;
  • сбор и предоставление индикаторов компрометации (IOC), включающих доменные имена, IP-адреса, email-адреса, хеш-суммы файлов.

Одним из компонентов сервиса Deteact Awareness является платформа обучения сотрудников. Сервис настраивается под каждого конкретного заказчика:

  • согласовываются стандартные сценарии атаки, актуальные для заказчика;
  • разрабатываются специализированные сценарии, учитывающие особенности инфраструктуры, используемых сервисов, кадровой структуры, названия и дизайна бренда;
  • согласовываются актуальные темы для обучения и оформления буклетов.

Таким образом, сначала проходят «атаки» на компанию по заранее согласованным сценариям для выявления уязвимых к социальной инженерии сотрудников и определения уровня знаний сотрудников для составления программы дальнейшего повышения осведомленности сотрудников.

Из особенностей сервиса Deteact Awareness можно выделить:

  • наличие набора собственных инструментов для создания невидимых для антивирусных программ исполняемых файлов с полезной нагрузкой для демонстрации запуска. Применяются методы, аналогичные тем, что используются при вирусной атаке, но демонстрационные файлы не осуществляют закрепление в системе и передачу конфиденциальных данных, а лишь фиксируют факт запуска на конкретной рабочей станции, также может быть сделан скриншот или вывод системной информации. Это нечто вроде «доброго вируса», который ничего не ломает и не крадет;
  • продвинутые сценарии атак для интернет-компаний, использующих облачные сервисы;
  • инструкции по безопасному использованию и настройке различных популярных почтовых сервисов и мобильных устройств с учетом различных моделей угроз, включая физические и специальные.

В рамках цикла повышения осведомленности по вопросам ИБ Deteact предоставляет дополнительные услуги:

  • лекции по «информационной гигиене», личной и корпоративной безопасности для сотрудников;
  • составление внутренней базы по повышению осведомленности по вопросам информационной безопасности для инструктажа новых сотрудников;
  • тестирование с физическим взаимодействием (социальная инженерия) — обзвон, распространение USB-накопителей;
  • обучение и круглосуточная поддержка для топ-менеджмента и владельцев бизнеса.

Deteact анонсирует, что в следующей версии сервиса будут реализованы:

  • рассылка обучающих материалов по результатам атак;
  • рассылка тестов для закрепления обучения;
  • контрольные и серийные рассылки;
  • интеграция с Active Directory и инфраструктурой заказчика;
  • расширение количества сценариев;
  • расширение количества обучающих материалов на различных языках.

 

Выводы

В статье мы разобрались, что собой представляет Security Awareness в принципе. Security Awareness, или повышение осведомленности в области безопасности — это ряд обучающих мер, которые освещают основные моменты обеспечения безопасности как на рабочем месте, так и в обычной жизни. Короткие презентационные материалы, видеоролики, и прочие материалы, как правило, разрабатываются отдельными модулями для руководителей, звена управления и для персонала. После ознакомления с материалами обучающийся проходит тестирование.

Если рассматривать сервисы по Security Awareness, то практически все вендоры предлагают помимо курсов по повышению осведомленности еще и антифишинговые рассылки для проверки знаний персонала и выявления «двоечников».

Также мы рассмотрели законодательство в этом сегменте. С сожалением приходится резюмировать, что отечественное законодательство существенно отстает от зарубежного. Возможно, это связано с непониманием важности данного процесса для обеспечения безопасности не только частного сектора экономики, но и безопасности страны в целом. Как обычно, надеемся на авось.

Говоря про отечественную и мировую практику по услугам осведомленности в вопросах информационной безопасности, стоит отметить, что отечественный рынок сервисов и систем Security Awareness находится в начале своего становления. Причем тенденции и перспективы развития, на наш взгляд, достаточно радужные.

На отечественном рынке можно выделить сервисы «Лаборатории Касперского» и компании Phishman. Сервис «Лаборатории Касперского» содержит программы повышения осведомленности как для руководства, что является большим плюсом, так и для рядовых сотрудников. Сервис Phishman неплохо развивается, интеграция его с DLP-системами и значительный набор программ повышения осведомленности под различные категории сотрудников являются его плюсом.

Дополнительно хотелось бы порассуждать на тему осведомленности в вопросах информационной безопасности и возможных перспектив развития в России. Все мы знаем, что нашу жизнь сейчас заполонили различные гаджеты, умные вещи, техника и т. д. Половину своего дня, а то и больше мы проводим в виртуальном мире. И что хочется отметить: дети с раннего возраста (5-7 лет) уже пользуются смартфонами, сидят за компьютерами. Кто им расскажет о фишинге, вирусах и киберугрозах? Кто обучит их родителей безопасной работе за компьютером?

Немного порассуждав на эту тему, становится понятно, что решение здесь достаточно простое. Повышать осведомленность в вопросах информационной безопасности подрастающего поколения необходимо уже со школьной скамьи. Здесь необязательно вводить специализированные уроки, достаточно хотя бы раз в полгода проводить небольшое обучающее занятие, в конце которого делать тестирование. Обучать детей нужно именно основам кибербезопасности без углубления в специфику. То же самое необходимо делать и в средних специальных и высших учебных заведениях. При этом можно было бы в школах проводить занятия с родителями, раздавать им брошюры и различные постеры. Это позволит вырастить человека и специалиста, который знает основы безопасности — как придумывать пароль, что нельзя открывать непонятные письма, что по телефону нельзя передавать персональные данные кому-либо и т. д. Повышение осведомленности населения позволит в итоге значительно снизить расходы на обучение специалистов и повысит безопасность компании, в которую он устраивается, а также повысит безопасность страны в информационной сфере.

Еще одним решением повышения осведомленности граждан могло бы стать размещение на основных поисковых сайтах и в социальных сетях постеров по безопасной работе в интернете — вместо навязчивой рекламы была бы полезная информация.

Однако подобные вопросы необходимо решать на правительственном уровне, но когда власти придут к подобным решениям — неизвестно.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru