Николай Агринский: Самое слабое звено в системе ИБ — пользователь

Николай Агринский: Самое слабое звено в системе ИБ — пользователь

Николай Агринский

CISA, CISM, ISO 27001 Lead Auditor. Более 10 лет работы инженером, аудитором, консультантом, руководителем проектов в области системной аналитики, аудита и проектирования систем управления ИТ/ИБ, разработки программирования и автоматизации информационных систем. Знания в области теории сложных систем и системного анализа, теории принятия решений, теории систем массового обслуживания. Опыт работы по международным стандартам, в области проектирования информационных процессов.

...

На вопросы аналитического центра Anti-Malware.ru отвечает Николай Агринский, основатель компании Phishman. Это интервью продолжает цикл публикаций в рубрике «Индустрия в лицах».

Николай, расскажите о компании Phishman — c чего все началось, и какие задачи она ставит перед собой?

Бренд Phishman появился на рынке не так давно — летом 2016 года. Phishman выроc из компании «ТЦ «Инженер», основанной в 1999 г. и занимающейся консалтинговой и проектной деятельностью. Одним из направлений деятельности была информационная безопасность. В итоге сформировалась сильная команда, которая занималась консалтингом в больших интеграторах.

В начале 2016 года у нас возникла интересная идея: есть немало продуктов, которые занимаются идентификацией фишинга. Однако всегда найдется процент пользователей, которые на этот крючок попадутся. И тогда мы пришли к выводу, что решение вопроса с фишинговой атакой должно приносить бизнес-выгоду. Возникла идея не просто обнаруживать атаки с использованием методов социальной инженерии, а обучать пользователей и за счет этого приносить финансовую отдачу организации.

В середине 2016 г нашим акционером стал Softline Seed Fund — совместный фонд посевных инвестиций группы компаний Softline и ФПИ Российской венчурной компании. В команду Phishman вошли специалисты, которые занимались тематикой социальной инженерии, и ряд экспертов Softline.  

А фишинг сам по себе не слишком узкая тема?

Абсолютно нет. Приведу пример.

В одном из банков мы проводили пилот. Специалисты по безопасности сразу сообщили , что у них DLP: «Когда есть инцидент, мы вынуждены его посмотреть, написать письмо в корпоративный университет, назначить обучение, проверить результаты. На это уходит 80% времени. А можно ли этот процесс автоматизировать?».

И тогда пришло осознание, что необходимо не просто автоматизировать выявление фишинговых угроз, но и проводить автоматическую диагностику того, чему пользователя надо учить.

Сейчас как делается? Отдел кадров назначил плановое обучение. Максимум — есть какой-то корпоративный университет c базовыми курсами, такими как «Управление личностным ростом», о которых мало кто знает и на которые мало у кого есть время.

Поэтому первая задача — диагностика того, чему нужно обучать сотрудника, причем — автоматизированная.

Клиент однажды сказал: «У нас есть своя LMS (Learning Management System, система управления обучением, прим. редакции), вы можете с ней взаимодействовать?». Стало очевидно, что это необходимо, и мы интегрировались с программным решением WebTutor, которое внедрено у множества потенциальных клиентов.

Дальше произошел качественный сдвиг в наших разработках: добавились интерактивные возможности, инфографика, игры. Кроме того, мы потихоньку собираем статистику, какие курсы работают лучше и для кого.

По сути, у компании сейчас появилось два направления. Первое связано с анализом пользователя. Здесь есть хорошие наработки, потому что информация собирается с разных информационных систем, и можно делать срезы по большому объему персонифицированных данных. А во-вторых, предполагается использование элементов специфической психологии — маркеры личности и прочее.

Мы растим своего доктора Хауса, который будет заниматься диагностикой, назначать лечение и предлагать эффективные таблетки для решения бизнес-задач.

Если мы заговорили об интеграции с LMS, кто является потребителями вашей услуги в организации — ИБ или HR?

Изначально планировалось продвигать тему в отношении безопасности, но получилось ее расширить на весь бизнес. Наша система начинает работать со всеми курсами, которые есть в LMS. Например, человек проводит много времени в офисных приложениях. Может быть, навык работы с приложениями у него не очень высок, и система может назначить ему обучение по офисному пакету.

Что касается обучения ИБ, насколько востребована эта услуга?

Тема сейчас востребована. Она «подогрета» направленными атаками, шифровальщиками. При этом потребность обучать сотрудников у организаций есть хотя бы потому, что системы безопасности продолжают развиваться, а пользователь остается на том же уровне понимания проблематики, точнее — непонимания. Более того, раньше ему приходилось образовываться при соприкосновении с сложной техникой. Сейчас же работа с компьютером и интернетом стала обыденной, и люди ошибочно предполагают, что необходимости в обучении нет: мы все всё знаем. Поэтому уровень осведомленности в вопросах безопасности при работе с ресурсами организации деградирует и находится на крайне низкой ступени. Пользователь стал самым слабым звеном информационной инфраструктуры.

Может, тогда лучше взять пользователей под полный контроль и обложить ограничениями, а не пытаться их обучить?

Люди занимаются бизнес-задачами и отправляют «конфиденциалку» домой, потому что болеют за дело. Если обложить ограничениями пользователя, то мы упремся в одну проблему — как только мы максимально защитились, бизнес встал. А если защититься не полностью, то возникает проблема — часто действия злоумышленников похожи на бизнес-активность, и системы безопасности определить ее не могут.

DLP-системы не работают против хороших специалистов. Несколько лет назад банальное копирование ZIP-файла в JPEG сбивало с толку DLP-систему, так как передача картинок была разрешена. То же самое с антифишинговыми системами: как отличить деловое письмо от фишинга? Когда пошла хакерская рассылка — это становится очевидным. А если это всего одно письмо — направленное?

Если сложность системы возрастает, начинаются детские проблемы. Приведу пример: большая ритейловая компания, разговор с финансовым директором. Был пентест — в результате получили доступ доменного админа. Замечаем: «У вас данные украдут, клиентскую базу, например». Он отвечает: «Да и бог с ней, я знаю, за сколько купить базу конкурентов, это недорого». Кража информации для него не так критична, однако в крупном ритейле — большой объем платежей. Если в доменной базе создать дополнительные счета, то система оплатит их не задумываясь. По словам безопасника той же компании, если цифра будет меньше 100 миллионов рублей, то они заметят ее только в конце квартала.

Не секрет, что во многих крупных компаниях ИБ занимаются выходцы из силовых структур, у них нет KPI по обучению, но им нужно обеспечить увольнения и другие карательные меры. Как до них донести важность обучения?

У выходцев из спецслужб есть один замечательный навык — в критической ситуации они четко соображают. И у них есть свой интерес: если пользователи не будут «косячить», они не попадут в неприятную историю. С другой стороны, если человеку не нужна услуга — значит, не нужна, и здесь нет смысла объяснять. Однако это может быть не интересно безопаснику, но интересно специалисту по кадрам или IT.

Еще один момент связан с людьми, которых больше волнует физическая безопасность. Они не любят писать курсы, не хотят организовывать обучение даже для новых сотрудников, которым надо рассказать про конфиденциальную информацию. Но им такие курсы нужны. И наконец, мой опыт общения показывает, что новое поколение людей, которое приходит «из структур», уже более продвинуто и ответственно в задачах ИБ.

Наверно, можно продать ваши курсы в качестве кнута для ИБ. Вы десять человек найдете, уволите и повысите надежность защиты компании...

Да, руководитель службы безопасности, к сожалению, часто позиционирует себя как человек, который борется с пользователями. Например, у наших клиентов есть безопасник, замечательный дядька. В его компании на стадии пилота попалось 70 или 80 процентов пользователей. Сейчас — 3 процента. Он переживает и говорит: «Коля, а мы можем, придумать что-то, чтобы больше попадалось людей?».

А можно ли как-то использовать обучение в качестве поощрения?

Сегодня обсуждали с одним специалистом идею игры в стиле «Кто хочет стать миллионером?»: «…это замечательно, потому что мы можем привязать достижения в игре к корпоративным бонусам. Элементы геймификации очень важны». Новое поколение любит играть.

Сколько у вас сейчас курсов? Большая ли команда их создает? И еще — у вас есть предустановленный набор курсов или вы создаете курсы под конкретного клиента?

У нас предустановленного набора курсов нет. При этом основная идея нашего проекта: хороший сервис за разумные деньги. Хотя через какое-то время, может быть, мы изменим эту политику.

В частности, мы не ограничиваем системы по пользователям. Не важно, у вас 1000 или 15 000 сотрудников. Пока человек платит за подписку, все обновления и новые курсы попадают к нему автоматом. Фактически компании берут на работу Phishman.

На самом деле курсы — это труд многих профессионалов: несколько экспертов, дизайнер, методолог.12 курсов готово и доступно в системе. Еще 8 проходят последнюю экспертную оценку. В месяц наша планка — 3-6 курсов. Программа на 2017 год — 60 курсов к декабрю.

Сколько стоят ваши курсы?

В базовом варианте 50 тысяч рублей в месяц. Это крайне немного. Могут быть элементы, которые увеличивают стоимость. В целом, если клиент заказывает максимальный функционал, то цена такой системы в год будет 3-3,5 миллиона рублей.

Есть ли у вас бесплатные версии? Например, можно ли попробовать или посмотреть 2-3 курса?

Первый пилот у нас часто бесплатный. Тестовую группу мы не ограничиваем. Это может быть 200-300 человек. Курсы можем показать даже полностью: обучить, например, несколько сотрудников. Дело в том, что мы позиционируем курсы не как разовые операции. Их надо проходить постоянно.

Я начал прорабатывать две темы: мы хотим запускать бесплатные курсы для школ, а также планируем развить систему, которая бы обнаруживала опасные для детей темы по определенным маркерам поведения, которые могут на это указывать.

Допустим, я хочу стать клиентом Phishman. Как происходит подключение? Что вообще нужно?

Здесь есть два варианта. Сервис может предоставляться как SaaS либо устанавливаться внутри компании. Мы рекомендуем второй вариант, если есть интеграция со службами безопасности, HR-системами и др., то эти данные не очень хочется отдавать наружу. И нам эта ответственность не нужна.

Сам пилот мы предлагаем провести на срезе. Заказчик выражает желание, ему доставляется несколько видов рассылки, после чего он определяет размер тестовой группы. Затем ему приходят рассылки, и он подтверждает, что они проходят сквозь спам-фильтры. После этого с заказчиком согласуется время. В назначенный час проводятся рассылки, и он получает отчет. Если необходимо, мы готовы обучить часть людей, либо дать ему доступ к системе обучения, чтобы он сам мог обучить несколько человек, увидеть уровень курса и его качество. После этого речь идет уже об установке. Мы сами внедряем систему и либо интегрируемся с существующей системой LMS, либо ставим свой вариант.

После этого специалист по ИБ может работать с центром осведомленности: у них есть статистика, возможно выгрузить отчеты, добавить дополнительные графики. От нас ему приходят обновления: новый функционал или исправления. Далее появляются новые курсы и новые шаблоны.

Откуда вы обычно берете шаблоны?

Смотрим их на различных ресурсах и используем реально приходящие рассылки по множеству направлений. Плюс заказчик тоже может прислать шаблон или сделать новый образец.

Рассылок, на которые можно поймать пользователя, не так много. Они различаются по типу недостатков, которые эксплуатируют. Есть шаблоны, нацеленные на нашу жадность. Другие — ориентированные на страх. Есть те, которые используют потребность быстро решить проблему. Эти виды рассылок тиражируются и видоизменяются, но сейчас нам приходится реже и реже делать новые шаблоны.

Phishman — компания молодая, чего ждать от вас в течение года-двух?

Во-первых, появится отдельное приложение: модуль по анализу поведения с выделением типов личности, профилей. Во-вторых, будет сильно развиваться система обучения, ведь в этой области у нас все плохо даже на уровне страны. Я в качестве хобби преподаю в МАИ и наблюдаю этот провал с методологией. Непонятно, как быстро и четко донести нужную информацию, чтобы человек уяснил, понял, использовал — и все это с минимальными затратами времени. Мы хотим эту тему серьезно развивать — результат должен достигаться за минимальное время с максимальным эффектом.

Спасибо за интервью и успехов в работе!