[музыка] Добрый день уважаемые слушатели Меня зовут Павел Кузнецов на данный момент я занимаю позицию директора по стратегическим альянсом и взаимодействию с органами государственной власти то есть GR в группе компании Гарда Начинал работать в области информационной безопасности уже порядка 20 лет назад прошёл достаточно длинный карьерный путь при этом занимал как инженерно исследовательские должности так и руководящие соответственно в качестве краткого представления такого чтобы вы просто понимали что эту тему ту тему о которой мы сегодня говорим управление человеческим риском вам рассказывает человек который понимает в том числе и технические аспекты обеспечения информационной безопасности а не только соответственно нормативные и ОКОГУ манита соответственно человек вше время вст с техникой постоянно то есть информатизация общества у нас движется действительно с чудовищно стремительными темпами с вычислительной техникой у нас работает буквально каждый начиная от кассирши на касе соответственно в любом гипермаркете заканчивая чуть ли не в современных реалиях условными дворниками потому что как бы Уборочная техника в дворах она тоже постепенно компьютеру соответственно технологии проникают в нашу жизнь во все процессы в том числе в процессы критические связанные при этом не только там с финансовой сферы но и уже с непосредственно нашей физической жизнью физической безопасностью стоит вспомнить например хотя бы роботизации машин такси роботизации Промышленной техники и так далее и так далее и так далее и так далее в такой ситуации вопрос информационной безопасности то есть в первую очередь обеспечение защищённости тех технологий которыми Мы работаем и защищённости их в первую очередь от реализации уже физических так называемых уже аналоговых рисков приобретает совершенно определённую важность причины проблем связанных с управлением человеческим риском как правила кроются в двух основных моментах плюс десятках каких-то сопутствующих недосмотр непродуманность и так далее как правило в организации даже с достаточно развитым проникновения информационных технологий а зачастую менеджмент может не осознавать во-первых глубины проникновения it в деятельность организации то есть да это удобно да Мы не пользуемся например распечатанным документами на каждодневной основе большинство переписки общения с клиентами с контрагентами внутри компании у нас происходит в электронном виде но при этом мы воспринимаем склонны я бы сказал воспринимать всё это как обычный фон ежедневной нашей жизни То есть как нечто само собой разумеющееся и соответственно особого внимания не требующее возможно также ошибочное ощущение избыточности или вовсе ненужности киберкуб не it специализации То есть как правило сотрудник службы информационной безопасности воспринимается как какой-то не то чтобы как правило уже в современное время но на самом деле частенько как какое-то досадное препятствие на пути к реализации той или иной рабочей задачи потому что тебе нужно что-то сделать максимально быстро у тебя есть Задача От твоего руководителя либо возможно вообще от руководителя там выше уровни в организации соответственно нужно быстро качественно наиболее эффективно в этот момент тебе почему-то нужно проходить какие-то дополнительные контроли где-то вводить свой логин пароль где-то возможно Авторио с помощью нужни к чему-то задно и к совершенно бесполезно То есть как бы кому мы нужны кто нас вообще может захотеть взломать а при этом нам приходится ежедневно сталкиваться с какими-то контроля которые замедляют наши рабочие процессы Ну вот десятки подобных иных причин но вот это пожалуй основная основные две причины по которым зачастую к сожалению к вопросам ки беркуту к вопросам sec так называе то есть одом вопросах информационной безопасности подходит к сожалению с недостаточным уровнем внимательности в таких условиях обеспечение безопасности часто приносится в жертву скорости и масштаб внедрения новых it сервисов особенно часто это случается в организациях где например подразделение информационной безопасности подчинено заместителю руководителя организации который отвечает завис потому Понятно Бизе за скорость внедрения непосредственно систем которые решают именно основные задачи организации продажи размещения материалов если это какой-то медиасайт и так далее и так далее и так далее человек у которого основные ключевые показатели эффективности связаны именно с этой сферой деятельности естественно задвигает вопрос безопасности на второй план и они либо во ваются в ходе разработки внедрения таких сервисов продакшн либо значительно запаздывают то есть Сначала мы выводим систему в бой она начинает работать к ней получают доступы в том числе внешние по отношению к нашей компании люди то есть потенциальные злоумышленники могут быть в их рядах а безопасностью мы начинаем заниматься например через год после того как этот сервис был выведен на периметр нашей организации более того даже в организациях со зрелым уровнем отношения кибербезопасности где сервисы даже проектируются по концепции скажем так Secure by Design То есть когда архитектура безопасности закладывается ещё на моменте разработки базовой архитектуры самого сервиса редко соблюдаются а зачастую даже и не заданы правила именно [музыка] киберкуб уровней и специализаций считается что как бы подразделение информационной безопасности и айтишники да это их сфера они должны в этом разбираться понимать эти вопросы и соответственно за них нести ответственность а условный Бухгалтер не знаю там тётя Валя Иванова В подобных вопросах разбираться не должна это совершенно ошибочное мнение сейчас с вами попробуем разобраться Почему злоумышленники не дремлют и зачастую они идут по пути наименьшего сопротивления и вместо того обходить сложные технические средства защиты То есть даже если у вас развита информационная инфраструктура сложная шл неровная система защиты У вас есть все классические средства обеспечения информационной безопасности то есть там решение класса Network detection and respon например мониторит вашу сеть на всех конечных точках то есть на серверах и рабочих станциях пользователей у вас стоят агенты Ну это классическое как бы гармоничное развитие антивирусного решения у вас стоит а BRAND M то есть межсетевой экран на периметре вашей организации и так далее и так далее Всё это настроено функционирует у вас Возможно даже есть собственный Центр мониторинга и противодействия кибератака в компании Поэтому в принципе проникнуть в вашу информационную инфраструктуру задача достаточно сложная если пытаться делать это в лоб То есть например найти какие-то уязвимости путём сканирования на вашем периметре либо внедрить какой-то сложный инструмент не либо точнее А и внедрить какой-то сложный инструмент через компрометации этих уязвимостей либо искать с помощью опять-таки анализа внешнего путей и векторов проникновения в вашу инфраструктуру какие-то изощрённые способы её компрометации работает то что работает проще всего поэтому зачастую злоумышленники исповедуют именно этот подход и атакуют пользователей потому что несмотря на масштаб о котором мы уже успели сегодня поговорить проникновение технологии в нашу жизнь именно пользователь и особенно пользователь недостаточно подготовленный недостаточно образованный в вопросах информационной безопасности всегда остаётся и останется скорее всего наиболее слабым звеном любой системы обеспечения информационной безопасности топ-3 векторов проникновения в инфраструктуру по озвученный мной ранее причинам сохраняется на протяжении уже многих лет а чисто статистически порядка 30% а цифры меняются но незначительно поверьте чисто статистически порядка 30% приходится на социотерапия либо соответственно сообщения в мессенджерах которые направлены на то чтобы мотивировать неподготовленных людей к произведению некоторых действий которые позволят либо их руками реализовать то что злоумышленникам необходимо либо получить доступ для злоумышленников к вашим сервисам второе место занимают незакрытые уязвимости на периметре И третье место соответственно подбор либо каража учётных записей Обратите внимание что подбор либо кража учётных записей напрямую связан с уязвимостью лю в рамках управления человеческим риском потому что как правило слабые пароли задают опять-таки недостаточно подготовленные сотрудники в вопросах информационной безопасности и в вопросах киберкуб атаки Несмотря на то что Казалось бы злоумышленники используют Вектор который актуален на протяжении десятилетий будут теми же которые были те же самые 102 либо даже 5 лет назад а активное изучение новых технологий К сожалению это борьба соответственно брони и снаряда и снаряд в данном случае это атаки злоумышленников они всегда находятся на полшага впереди соответственно в настоящее время начали активно на волне хайпа интереса к технологиям генеративных нейронных сетей применять эти технологии в своей скажем так деятельности например в двадцать первом году используя технологии класса de fake по делав личность конкретно был поденсе Нера директора одного из крупных корпоративных банков в Объединенных Арабских Эмиратах клиентов банков Точнее то есть юридическое лицо было клиентом этого злоумышленникам удалось совершить хищение на сумму порядка 35 млн долларов США основным средством и методом воздействия при этом стала социальная инженерия как раз о слабым звеном в системе безопасности менеджер банка которого злоумышленникам удалось убедить в легитимности своих запросов и осуществить необходимые для них действия то есть представившись якобы генеральным директором юрлица клиента и связавшись с менеджером банка посредством голосовых сообщений злоумышленникам 35 млн долларов США сумма впечатляет в 2022 году злоумышленники создали виртуальный Аватар Патрика хиллмана это директор по коммуникациям сервиса известного достаточно финансового сервиса и пытались атаковать его контрагентов посредством системы видеоконференцсвязи единственное при этом Что послужило толчком к тому чтобы у одного изго собеседников жертв потенци атакующие оказались не информированы о том что за последние 2 года хиллман значительно скажем так потолстел если бы не этот факт и не бдительность той конкретной потенциальной жертвы которая обратила внимание на это и соответственно максимально быстро уведомила службу безопасности самой компании binance которая обратилась к прочим потенциальным жертвам инцидент мог привести к куда более серьёзным последствиям то есть здесь уже как вы видите использовалась подделка не голоса а прямо видеоряда и социальная атака [музыка] соотечественники берст уже во всю используют генеративные модели в том числе для создания вредоносного кода то есть для сбития детектор в том числе антивирусных средств защиты форумах проб при подобных попытках использования с которыми злоумышленники столкнулись на практике вот примеры ссылок на подобные исследования они даны на текущем слайде если Уважаемые слушатели вам интересно можете их изучить то есть образовалась уже некоторая коммьюнити злоумышленников которая активно обсуждает потенциал использования технологий генеративного искусственного интеллекта в рамках тех или их же приня человеческим фактором как раз управлять человеческим риском в современных реалиях А как правило К сожалению большинство подходов которые используются в ежедневной жизни и большинством на самом деле компаний Особенно тех компаний у которых зрелость it не так высока А это очень большое число бизнесов на самом деле потому что в рамках например 250 указа президента и последовавших подзаконных актов других точнее нормативно-правовых актов под дополнительные меры по обеспечению информационной безопасности попали Ну там сотни тысяч По крайней мере мне известная цифра последняя она составляла более 500.000 если мне память не изменяет различных организаций с разным контекстом бизнеса на территории Российской Федерации Как вы можете совершенно логично заключить далеко не во всех этих организациях даже IT технологии достаточно развиты и как правило такая ситуация приводит к тому что за it и за информационную безопасность в компании отвечает одно и то же подразделение зачастую даже не имеющее выделенного человека отвечающего за информационную безопасность 250 указ как раз прин призван эту ситуацию поменять Однако как мы все понимаем далеко не во все уголки нашей Родины эта практика добер быстро поэтому Давайте пройм раз традиционному подходу как принято работать с вопросами информационной безопасности в большинстве компаний в которых он не является или не являлся До недавнего времени приоритетным как правило проводятся жёсткие проверки службы информационной безопасности если это действительно какое-нибудь например критическое производство но которое не считает it основным вектором своей деятельности при трудоустройстве соответственно служба безопасности проверяет сотрудников соответственно включат психофизиологическое обследование то есть люди проходят Полиграф к информационной безопасности Напрямую это имеет отношение постольку поскольку Это скорее Вектор экономической безопасности и доверия своим сотрудникам но соответственно это как раз влечёт к тому что люди начинают воспринимать во-первых ситуацию Так что им не доверяют то есть это влечёт к снижению мотивации и к снижению доверия самих сотрудников компании а не наоборот и соотвественно воспринимают безопасность начинают как некоторые как раз в английском языке есть отличное слово burden тяжёлая ноша то есть не что-то что тебе помогает А что-то что тебе затрудняет жизнь вот таким подобные подходы Они ведут как раз соответствующую реакцию со стороны сотрудников второй использующийся подход - это формальное прохождение тестирования сотрудников на знание собственно принципов обеспечения кибербезопасности как правило это там достаточно общий тест на знания в области и составляет там порядка лучшем случае двадцати вопросов при этом естественно не сфокусированный деятельности которую тот или иной человек выполняет не по соответственно тем информационным системам которые реально в компании используются а такой общий тест Аля Кто хочет стать миллионером Но вот про и соответственно как что-то интересное это ним естно воспринимается опять-таки возникает ощущение формализма и Ну ладно пройду как-нибудь часто приходится людей такие тесты заставлять проходить что опять-таки как позитивных эмоций У людей естественно не вызывает третий использующийся подход - это закручивание гаек То есть это некие действия которые приводят к усложнению бизнес процессов и к деградации их эффективности соответственно Можно же любую проблему решать собственно разными способами и один из способов это как раз максимально усложнить какие-то действия чтобы Как сказать Бей своих чтобы чужие боялись проще говоря То есть если у тебя сотрудник с трудом справляется допустим с переводом средств контрагенту вашей компании то считается что злоумышленник с этим переводом не справится вообще потому что ему даже пояснить будет некому как бы как пройти все эшелоны защиты в допустим достижении какой-то бухгалтерской системы на самом деле это не работает потому что сотрудник в данном случае лицо Элементарно менее мотивированный чем злоумышленник у которого лежит на горизонте задача получения большого куша для себя лично а для сотрудника это просто Рабочая функция и кроме негатива к тем людям которые придумали такие меры контроля которые выглядят как камни в которые приходится спотыкаться подобные меры ничего как правило не вызывает ознакомление в кавычках Обратите внимание сотрудников с внутренними нормативными документами в части безопасности личное присутствие Под роспись как правило людей заводят В кабинеты безопасни ков там выдают им огромные Талмуд от двадцати страниц минимум и более прочитать ознакомиться обязательно всё запомнить и расписаться что ты с этой практикой с этими новыми постановлениями знаком и озна свою ответственность разумеется это исключительно формалист подход люди приходят на искосок в лучшем случае пролистывать в худшем случае и в наиболее частом просто переворачивают сразу на последнюю страницу ставит в свою роспись и совершенно спокойно спокойной душой покидают расположение службы информационной безопасности к результатом в виде того что они действительно начинают как-то осознавать важность этого вопро получат это естественно не приходит Ну и последняя мера - это внутренние штрафные системы То есть это штрафы и иные санкции за не соблюдения внутренних нормативов документов вплоть до увольнения судебного преследования то есть мотивация через угрозу безопасни ков иногда К сожалению на рынке то есть компании которые работают в сфере информационной безопасности называют торговцами страхом от этой практики большинство соответственно достаточно развитых и зрелых вендоров производителей средств информационной безопасности уже давно ушли а мы как компания к ней вообще никогда не прибегали А тем не менее в во внутренней работе с сотрудниками Некоторые службы информационной безопасности до сих пор полагаются на подобные методы То есть тебе сначала дают как раз вот этот страшный Талмуд который мешает тебе жить больше чем помогает а потом подробно объясняют что если ты не соблюдёт пункт ж в четвёртом подпункте этого талмуда то к тебе могут быть применены санкции вплоть до подачи на тебя соответственно заявлени со стороны компании в суд и уголовного преследования мотивации работы с такой компанией опять-таки у людей это понятное дело не вызывает на самом деле как следует действовать служба обеспечения информационной безопасности в организации не должна служба управления Точнее то есть та методология которой служба обеспечения иб руководствуется и те штатные мероприятия соответственно организационные мероприятия не должны ограничивать область своего внимания исключительно информационной инфраструктурой и нормативными бумажками вовлечённых подходов становится сам мощным средством защиты информации если можно так вы давайте посмотрим как это может работать мире существует Собственно как гласит основная тема нашей сегодняшней лекции практика Human risk Management то есть практика управления человеческими рисками и это именно то состояние в работе с персоналом к которому стоит стремиться А в рамках его есть ещё ошибочно воспринимаемое как аналог понятие Security awareness соответственно осведомлённость о вопросах безопасности это более узкое направление которое может там проводиться в различных форматах но тут скорее идёт речь о предоставлении информации людям то есть грубо говоря Security awareness - Это история про расклейку плакатов которыми люди могут заинтересоваться а могут нет аа а если вы хотите прямо как зрелая компания глубоко начать заниматься этим вопросом то стоит рассматривать направление обеспечения скажем так соцтех ской безопасности ваших а информационных а систем как а отдельный риск и соответственно полноценно как и другими вашими рисками операционными им управлять Каким должен быть хороший Human risk Management во-первых это эффективно действующий инструмент инструмент для бизнеса в первую очередь естественно в части выявления мониторинга А с возможностью измерения конкретного в цифровых показателях и сокращение соответственно киберринг информационных сетей информационной инфраструктуры во-вторых процесс hrm в случае хорошей реализации органично встроен в другие бизнес-процессы вашей организации и не требует принесения в жертву безопасности соответственно качества этих бизнес-процессов и их производительности в-третьих Human риск-менеджмент должен индивидуально подходить а к сотрудникам по их специализации и сфокусирован на персонале их Именно пользователе различных систем связанных с теми или иными рисками и помогает Выполнять их обязанности не только эффективно но и безопасно то есть о чём я говорю к условному Если у вас есть Например собственное подразделение разработки и есть естественно как в любом бизнесе бухгалтерия вот подход с точки зрения терминологии языка если угодно на котором Вам стоит разговаривать как службе информационной безопасности с вашими сотрудниками подход к бухгалтеру и подход к программисту он должен быть совершенно разным потому что у этих людей разные майндсет разные направления уровни образования разная степень социализации и поэтому откликаться лучше в ходе повышения своего уровня киберграмотность естественно Эти люди будут на разные подходы и разный подбор даже банальных слов картинок и методов соответственно их обучения о методах поговорим чуть позже и соответственно к чему всё это движет менеджмент постепенно трансформирует сотрудников как раз из самого слабого звена о ЧМ мы сегодня уже упоминали в системе обеспечения информационной безопасности Наоборот в один из её мощнейших ресурсов защиты при этом сотрудники не чувствуют что они будут подвергаться в рамках процессов обеспечения информационной безопасности каким-либо репрессиям соответствено и сами смогут осознать И не только личную ответственность но и вовлечь в этот процесс имея собственный интерес и собственную мотивацию для того чтобы быть не просто вот этим вот каким-то слабым звеном или просто там одной из условно говоря иголочек в огромном стоге сена в котором где-то закопаны принципы обеспечения безопасности организации а прямо стать одним из счетов который будет в современном мире активно эту организацию защищать и этим более того В некоторых случаях даже Горди давайте рассмотрим несколько примеров Ну точнее один такой крупный пример для начала К чему может могут точнее привести ошибки в работе с человеческим фактором потому что важно понимать что менеджмент дисциплина достаточно тонкая Я уже упоминал что к разным сотрудникам с разной специализации нужно искать разные подходы но при этом нельзя никогда ни в коем случае сбрасывать со счетов то что все они в первую очередь люди соответственно у них есть чувства у них есть личная жизнь и у них есть собственные опасения волнения зачастую с работой даже не связанные Поэтому нужно быть максимально аккуратными в выборе методов воздействия на своих сотрудников для того чтобы повысить их уровень защищенности а не спровоцировать инцидент Как пример можно привести кейс Компани deady это один из наиболее крупных американских провайдеров интернет-сервисов в 2020 году сотрудники службы безопасности этого провайдера провели симуляцию фишинговой атаки а при этом в качестве наполнения для писем для фишинговых писем соответственно Они использовали обещание дополнительных денежных средств призванных поддержать сотрудников компании в период соответственно стрессовой ситуации кризиса вызванных эпидемиологической ситуации то есть эпидемии covid-19 соответственно а сотрудникам которые этим письмам поверили и прислали требуемые данные через форму которая была им разослан было впоследствии вменена в достаточно жёсткой форме прохождения дополнительного тренинга по кибербезопасности вернёмся на шаг назад людям обещали помощь и поддержку вместо этого опять-таки в достаточно резкой форме им было указано на недостатке их в части информационной безопасности и вне в обязательство пройти соответствующий тест возможно в том числе и под угрозой каких-то санкций в случае его непрохождения тесты обучения Что начинает происходить дальше соответственно вызванные изначально благими намерениями это событие спровоцировало на самом деле реализацию репутационного риска и снижение рейтинга как emp соответственно бренда работодателя этой компании провайдера а также дополнительных затрат на внешне антикризисные коммуникации потому что часть из сотрудников таким такой эксплуатацией их в достаточно уязвимом душевном состоянии мы все помним как на психики многих из нас отразилась и изоляция в период ковида и в принципе сама эта эпидемия У некоторых из нас пострадали от этой болезни близкие И в этот момент понадеявшись на то что компания идт на встречу своим сотрудникам обещает прямую финансовую поддержку и помощь люди получили совершенно другое на выходе соответственно оказались возмущены и в том числе обращались со своим возмущением в прессу и в суд а в итоге вместо того чтобы повысить уровень защищённости к чему изначально стремились сотрудники службы информационной безопасности компания столкнулась с необходимостью принесения во-первых публичных извинений соответственно в силу причинения собственным сотрудникам морального ущерба Вполне возможно что просто это публично так широко не Жирова и каких-то выплат конкретных компенсаций людям которые действительно Ну получили очень серьёзный морально-психологический удар в этой ситуации собственно вот привожу на слайде конкретное извинения которые топ-менеджмент компании и руководитель службы информационной безопасности был вынужден принести мотивация как види бено п серьёзно соответственно при этом понимают некоторых сотрудников которые были расстроены классически вот эти мягкие американские формулировки А вот этой псевдо фишинговой атакой и почувствовали что это было по отношению к ним недостаточно как бы с чувствительностью к их недостаточным вниманием к их чувствам за что соответственно мы Приносим свои извинения И несмотря на то что непосредственно вот эта вот фишинговая Атака мигрировало умышленно нам следовало бы вести себя лучше и быть более чувствительными внимательными к своим сотрудникам Поэтому в следующий раз мы значит эту практику исправим инцидент был очень громкий пов серное падение бда как потенциального работодателя совестно компания чение более года она была вынуждена с этим инцидентом работать отдельно то есть вместо опять-таки повторюсь повышение уровня защищенности ребята сгенерировать себе новую головную боль Каким образом следует действовать при в принципе выстраивании процессов у себя в организации совестном ирав про мы вот эту цепочку которая размещена на слайде один раз прошли а потом соответственно в какой-то точке заморозились остановились скорее тут в принципе уместно было бы изобразить это в качестве циклического процесса но просто для вашего удобства по соответственно стадиям роста я расположил основные фазы выращивания практики внутри организации по горизонта нам э мы проводим Human risk assessment То есть как в классическом процессе улучшения либо построения системы обеспечения информационной безопасности Мы сначала оцениваем текущее состояние Может быть у нас допустим небольшая компания компания айтишная айтиш стартап у нас и так всё хорошо с информационной безопасностью тогда мы сразу на этапе оценки поймём что вкладываться в работу с человеческим риском нам придётся в гораздо меньшем объёме Может быть у нас действительно гигантская компания с не айтим контекстом бизнеса и в таком случае нам придется прямо планировать как раз по контексту задач тех или иных сотрудников большие мероприятия по повышению уровня их осведомлённости в части информационной безопасности поэтому оценка важна как минимум для планирования наших дальнейших усилий Их направления в части повышения уровня нашего защищенности внение тренингов как правило на стартовом этапе если мы на Первом обнаружили что у нас относительно низкий уровень осведомлённости сотрудников и соответственно защищенности от социотерапия общих знаний то есть не фокусироваться пока прямо на конкретных подразделениях там для айтишников один тренинг для бухгалтеров другой А начать с распространения общих базовых принципов то есть условно говоря у вас в ВНД записано использование причину установки там не знаю DLP системы на каждый рабочий компьютер Вот такие вещи к которым сотрудники относятся с невысоким уровнем понимания и осознания их необходимости на базовом уровне стоит просто объяснить на третьем этапе соответственно можно уже начинать работать над популяризацией безопасного поведения пользователей над внедрением соответствующих метрик и тренингов уже непосредственно в рабочие процесс На данном этапе мы уже можем во-первых фокусировать наши усилия и подготавливать контент обучающий под конкретной аудитории то есть для бухгалтеров условно говоря контент по безопасной работе с бухгалтерскими системами для разработчиков по работе с репозитория программного кода с системами контроля версии и так далее для третьей аудитории другие и так далее и так далее более того На данном этапе мы можем уже делегировать функции распространения вот это вот безопасного поведения То есть можно вспомнить Хороший анекдот точнее эксперимент который впоследствии превратился в анекдот про соответственно обезьян которых подсаживается Уй набор фруктов подвесили точнее в доступности исключительно по там небольшой стременной лестнице в тот момент когда одна из этих обезьян забирала по лестнице и за этот банан хватало условной там висящей их всех причём не только эту обезьяну и всех поливали холодной водой в какой-то момент соответственно другие обезьяны которые были менее голодны они начинали как бы препятствует тому чтобы обезьяна залеза наверх и хватала за этот банан По той простой причине что они Привыкли что эти действия Ведут к тому что их всех поливают холодной водой впоследствии постепенно учёные начали заменять обезьян на тех которые ещё в этой клетке никогда не сидели и с такой практикой не сталкивались соответственно новая обезьяна не зная то что контакт с бананом вет клевани холодной водо ПТА за ним заб разу не давать этого делать в конечном счёте эксперимент привел к тому что в клетке не осталось ни одной обезьяны которую бы когда-либо обливали холодной водой тем не менее Они твёрдо знали что банан трогать нельзя такой достаточно грубый анекдот ну точнее грубый пример эксперимента эмпирического по отношению к живым людям тем не менее он иллюстрирует суть практики взя называе чемпионы вот эти лидеры в области соответственно ки беркуту это сотрудники Которые наиболее хорошо с точки зрения Там метрик проходят возможно гефирофобия института наставничества новым сотрудникам своего подразделения соответственно в какой-то момент по достижению определённого уровня зрелости Когда у вас во всех подразделениях появятся такие секюрити чемпионы Вы можете функцию ознакомления с базовыми правилами киберкуб тренингов переложить на плечи вот этих вот Наставников дополнительно возможно мотивируя их в том числе премиальным каким-то механизмом за подготовку соответственно новых сотрудников к работе с вашей информационной структурой на следующем этапе можно уже заняться широким внедрением непосредственно самого понятия киберкуб уже сотрудников всех в процесс её построения и поддержания это можно там делать в разных формах с помощью соответственно [музыка] в такой Амбассадор ской некоторой деятельности безопасники здесь как бы рассказывают по сути широкому слою сотрудников компании о том Зачем вообще информационная безопасность почему она важна в современном мире возможно устраивают лекции каких-то внешних спикеров интересных для аудитории которые могут рассказать про хакерские атаки про сложные явления связанные с современной политикой феномен можно скажем так Медиа феномен можно привести Как пример так называемых русских хакеров то есть позвать можно какого-то специалиста в ваш офис чтобы Он рассказал как бы если он знаком с этим понятием почему его так используют наши заокеанских партнёры в своих Медиа материалах и это дополнительно привлечёт внимание как бы людей даже Казалось бы не сильно заинтересованных в информационной безопасности но наверняка свх вмешательстве в зарубежные выборы к вопросу собственно киберкуб сказал а на следующем этапе когда мы прошли вот эти вот базовые шаги мы можем заняться уже методологи зации наработанной практики и автоматизации возможных каких-то частей процессов то есть там где мы можем допустим воспользоваться какими-то платформами Security A education мы приобретаем соответствующие средства автоматизируем МИФИ процесс с каким-то образом соответственно облегчаем себе жизнь с точки зрения устранения как раз вот этого элемента необходимость чтения огромных талмуда по внутренним требованиям сотрудниками при этом а проходя по алгоритму а внедрения Практик Human Management в жизни организации необходимо как бы не один раз на первом этапе как я уже говорил это может быть точнее должен быть цикличный процесс а постоянный процесс конс то что называется в Западной практике не только на первом этапе прове оценку некоторого состояния там уровня защищённости нашей компании от соотечественники который можно выбрать считать например из 100% сотрудника то есть 100 человек как бы на сколько из них соответственно правильно отреагировало на псевдофурункулез а соответственно в скольких случаях потом вот введенные данные могли бы послужить реализацией какого-то конкретного уже ки Берри То есть например Сколько из паролей переданных вам в рамках этих учений могли бы быть потенциально в один шаг использованы для например хищения денежных средств Можно не только там на данных двух показателях основывать оценку это просто пример нужно это понимать соответственно в процессе мы начинаем просто измерять Дельту получается ли у нас как-то текущими мерами эту цифру менять в лучшую для нас сторону то есть повышать защищенность снижать её зависимость от человеческого фактора и повышать соответственно культуру сотрудников то есть снижать процент людей которые реагируют на атаки злоумышленников на имитацию этих Атак некорректно ну и соответственно промежуточный результат который Мы периодически будем измерять это в хорошем случае защищенность большего уровня соответственно и большей уровень кирку сотрудников если у нас вот эта вот Дельта как раз она отличается от нуля и наши усилия к чему-то приводит если соответственно Дельта не меняется на протяжении наших периодических замеров значит фокус наших усилий нужно менять Менять методы менять средства менять возможно платформу той же самой Security меть провайдера который занимается обучением ших сотрудников двигаться и пробовать проверять те гипотезы которые реально будут уже эту Дельту изменять в плюс а не держать её в нуле либо ещё что хуже её понижать но надеюсь что таких как бы мероприятий придумать даже будет сложно чтобы сделать вашу инфраструктуру менее безопасной соответственно в рамках движения в просе непрерывно оценивать риски и вероятности их реализации тут такой пря сильно упрощённый пример привожу то есть условно говоря а процент вовлечённых возьмём в рисковые процесса сотрудников то есть ну конкретно там сотрудники бухгалтерии например из них соответственно 15% на начальном этапе там их условно говоря совсем условно 10 человек там один из них он прям понимает что такое информационная безопасность Почему И зачем она нужна и как взаимодействие с бухгалтерскими системами безопасно соответственно если злоумышленники скомпрометирован маци безопасности то они могут проникнуть проникнув в соответствую системы через их компьютеры через их доступ Насти м ционный ущерб и финансовый ущерб в размере условной N вот когда у вас число сотрудников которые знакомы с уровнем знакомы с необходимостью обеспечения и с методами обеспечения информационной безопасности достигает 45% то есть условно это там четыре или пять из всего Штатов 10 человек бухгалтерии у вас соответственно а максимальной размер ущерба должен снижаться от N соответственно минус Дельта N соответственно то есть то есть мы считаем что вот эти сотрудники они А в случае потенциальной атаки на них отреагируют правильно никакие данные никуда не введут соответственно у нас снижается максимальный объём ущерба который могут нам нанести злоумышленники атаковавшей сотрудников Ну и в идеале к чему следует стремиться это если у нас все 10 бухгалтеров идеальные вот эти вот э живые четы которые ни одного злоумышленника ни одного хакера через себя Никаким образом не пропустят конечно это идеалистическая ситуация вот тем не менее это именно то та цель к которой стоит стремиться соответственно 100 100% сотрудников у нас ознакомлены и разделяют принципы киберкуб ветственно А мы к ним относимся уже как к таким живым средствам защиты информации а не к слабым звеним в обеспечении нашей бы достигается это соответственно как правило опять-таки повторюсь геймификация потом расписывается А точно так же как например существует для спикеров тренинге по публичным выступлениям для соответственно менеджеров тренинге управлению персоналом вот нужно организовывать сходные тренинги по информационной безопасности где хорошо умеющий говорить хорошо умеющий находить общий язык с аудитории человек будет объяснять принципы и ознакамливать людей с тем Зачем вообще заниматься информационной безопасностью людям которые в конкретном отделе иб не работают и в параллель необходимо внедрять некие тис который как бы как текущий уровень так и растущий Ну надеюсь что он будет расти всё-таки Вы скорее всего когда займётесь управлением человеческим риском будете всё-таки испытывать надежду на то что уровень защищённости ваш уровень соответственно осведомлённости сотрудников вопросах будет расти вот следует сразу начать внедрять некоторые практические тесты опять-таки не занудные выставление галочек как бы что-то такое есть большое количество провайдеров подобных услуг на рынке сейчас действующих в том числе там компании с большой историей в части обеспечения кибербезопасности которые эти услуги предоставляют как раз хорошие практические тесты зачастую даже не выделенные в какое-то отдельное там мероприятие с фанфарами а встроенные просто комфортно рабочие процессы для целевой аудитории которые проверят уровен кибербезопасности серьёзно людей при этом не напрягает то есть Ну например предположим в пятницу ближе к вечеру когда уже основной вал рабочих задач немножко схлынула бле им соответственно приходит рассылка то что вот там например Пройдите пожалуйста вот такой-то тест короткий много времени не займёт в котором будут достаточно качественно сформулированы вопросы чтобы во-первых они не вызывали там сверх загру Но которые достаточно ярко будут демонстрировать понимание или непонимание людьми какого-то вопроса в области информационной безопасности не нужно быть вот таким вот ниндзя как тот который изображён на этой картинки который не тихо проникает и делает своё дело Ну в данном случае мы говорим о деле безопасника а при своё присутствие Максимум аккуратности Максимум органично при внедрении в процесса соответственно вы таким образом минимизируйте негативный эмоциональный эффект Среди сотрудников от в принципе безопасности как сущности внутренней нормативные документы также не должны быть бюрократией про которую я уже сейчас наверное в четвёртый раз упоминаю вот эти вот Талмуд от двадцати страниц а должны быть сформулированы таким образом чтобы быть источником интересных и полезных знаний соответственно обучение должно быть как я уже упоминал в достаточно креативной форме как правило подаваться потому что в таком случае вы получите вот таких вот условных Нео знающих Кунфу кибербезопасности которые будут встанут в ряд с вашей службой информационной безопасности и соответственно будут помогать вам защищать бизнес а не испытывать э негатив с точки зрения того что их всё время заставляют заниматься какой-то фигнёй соответственно внутренние руководящие документы если они поданы в хорошей форме в не в рамках вот этого Иванов кабинет директору по безопасности читай расписываю перестаёт восприниматься как какая-то бюрократическая система соответственно как я уже упоминал и повышают собственно интерес самих людей её обеспечение следует предпринять игровая форма Несмотря на то что большинство из уважаемых слушателей этой программы уже далеко не мальчики и не девочки с точки зрения Ну Неди Садовского возраста скажем так чтобы никого не обижать тем не менее игровая форма - это всегда то что человека заинтересовывать гораздо лучше чем а чтение соответственно бесчисленных бумажек и соответственно постановка под ними а своей подписи и ознакомление сотрудников соответственно со значимыми изменениями во внутренних как раз нормативных документах необходимо выстраивать таким же образом то есть это с одной стороны это не должно быть просто какая-то письмо рассылка мимо которого все пройдут и спокойно ничего не заметит и в своём поведении не поменяют а с другой стороны это не должно быть мероприятием как не знаю побудка в армии когда всех строем собрали в актовом зале и значит зачитывают им торжественно то что У нас вот такие такие-то изменения произошли в требованиях например то что теперь Вам нельзя втыкать флешки в какие-то отдельные компьютеры перед строем с оркестром и так далее и так далее хотя на самом деле вернёмся к вопросу индивидуального подхода к аудитории если контекст вашего бизнеса таков что большинство Ваших сотрудников воспринимает около военную культуру возможно в вашем случае как раз торжественное объявление изменений во внутренних нормативных документах перед строем с сопряжён там с вручением каких-то наград например и с оркестром будет и неплохим выбором запомнится людям гораздо лучше давайте рассмотрим примеры некоторых метрик есть всем все особенно руководителям Интересно как же мне измерить уровень ознакомлен тех же сотрудников с правилами кибербезопасности с ки беркуту либо нет и соответственно принять принять какие-то решения сделать выводы изменить какие-то подходы примеры таких метрик Разумеется специалист Ну либо Вы если Вы являетесь специалистом можете предложить и придумать ещ какието но я приведу такие основные базовые примеры на которые можно опереться в попытке измерить наши результаты такими метриками могут быть соответственно процент сотрудников проходящих онбординг в части кибербезопасности или регулярный тренинг в этой области соответственно так как мы уже говорили о том что заставлять людей прям на туже загоняя их в кабинет и ознакамливаюсь с документами это практика не очень хорошая мягко говоря соответственно с помощью этой метрики мы понимаем насколько мы выбрали удачную форму в предложении людям этого онбординга и тренинга для того чтобы они были сами по себе замотивировать соответственно Чем более удачную форму мы выберем тем больший у нас процент людей захочет сами прийти и в таком тренинге поучаствую соответственно из этого растёт следующая Метрика Это количество проведённых таких тренингов с процентной оценкой их посещаемости соответственно более простая Метрика - Это количество распространенных служб информационной безопасности ри части ки беркуту то есть как плановый там например раз в месяц обзор наиболее там интересных значимых событий в области информационной безопасности например так и ситуативно то есть там произошёл какой-то громкий кейс и мы вовлекая сотрудников в эту тематику интересно про него рассказывая Ну там какие-то близкие например к душе каждого человека кейсы связанные с звонками сотрудников безопасности банков правоохранительных органов и так далее и так далее с которыми мы все либо наши близкие хоть раз до сталкивались в 2024 году наверняка достаточно интересным примером всегда для людей является когда они знакомятся с кейсом когда вот такая атака привела к каким-то либо плохим последствиям К сожалению вот Либо наоборот к выявлению подобных злоумышленников Как там задержанию либо к легализации этих Атак Хотя Можно также измерять показатели сотрудников в рамках активно то есть это как раз процент людей которые кликают на псевдофурункулез [музыка] либо там на случайно всплывающие окна на их рабочем столе собственно - это отдельный класс решений можете там поподробнее с ним ознакомиться самостоятельно и узнать какие виды А так вообще в рамках внедрения таких продуктов могут быть симулировать метрик положить в плоскость практических каких-то кейсов в рамках сии а то с набором А предлагаемых решениями B активности А и например построить какие-то учения вокруг риска который заботит конкретно вас то есть Возможно ли для внешнего потенциального злоумышленника пройти всю цепочку от атаки на бухгалтера посредством его email либо мессенджера до вывода денежных средств и соответственно вот такие учения периодически проводить метриками могут быть также количество нарушений внутренних нормативных документов классическая достаточно Метрика количество инфицированных вредоносным программным обеспечением узлов вашей сети там от недели к неделе от месяца к месяцу и так далее и так далее растём по масштабу времени соответственно количество аномалий в сети которые вызваны были пользователями и количеством обращени это важный кста показатель пользователе службу кибербезопасности Почему важ пото Доверие ваших пользователей к вашим безопасника и вот эту метрику желательно повышать наиболее активно В том числе На этой направлены как раз фокусные в зависимости от аудитории сессии общения кибербезопасность показателей достаточно сделать измеримые в части вовлечённости сотрудников то есть это количество именно лично инициативы уже это количество обращений в службу иб с какими-то своими предложениями или идеями это посещаемость профильных мероприятий тех же самых тренингов в том числе необязательных такие тоже должны проводиться обращение в службу Кипер безопасности это наверное показывает вот наибольшую степень доверия это как раз те люди которых можно уже назначать там Security Champions когда они обращаются службы кибербезопасности по личным причинам то есть человек по личной проблеме помощь в организации там безопасного доступа из дома какая-то атака на его близких а приходит к безопасник в своей компании потому что он ему уже настолько доверяет что готов соответственно поделиться даже и какими-то личными проблемами после всех усилий А мы можем достигнуть такого состояния нашего коллектива что люди образуют из себя как бы Human Firewall то есть такой состоящий из людей а бран Маур либо межсетевой экран да да если где-то в сервисе на периметре закончилась лицензия такое бывает даже в крупных компаниях закончилась лицензия антивируса её никто не успел продлить ещё что-то когда даже в случае обнаружения временного либо там большого актуального например выявление новой zer уязвимости в вашей службе и в системе вниро системе информационной безопасности оказывается Большая сквозная дыра Сами люди которые работают на тех или иных направлениях вашего бизнеса становится таким условным межсетевым экраном который как система сенсоров и система защиты реагирует на аномалии в сети либо в поведении тех или иных компьютерных систем и оперативно сообщает об этом в службу информационной безопасности И уж тем более такой Human FAW никогда не будет служить злоумышленником одним из средств проникновения в инфраструктуру то есть тем самым слабым звеном мы Превращаем людей в средство защиты в эффективное средство защиты более того скажу в одно из самых эффективных средств защиты вашей информационной инфраструктуры