«Если вы полагаете, что технологии смогут решить проблемы с безопасностью, вы не осознаёте, что такое проблемы с безопасностью, и ничего не понимаете в технологиях».
Брюс Шнайер
«Если вы полагаете, что технологии смогут решить проблемы с безопасностью, вы не осознаёте, что такое проблемы с безопасностью, и ничего не понимаете в технологиях».
Брюс Шнайер
Абсолютное большинство успешных киберпреступлений никак не связаны с талантом хакеров или высокотехнологичным оборудованием. Напротив, исследования показывают, что:
Среднегодовой ущерб от успешных кибератак, обусловленных низким уровнем подготовки и беспечностью сотрудников, составляет $1 057 000 в год на предприятие — при этом максимальные суммы ущерба превышают 200 миллионов долларов!
Практически все преступления в области IT основываются на психологических заблуждениях, из-за которых пользователи пренебрегают информационной гигиеной. Эти заблуждения можно разделить на три группы:
Основная задача специалиста по информационной безопасности — развеять перечисленные заблуждения и обучить сотрудников предприятия ответственно подходить к использованию IT-технологий и соблюдать правила информационной безопасности.
— Брюс Шнайер
Меня зовут Тимофей Скоренко. Последние несколько лет я работаю в компании Kaspersky и занимаюсь разработкой учебных курсов по информационной безопасности.
Среди моих разработок:
и так далее.
До перехода в отрасль информационной безопасности я в течение многих лет работал научным журналистом в ряде изданий, а также возглавлял редакцию научно-популярного портала «Популярная механика».
Также я занимаюсь личными тренингами и чтением публичных лекций на темы, связанные с кибербезопасностью и развитием науки и техники.
Подробное CV можно загрузить здесь.
— Ричард Кларк
Осведомлённость об информационной безопасности, более известная под английским термином Security awareness, — это комплекс знаний о том, как обеспечить сохранность информации — как в цифровом, так и в бумажном виде.
Речь чаще всего идёт не о специальных знаниях, которыми должны обладать узкие специалисты в области информационной безопасности, криптографии и программирования, а об информационной гигиене, то есть правилах поведения обычных пользователей, позволяющих обезопасить данные, с которыми они работают.
Большая часть преступлений, связанных с похищением информации, основана на социальной инженерии — комплексе методов, благодаря которым злоумышленники обманывают пользователей, используя психологические приёмы. Для того, чтобы украсть пароль от корпоративного аккаунта, дорогостоящую информацию или просто деньги, не нужны специальные программы или высокоуровневая техническая подготовка. Достаточно элементарных знаний в области психологии и умения подстраиваться под манеру общения жертвы.
Соблюдение информационной гигиены позволяет избежать убытков, связанных с подобными атаками, обезопасить как всю компанию, так и отдельных её сотрудников, а также сохранять конкурентоспособность на современном рынке, практически полностью основанном на цифровых технологиях.
Первое и основное средство защиты информации — это пароль.
Около 10% пользователей Интернета используют в качестве пароля слово или словосочетание, входящее в список 25 наиболее популярных паролей — 123456, 123456789, qwerty, password, iloveyou, admin и так далее. Причём подобные пароли используются для защиты в том числе корпоративных ресурсов и аккаунтов, содержащих конфиденциальную информацию.
В рамках тренингов по информационной безопасности пользователи обучаются:
…и так далее.
Электронная почта — незаменимый инструмент для современного человека. С помощью электронной почты ведут личную и деловую переписку, пересылают файлы и документы, в том числе конфиденциального характера, регистрируются на всевозможных ресурсах.
Доступ к электронной почте открывает злоумышленнику неограниченные возможности. С её помощью он может взломать практически любой ресурс, принадлежащий пользователю, получив инструменты для ограбления, шантажа или похищения корпоративной информации.
При этом наиболее действенным и опасным методом кибератак, особенно на фоне массового перехода на удалённую работу из-за последствий пандемии COVID-19, является почтовый фишинг — совокупность методов социальной инженерии, позволяющая злоумышленнику получить персональные или рабочие данные пользователя посредством электронной переписки.
В рамках тренингов по информационной безопасности пользователи обучаются:
…и так далее.
Интернет — важнейший инструмент XXI века. С помощью Интернета мы получаем информацию, работаем, играем, общаемся, делаем покупки, обмениваемся данными и так далее. По сути, это цифровой аналог реального мира, его виртуальное отражение, а веб-серфинг — аналог путешествия по нему.
Как и в реальности, в Сети человека подстерегает множество опасностей — злоумышленники расставляют всевозможные ловушки, призванные собирать данные или зарабатывать деньги на неопытных и невнимательных пользователях. Речь даже не о мошеннических сайтах (хотя о них — в первую очередь): вредоносным кодом может быть заражён даже хорошо защищённый государственный портал.
В рамках тренингов по информационной безопасности пользователи обучаются:
…и так далее.
Социальные сети — это сосредоточение информации о человеке. Из аккаунта социальной сети злоумышленник может узнать полное имя жертвы, её адрес и номер телефона, сколько она зарабатывает и где хранит сбережения, когда уезжает в отпуск и с кем его проводит. Люди необдуманно выкладывают в социальные сети отсканированные паспорта и посадочные талоны на самолёт, конфиденциальные документы и информацию об успешных сделках, сведения о том, где находится их квартира и как в неё попасть.
Почти у каждого пользователя есть аккаунты в нескольких социальных сетях — Facebook и Vkontakte, Twitter и Instagram, TikTok и Youtube. И везде пользователи размещают информацию о себе, своей семье и работе.
А ещё есть мессенджеры — как встроенные в интерфейс социальных сетей, так и независимые: Telegram, WhatsApp, Viber, Skype. С их помощью злоумышленники проводят фишинговые атаки — например, в 2017 году киберпреступники похитили почти $500 000 долларов, разослав участникам блокчейн-проекта Enigma фишинговые сообщения через корпоративный мессенджер Slack.
В рамках тренингов по информационной безопасности пользователи обучаются:
…и так далее.
Если Интернет — это целый мир, то компьютер — дверь в этот мир. И не просто дверь: с помощью компьютера мы отдыхаем и работаем, создаём новое и изучаем минувшее. А ещё мы храним в памяти нашего компьютера гигабайты ценной информации — рабочие документы, архивы, фотографии, чертежи, а также пароли и другие средства доступа к сетевым ресурсам.
Пользователи нередко безответственно относятся к «здоровью» своего компьютера — отказываются от антивируса, отключают другие системы защиты и устанавливают нелицензионные программы. Это ведёт к печальным последствиям: например, исследование Kaspersky от 2017 года показало, что вредоносным ПО заражены 42% персональных компьютера в России!
В рамках тренингов по информационной безопасности пользователи изучают:
…и так далее.
Мобильный телефон — не просто средство связи, но универсальный инструмент для управления жизнью и работой. С его помощью мы разговариваем и переписываемся, ищем информацию в Интернете и оплачиваем покупки, делаем фотографии и снимаем видео. В результате именно мобильный телефон становится крупнейшим хранилищем информации о его владельце, и этим пользуются злоумышленники.
И дело даже не в воровстве телефонов: киберпреступнику достаточно установить на телефон следящую программу — например, если пользователь подключается к публичной сети Wi-Fi, — и всё оказывается в его власти. Например, мошенники считывают SMS-сообщения с банковскими кодами подтверждения, чтобы обходить двухфакторную авторизацию и похищать средства со счетов пользователей.
В рамках тренингов по информационной безопасности пользователи обучаются:
…и так далее.
Каждому человеку, независимо от возраста, социального положения и места работы, следует грамотно обращаться с конфиденциальной информацией, к которой у него есть доступ.
При этом важно понимать, что конфиденциальной по умолчанию может быть любая информация, которой он оперирует на работе, — это называется «презумпцией конфиденциальности». То, что информацию можно распространять, ещё следует доказать.
Далеко не каждая информация, не подлежащая разглашению, помечена грифом секретности или каким-либо иным образом. Чаще всего конфиденциальность определяется по косвенным признакам, которые известны не всякому. А ведь более 60% утечек в крупных технологических компаниях происходит именно по вине сотрудников, имеющих доступ к конфиденциальным данным и неверно оперирующих этим доступом!
В рамках тренингов по информационной безопасности пользователи обучаются:
…и так далее.
Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту: имя, фамилия, дата рождения, номер паспорта и водительских прав, вероисповедания, размер дохода, место работы и так далее. Имея определённый объём персональных данных жертвы, злоумышленник может использовать их в своих целях — например, подделать личность, притворившись другим человеком и совершив от его имени преступление.
Но грамотное обращение с персональными данными — вопрос не только информационной безопасности, но и юридической ответственности. Практически все страны мира имеют законодательство в области защиты персональных данных, и нарушение прав гражданина с этой сфере может обойтись компании-нарушителю в огромную сумму.
Например, в 2018 году обнаружилась серьёзная утечка персональных данных клиентов из баз авиакомпании British Airways. Утечка попала под действие GDPR — действующего в Европейском союзе и Европейской экономической зоне Общего регламента по защите данных, — и компания была вынуждена выплатить штраф в размере 205 миллионов евро!
При этом GDPR и другие локальные регламенты чаще всего действуют не только на собственных территориях, но и на территориях других государств по отношению к гражданам и компаниям «своих» стран. Иначе говоря, грамотное обращение с персональными данными — требующий тщательного изучения вопрос, способный избавить компанию от значительных проблем.
В рамках тренингов по информационной безопасности пользователи обучаются:
…и так далее.
— Пол Хербка
Kaspersky Automated Security Awareness Platform (ASAP) — программа повышения осведомлённости в области информационной безопасности. Представляет собой учебный курс из 12 тем общим объёмом более 600 000 слов. Платформа позволяет получить знания и закрепить навыки по кибербезопасности и информационной гигиене.
Темы платформы:
Kaspersky Adaptive Online Training (KAOT) — адаптивная программа повышения осведомлённости в области информационной безопасности. Методика адаптивного обучения — это интеллектуальный подход, позволяющий адаптировать процесс освоения материала к возможностям, знаниям и уверенности обучаемого в своей подготовке: курс постоянно анализирует уровень знаний субъекта и изменяет путь обучения в зависимости от того, какая информация необходима ему в тот или иной момент.
Темы платформы:
Stay Safe, Stay Secure — курс «Безопасная работа из дома», подготовленный совместно с Area9 Lyceum в рамках повышения уровня информационной безопасности в период пандемии COVID-19. Модуль включает 21 информационный слайд (каждый состоит из 2-6 страниц) и 17 проверочных вопросов.
Имитация фишинговых атак (фишинговый симулятор) — наиболее эффективный инструмент для проверки практических навыков сотрудников в плане противодействия фишинговым угрозам. Фишинговые симуляторы являются частью ряда платформ, предназначенных для повышения осведомлённости в области информационной безопасности, в том числе подобный функционал имеет в платформе Kaspersky ASAP.
Имитации фишинговых писем для фишингового симулятора проверяют различные навыки и могут быть нацелены на самые разные группы испытуемых в зависимости от профессии, должности и уровня осведомлённости последних.
Основная работа в рамках создания фишингового симулятора — собственно, разработка фишинговых писем.
Kaspersky ASAP Express — программа повышения осведомлённости в области информационной безопасности. Представляет собой облегчённый учебный курс из 12 тем, выполненных в интерактивном, игровом формате. Платформа позволяет получить знания и закрепить навыки по кибербезопасности и информационной гигиене.
Темы платформы K-ASAP Express:
Программа повышения осведомлённости в области информационной безопасности Security & Privacy Awareness and Competence Testing разработана на базе платформы Kaspersky Automated Security Awareness Platform (K-ASAP) в рамках программы TRAnsparency, Privacy and security for European citiZEns (TRAPEZE). Программа TRAPEZE — это международный образовательный проект, получивший грант в рамках программы ЕС Horizon 2020 и направленный на повышение уровня знаний в области работы с информацией. В первую очередь проект направлен на пожилых граждан ЕС, хотя в программе принимают участие взрослые любого возраста от 18 лет.
Курс повышения осведомлённости в области информационной безопасности Cyber Violence and Stalkerware Online Course разработан на базе платформы Kaspersky Automated Security Awareness Platform (K-ASAP) в рамках программы DeStalk. Программа DeStalk — это международный проект, направленный на уменьшение кибернасилия на гендерной основе, в частности, в отношении женщин. Навязчивое поведение и использование шпионского ПО распространяются все шире; сексуальные домогательства, издевки, киберсталкинг и другие формы кибернасилия в отношении женщин и девочек не просто остаются безнаказанными, но чаще всего даже не выявляются. Проект DeStalk повышает осведомленность об этих формах насилия и призывает государственные власти и общественные организации к активному противостоянию киберпреступникам.
— Брюс Шнайер
Создание модели компетенций для разноуровневого персонала компании и разработка плана обучения на основе указанной модели. Руководство командой, работающей над контентом курсов.
Открытые и корпоративные лекции по теме информационной безопасности для различных возрастных и социальных групп. Циклы лекций, а также отдельно стоящие выступления в рамках заданной темы.
Разработка образовательной стратегии для корпоративных клиентов. Комбинированные образовательные программы в целях повышения уровня осведомлённости сотрудников: курсы, лекции, семинары, тренинги.
Разработка корпоративной политики информационной безопасности в соответствии с нормами действующего законодательства.
Практические тренинги по информационной безопасности. Проведение симулированных атак и анализ совершённых ошибок. Экспресс-тренинги.
Оценка знаний сотрудников. Разработка опросников, тестов, симулированных атак.
— Джеймс Снук