Виталия Демёхина
По следам эфира «Саботаж со стороны работников» наша команда Global Gidital Space поговорила с руководителем отдела разработки материалов, компании Антифишинг — Виталией Демёхиной. Обсудили нетехнические средства снижения рисков появления инсайдеров, грамотную коммуникацию с сотрудниками и многое другое.
Как вы считаете, сотрудники — это серая зона в информационной безопасности любой компании?
Сотрудники — это серая зона в любой компании, которая не ведёт процессы awareness (повышения осведомлённости) или ведёт их, но делает это неправильно.
В чём тут суть? Для того, чтобы спрогнозировать действия какого-то сотрудника, нужно иметь очень большой опыт и в социальной инженерии, и в психологии.
Есть популярная фраза, которую сказал генеральный директор General Electric: “Если процесс нельзя измерить, им нельзя управлять.”
То же самое мы можем сказать о сотрудниках. Если компания хочет вывести их из серой, неуправляемой массы, они должны сначала оценить их навыки, а дальше уже развивать эти навыки. Но изначально навыки сотрудников нужно хотя бы как-то оценить.
Как считаете, реально ли бороться с инсайдерами только техническими средствами?
Я думаю, что технические средства и другие процессинговые и процессные коммуникации должны работать сообща и вместе.
Очень многое зависит от контекста. У меня есть пример, который я люблю приводить и приводила его в эфире, когда сотрудник, которого я знаю, умеет только открывать Word и печатать в нём. Ему запретили выходить в интернет на сторонние сайты. Поставили запрет. И вот он знает, как это обойти.
То есть он идёт в реестр, он знает какие файлы поменять на какие записи. Это я к чему? Технические средства должны быть, но этого недостаточно. Нужно учить людей безопасному поведению и выработке их привычки безопасного поведения.
Почему важно проверять кандидатов, новых сотрудников и подрядчиков на предмет ответственного обращения с конфиденциальной информацией при приёме на работу?
Потому что если мы принимаем кого-то на работу и совсем ничего не знаем об этом человеке, то та самая серая масса из первого вопроса, которую мы изначально хотели исключить, у нас дополняется.
То есть, в том числе, и чтобы предотвратить появление инсайдера, нам нужно проверить и нового сотрудника, и в идеале контрагента, чтобы понимать, чего ожидать от него. И по опыту нашей работы лучше убедиться, что человек совершает небезопасные действия, чем вообще никак не проверить. Потому что, когда человек совершает небезопасные действия, нужно давать какую-то корректную конструктивную обратную связь, которая поможет ему на личном опыте приобрести какой-то навык. Так делать правильно. У нас есть опыт, когда клиенты использовали нашу систему для того, чтобы оценить безопасность поведения сотрудников, которых они принимают на работу. Это влияло даже на успешность прохождения испытательного срока.
Как можно работать с сотрудниками, чтобы снизить вероятность появления инсайдеров? Можно ли это вообще сделать?
Сделать, конечно, это можно.
Хороший вопрос: как? Нужен комплекс мер. Мы не можем говорить, что есть какая-то “пилюля”, “купи одну программу, и будет тебе счастье”.
Конечно же нет. Это должен быть комплекс мер. И здесь очень важно правильно настраивать диалог с сотрудниками, потому что очень многое зависит от контекста. Мы, с одной стороны, можем сказать, что если человек скопировал себе на флешку данные, то он инсайдер.
А можем так и не сказать, потому что непонятно какая у него была мотивация и какой контекст. Какие реальные меры для этого можно применить?
Во-первых, сотрудники должны знать о такой возможности.
Они должны знать о возможности сообщить о таком, если они узнают что-то подозрительное. Они должны знать как это что-то подозрительное распознать и нужно ли в какие-то моменты это распознавать.
Нельзя исключать проверки на выполнение требований информационной безопасности. То есть если кто-то систематически нарушает информационную безопасность, то следующим, шаг, который надо сделать — это ревью процессов. Причём бизнес-процессов.
И нужно их делать с участием сотрудников Информационной Безопасности.
Почему очень часто нарушения происходят? Потому что кому-то неудобно что-то делать. То есть безопасное поведение неудобно, и поэтому человек делает что-то небезопасное. Здесь нужно решать это на уровне бизнес-процессов. Должно быть так, чтобы безопасное поведение было удобным, чтобы сотрудники знали, как это делать и знали через какой канал, можно обратиться за помощью. Можно, конечно, давать проходить всякие психологические тесты, но это уже тоже оценка с психологической точки зрения, и здесь я бы советовала ИнфоБезу работать на стыке бизнеса, психологии и ИТ. Это как функция, которая связывает все отделы и помогает работать правильно. А вот дальше уже “правильно – это как?” И на этот вопрос они должны ответить совместно с бизнесом.
Нужно ли рассказывать об угрозе инсайдеров при обучении сотрудников?
Да, нужно, но как это правильно сделать? Хотелось бы посоветовать исключить какие-то формулировки из разряда “Вот если ты сольёшь информацию, то мы тебя оштрафуем!” Такие методы не работают. Мотивировать сотрудников лучше по-другому. Социальная мотивация лучше включается, чем какая-то административная по отношению к сотруднику. Такие фразы нужно заменять чем-то вроде “В одной компании случилась такая-то ситуация, кто-то слил данный, и 100 сотрудников потеряли свои рабочие места!” Этот ущерб воспринимается нами, людьми ближе к сердцу, чем угрозы штрафами или что-то подобное.
А может быть такое, что часть людей не будут подвержены такому эмпатичному восприятию, и на них подействуют только суровые административные меры?
Да, есть такие люди. Их нужно правильно распознать. Сделать это можно, если дважды не сработало предупреждение с какой-то социальной ответственностью, адекватное общение, конструктивная обратная связь. Здесь должны применяться административные меры. Или можно закрыть человеку доступ к чему-то, если он совершает небезопасные действия. И поговорить с его руководителем обязательно тоже нужно.
Способны ли сами сотрудники распознать инсайдерскую угрозу и как это можно проверить?
Инсайдерскую угрозу вообще распознать не очень просто, потому что инсайдера-злоумышленника очень легко бывает спутать с инсайдером, которому просто неудобно каким-то образом работать.
Но вообще по опыту большая часть инсайдеров умышленно нарушают правила безопасности. Будь то для себя, для какой-то выгоды или для удобства, они делают это всё-таки намеренно. И таких достаточно легко распознать. Причём те, которые ненамеренно делают, они скорее всего просто не знают, что есть какие-то процессы, документы и инструкции, какие-то советы по безопасности. Они просто не знают о их наличии.
То есть они безграмотны в области ИБ?
Да. Одна из функций работодателя для предотвращения появления инсайдеров – повышение осведомлённости. Но только повышение осведомлённости не работает, потому что теория в принципе несёт только 8% приобретения навыка, а с практикой это число увеличивается до 69%. Просто сказать: “Не делай так” недостаточно.
Как превратить сотрудников в кибер-чемпионов и получать больше обратной связи от них по возможным инцидентам и нарушениям безопасности?
Можно говорить про диалог сотрудника и ИБ, но нельзя забывать и про мотивацию. То есть плохо, когда безопасность говорит: “Мы сейчас делаем вот такой процесс, пароли должны быть такого формата, всё!”, но сотрудник слышит эту информацию и думает” “Что за бред?” Тут сотрудника нужно научить зачем это нужно, почему это нужно, и как это правильно сделать. И тогда он перекладывает это всё на себя, на свой личный опыт. Он уже может давать обратную связь. Понимает, как и для чего это делается. У него включается некоторая ответственность. Он может свои рабочие процессы вести безопасно.
