Татьяна Савушкина пишет:

Татьяна Савушкина

HR эксперт и психолог

· 21.03

Человеческая угроза

Вчера была в Кибердоме на мероприятии для HR. Прикольные цифры. Только за 25й год потери бизнеса от кибератак составили около 200 млрд рублей. Если интересно, почитайте недавние кейсы Аэрофлота и Винлаба.

Основная идея. Мошенникам сложно взломать сложные системы защиты. Гораздо проще — уговорить, напугать, обмануть человека, чтобы он сам поделился данными и деньгами. Своими и деньгами компании.

Это называется социальная инженерия и из-за нее происходит более 80% успешных кибер-атак. В зоне риска — абсолютно все.

Топ-менеджеры, которые считают себя слишком умными для фишинга. Линейные руководители, которые вечно спешат и не смотрят на отправителя. Рядовые сотрудники, которые искренне верят, что письмо от директора — это правда. Даже сотрудники ИБ иногда попадаются на правильно закинутый крючок. Фишинг он такой фишинг.

И тут HR спешит на помощь)) Нанимает, адаптирует, работает с мотивацией. С мотивацией особенно сложно, потому что самая большая проблема: самоуверенность

Как HR справиться с глупой самоуверенностью людей, которые думают, что их это вообще не касается? Что они, конечно, умные и никогда не попадутся? «Меня не обманут», «я это сразу вижу», «у меня чутьё», «это для дураков» — знакомые фразы?

Воспитывать идиотов — не задача HR и кого бы то ни было в компании. Но риски-то есть. И они реальны. И за каждую самоуверенную ошибку платит компания. А иногда — и вся команда.

Особая сложность: топ-менеджеры Это одна из самых сложных групп для обучения. Да, топ-менеджеры понимают, что надо внедрить защиту и объяснить людям. Они подписывают бюджеты на ИБ, утверждают политики, требуют от подчинённых соблюдения правил.

Но если вдруг сам топ-менеджер кликнет на фишинговое письмо, то виноват, конечно, будет... ИБ-шник.

Так и живём.

Человеческая угроза | Сетка — социальная сеть от hh.ru

156

12 комментов

Максим Богуславский

· 22.03

Дело в менталитете: русские в целом консервативны и пока гром не грянет ничего не делают, авось пронесет

Виктория Петрова

· 23.03

Буквально пару дней назад обсуждали с партнерами этот момент и коллеги рассказывали про китайскую компанию с представительством у нас в России. Говорили, что ciso за сотрудников из китая вообще не переживает и просит сосредоточить усилия по обучению именно на русской команде, как раз в силу менталитета. Я потом почитала исследования, с чем сталкивается Китай в плане социальной инженерии и мошенничества. Не скзазать, что данные сильно отличаются от наших. Да, у них с большим масштабом рассказывают о схемах мошенничества повсеместно, но именно статистика по успешно реализованным случаям мошенничества не многим лучше нашей. Человек есть человек, независимо от менталитета

Татьяна Савушкина

· 23.03

Сомневаюсь, что дело в менталитете, Максим. Скорее люди заняты текучкой и уже случившимися проблемами, и им бывает некогда думать о вероятных рисках. Это касается всех видов страхования, отношение к регулярным медицинским чека-пам и прочей профилактике. Понятно, что те, у кого грянул гром учатся сразу в разы эффективнее.

Максим Богуславский

· 23.03

Если посмотреть на основные архетипические истории и то что транслируется с детского сада, то это подвиг в крайне неприятной ситуации и управление с печки. По крайней мере я с этим сталкиваюсь в российских компаниях при общении с неосознанными

Виктория Петрова

· 21.03

Как человек, который непосредственно занимается повышением осведомленности в этой области, абсолютно согласна с вами. Разговаривали с коллегами нелавно и приши к единогласному выводу, что люди становятся лояльны к теме кибербезопасности только когда сами столкнутся с каким-то инцидентом. До этого момента разрушить самоуверенность практически невозможно. Да и пробить баннерную слепоту задача не из легких. Все же постоянно заняты работой на работе)

Просто безопасность - это не тот "продукт", который даст дофамин здесь и сейчас, как кофе, мороженое, новый крем или айфон. Выгоду можно оценить только в долгосрочной перспективе, как в инвестициях или занятиях в спортзале. Нужна собственная мотивация человека. Поэтому есть вариант ждать, когда человек сам захочет разобраться (как правило, после инцидента, с которым столкнулся на своем опыте) или работать с вовлеченностью и по сути "продавать привычку мыслить критически"

Татьяна Савушкина

· 21.03

Получается прививка - самый быстрый способ к сожалению. Реальный инцидент или развграть ситуацию, как тестовую, в которой человек попадется. После обучения кибербезу обычно компании так делают. При этом наказывать тех, кто попался - плохая идея. Дальше они даже попавшись, будут скрывать до последнего. И вообще, Виктория, хороший вопрос: а чем оучше мотивировать: подкреплением или штрафами?

Виктория Петрова

· 21.03

Татьяна, на ваш вопрос нет простого ответа. Я видела компании с очень жёстким подходом к сотрудникам, а видела и наоборот очень лояльные. Все очень сильно зависит от самой компании, корпоративной культуры, принятых способов взаимодействия, целей и самого CISO. Я придерживаюсь подхода клиентоориентированности с градацией ответственности.

Начнем с того, что да, компании действительно проводят всевозможные обучения, пентесты, мероприятия и прочие активности в попытках донести важность темы. Только выхлоп от разовых или разрозненных инициатив небольшой. Курсы? Какими бы классными не были, забываются через 10 минут. Тренинги - запомнятся чуть дольше. Эмуляция фишинга - обучай/не обучай, перегруженный сотрудник в спешке или просто по наивности или из интереса все равно нажмёт на несчастную ссылку или вложение. Мероприятия и конкурсы для вовлечённости - неплохо, но часто сотрудник уносит для себя только мерч или подарок, ну в лучшем случае историю на вечер для друзей.

Нужна стратегия и система, чтобы сделать безопасность признаком профессиональной компетентности или как минимум хорошим или интересным опытом взаимодействия. Всех наказывать - так и без сотрудников можно остаться. Вовсе избегать неприятных диалогов или какого-либо вида ответственности тоже неработающая практика. Если сотрудник понимает, что за его потенциально опасное действие не будет ничего, то и не стоит ждать, что он что-то поймет или изменит поведение. Проблемы нет, когда такого сотрудника легко заменить, а если это ценный кадр?

Нужна комплексная работа с вовлеченностью и опытом взаимодействия сотрудника как с самой темой, так и с подразделением безопасности в компании.

Александра Дрозд

· 22.03

Виктория, очень интересно пишете! Я сама занимаюсь awareness и есть ощущение, что формально, для галочки, потому что все вещи, которые вы назвали, действительно так и работают, курсы пролистываются за пару минут, учения проходят с разной степенью успешности в зависимости от самых разных факторов, и так далее. Но можете ли вы конкретно назвать меры, которые реально будут работать? Комплексная работа с вовлеченностью это же не означает просто использование всех вышеназванных методов одновременно?

Виктория Петрова

· 22.03

Александра, конечно, комплексная работа заключается не в том, чтобы использовать все и сразу. Мне очень нравится фраза “все просто, но не легко”. Что работает из моей практики?

- регулярный диалог с сотрудниками, чтобы держать руку на пульсе (как они воспринимают департамент ИБ? Какие есть сложности? Что работает хорошо, а что хотелось бы изменить? Опросы, интервью, фокус-группы и пр.методы)

- простой понятный язык (как написаны документы, правила, памятки, инструкции и пр. Может ли человек вообще понять, что от него требуют? А как общаются остальные коллеги из ИБ-подразделения?)

- доступность базовой необходимой информации (есть ли оформленная база знаний или портал ИБ? Удобно ли им пользоваться? Где сотрудник вообще может получить информацию?)

- возможность получить консультацию или задать вопрос в ИБ-подразделение (и сделать это просто, а ответ получить в приемлемые сроки)

- онбординг новых сотрудников (чтобы сразу задать правила игры в диалоге и ответов на простые вопросы)

- сервисный или бизнес-партнерский подход (когда есть человек из ИБ, который закреплён за какими-то командами или департаментами и является точкой входа по всем ИБ-вопросам)

Это базовый минимум, скажем так. Остальное уже надстройки в виде изучения аудитории, использование единого ToV во всех точках контакта сотрудника с ИБ-подразделением, коммуникационный и сервис дизайн, ивенты, обучения, геймификация и прочее прочее. Но если нет базы, остальное не работает.

Из более точечных интересных кейсов, у нас хорошо сработали мероприятия для детей сотрудников и старших родственников, когда мы заходили с точки зрения защиты тех, кто им дорог. Еще все возможные форматы митапов и ctf

Александра Дрозд

· 22.03

Спасибо за такой развернутый ответ! Надеюсь, однажды и я смогу использовать такой разнообразный подход. Что мне будет это доступно. Если не секрет, как вы попали в это направление? Оно довольно редкое!

Виктория Петрова

· 23.03

Не секрет, после того, как была в роли бизнес-партнера в ИБ) посмотрела на всевозможные процессы и соприкосновения сотрудников с нашим подразделением. Потом клиентское мероприятие по ИБ делала, так и завертелось) если у вас будут какие-то вопросы, можете написать мне 😊

Татьяна Савушкина

· 23.03

Виктория, полностью согласна. Спасибо за развернутый ответ. Именно потому, что люди такие люди им нужно регулярно напоминать, что розетки опасны и если засунуть палец - ударит током. А если ввести данные, то есть риск, что ими воспользуются не так как вам понравится. Регулярная стратегическая работа с людьми - это вроде все-то чем должен заниматься менеджмент, иногда делегируя в HR. Но в нашей постоянно меняющейся жизни компании начинают играть в очень краткосрочную стратегию и это приводит к тому, что процессы построить не удается. Хорошая новость, что есть те кто может. Но, как правило, это те кто уже сильно обжегся

HR эксперт и психолог

Человеческая угроза

еще контент автора

мы не знаем, безопасна ли ссылка

HR эксперт и психолог

Человеческая угроза

еще контент автора

войдите, чтобы продолжить

мы не знаем, безопасна ли ссылка