О новых киберугрозах в эпоху больших данных и корпоративной культуре, воспитывающей ответственное отношение к кибербезопасности, рассказывает профессор Плимутского университета Стив Фурнелл. ПостНаука продолжает проект «Банк знаний», созданный совместно с Корпоративным университетом Сбербанка.

— В последнее время мы часто сталкиваемся с двойственным отношением к вопросу информационной безопасности. С одной стороны, волны чрезмерной паники, ощутимые после крупных кибератак вроде WannaCry, с другой — чрезмерно легкомысленное отношение. Как вы оцениваете адекватность отношения представителей бизнеса к информационной безопасности?

— Данные различных опросов, проведенных в последние годы, как правило, рассказывают похожие истории о культуре безопасности в организациях. Эти документы подчеркивают, что вопросы безопасности исключительно важны. Но речь идет куда больше о технических мерах защиты информации, а внимания просвещению и образованию уделяется относительно мало. И это несмотря на то, что эти же исследования акцентируют внимание на том, что некоторые из самых впечатляющих масштабом кибератак произошли именно в результате недостаточной осведомленности персонала.

Так что-то, насколько серьезно та или иная компания относится к корпоративной культуре кибербезопасности, сильно отличается: сотрудники одной организации могут проходить множество тренингов и получать всевозможные указания, в то время как сотрудники другой фирмы могут знать, что в принципе правила кибербезопасности важны, но справляться с реальными проблемами они будут самостоятельно.

— А если говорить о подкованности не рядовых сотрудников, а руководителей компаний?

— Для руководителей сегодня важно понимание и основ, и вопросов, связанных с конкретным использованием технологий. Но тут есть сложность: понятие «основы» постоянно расширяется. Представителям бизнеса приходится адаптироваться к постоянно растущему списку технологий. Нужно одновременно думать, например, о защите девайсов от неавторизированного применения и от атак вредоносных программ, о сохранении систем в исправности для устранения уязвимостей, о защите конфиденциальной информации, о приватности данных, о безопасном использовании сетей, о бесперебойном производстве резервных копий данных на случай потери, кражи или поломки устройств.

Это отнюдь не исчерпывающий список новых киберугроз. Причем каждая из угроз опасна одновременно для устройств самого разного типа. Например, еще несколько лет назад вирусы были реальной проблемой только для десктопов и ноутбуков. Сейчас нам приходится опасаться их проникновения в смартфоны и планшеты, в носимые устройства и многочисленные IoT-гаджеты.

Многие из этих проблем касаются не только корпоративных систем, но рядовых пользователей. Многие из перечисленных угроз направлены непосредственно на частных пользователей: фишинг, направленный на получение доступа к конфиденциальной информации; вредоносные программы, которые вполне успешно используют системы конечных пользователей в качестве средства отправки спама или запуска атак против других мишеней, и так далее. Знание тех самых основ может помочь обеспечить защиту человека — и как индивидуального пользователя, и как сотрудника на рабочем месте. Так что, улучшая образование в сфере безопасности и повышая осведомленность о проблемах, мы убиваем одной стрелой двух зайцев.

— Корпоративные практики формируются для развития культуры кибербезопасности персонала?

 — Они появляются. В первую очередь такие программы дают возможность обращаться к целой группе людей с одними и теми же советами и рекомендациями. Так рождается сообщество, способное самостоятельно следовать полученным рекомендациям. Очевидно, что в интересах компании иметь персонал, который бы сам мог обеспечивать свою безопасность. Тогда работники будут лучше справляться с защитой собственных систем и данных.

Ключевой способ обучения персонала — через столкновение с угрозами, которые могут возникнуть с наибольшей вероятностью. Тем не менее обучить сотрудников с точностью распознавать угрозы различной природы невозможно. Другой способ подойти — убедиться, что сотрудники знают, какие объекты особенно ценны, и осознают необходимость их защиты. В некоторых организациях речь может идти о совершенно понятных документах, системах, данных — для них используют информационные классификации вроде «конфиденциально» или «секретно». Маркировки указывают на необходимость обращаться с такой информацией особым способом. Когда сотрудники достаточно осведомлены о ценности данных, с которыми имеют дело, они куда чаще задумываются о своих действиях, прежде чем делиться доступом к данным.

— Как вы классифицируете самые опасные угрозы в контексте кибербезопасности компаний?

 — Трудно назвать основные угрозы для компаний, не перечисляя в конечном итоге тот самый список потенциальных проблем, с которого мы начали. Опросы обычно называют наиболее распространенными угрозами те, что связаны с вредоносными программами, фишинговыми сообщениями, в целом с проблемами, вытекающими из необходимости для бизнеса работать с растущим объемом данных (high-volume problems). Однако наиболее вредоносными и влиятельными становятся разовые угрозы, например угрозы со стороны самого персонала. Также важно не упускать из виду угрозы, возникающие в результате случайных происшествий — сбоев систем, нарушений в работе устройств. Ведь ущерб в таких случаях может быть столь же масштабным, как и в случае целенаправленных атак злоумышленников.

Киберугрозы принято делить на внутренние и внешние. Чаще всего внимание руководителей компаний сосредоточено на внешних угрозах, — например, на противодействии атакам хакеров, на защите от вредоносных ПО (во многом потому, что такие атаки широко освещаются в СМИ). Тем не менее умышленные угрозы изнутри компании — мошенничество, неавторизированный доступ, кража данных — не менее опасны. Они могут быть замаскированы. К тому же некоторые внутренние угрозы возникают в результате непреднамеренных действий или недостаточной осведомленности сотрудников. Некоторых из подобных рисков можно избежать как раз за счет более качественного обучения персонала. Другая группа рисков, связанных с внутренними угрозами, требует не столько образования сотрудников, сколько отлаженных систем мониторинга, четких механик выявления инцидентов.

Рекомендуем по этой теме:
11473
Нормы цифровой грамотности

— А каково должно быть просвещение для массовой аудитории?

 — Необходимость обучения обычных пользователей огромная, иначе мы просто окажемся в ситуации полной уязвимости населения. Если частные пользователи не будут знать, как себя защитить, они ненамеренно могут усугубить ситуацию и для себя, и для других, в том числе для бизнеса. Например, если мое устройство не защищено и заражается вредоносным ПО, а затем начинает атаковать другие системы как части ботнета, то проблема уже не исключительно моя. Недостаточная безопасность моего устройства фактически оказывает ощутимое влияние на других.

Есть базовые правила, которые должны быть известны всем. Их можно рассматривать как минимально необходимый уровень знаний в сфере киберинформационной грамотности. Как мы не ожидаем от человека, гуляющего по городу, что у него нет хотя бы базовой осведомленности об окружающей среде и опасностях, которые она несет, точно так же нам не следует ожидать, что человек, использующий IT-устройство, не будет иметь хотя бы основных представлений о рисках.

Как помочь массовой аудитории в этом? Более молодые пользователи могут получить основные знания в рамках традиционной системы образования. Для пользователей, которые уже прошли все стадии образования, методики обучения могут варьироваться. Обучение на рабочем месте — это только один сценарий. Например, в Великобритании работает портал Get Safe Online, он дает советы как частным пользователям, так и представителям бизнеса. Кто ищет, тот всегда найдет. Но проблема в том, что люди, которые на самом деле нуждаются в советах о правилах кибербезопасности, не всегда хотят искать их.

— Государства включаются в программы для популяризации правил кибербезопасности?

Государство должно беспокоиться об информационной безопасности, так как проблемы в этой сфере влияют на подверженность граждан преступности и другим формам эксплуатации. Для государства не обеспечить их необходимой поддержкой — значит подвергать их большим рискам. Государство должно взять на себя роль проверяющего: каждый гражданин защищен, его поведение не вредит всем остальным. Хорошая аналогия — контроль государства за безопасностью на дороге. Наличие правильных указаний защищает не только отдельного водителя, но и других пользователей трасс и магистралей.

Работа уже ведется. В Великобритании, например, правительство продвигает кампанию по киберосознанности (the Cyber Aware campaign). Большую обеспокоенность проявляет Национальный центр кибербезопасности (The National Cyber Security Centre), формулируя десять шагов к кибербезопасности (10 Steps to Cyber Security). Он призывает компании к сертификации, подтверждающей защищенность против основных киберугроз (в соответствии с the Cyber Essentials scheme). Чтобы пройти сертификацию, компании должны уделять внимание пяти основным способам киберзащиты: применению файерволов, безопасной архитектуре сетей, средствам контроля доступа пользователей, методам защиты от вредоносных программ и управлению обновлениями ПО (патч-менеджмент). Интересно, что такая сертификация необходима поставщикам правительственных контрактов, которые включают в себя передачу личной информации и обеспечение IT-услуг. Такие требования не только заставляют соблюдать исходные условия на высоком уровне, но и повышают осведомленность предпринимателей. Все это дает основания ожидать, что вслед за теми, кто получил сертификацию, нужные меры примут все новые организации.

Рекомендуем по этой теме:
21179
Медиаграмотность

На более глобальном уровне хорошим примером может служить «Месяц кибербезопасности в Европе» (European Cyber Security Month): каждый сентябрь правительства большинства европейских стран проводят открытые лекции для граждан и организаций ЕС.