К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

Кибербезопасное будущее: почему так важно просвещение в сфере защиты данных

Фото Getty Images
Фото Getty Images
Программного обеспечения и технологий защиты информации становится больше с каждым годом. Кибератак, впрочем, тоже. Не меняется одно: самым слабым звеном в любой системе защиты от киберугроз был и остается человек. О необходимости просвещения в области информационной безопасности, важности инвестиций в сфере защиты данных и роли компаний в этом процессе рассуждает исполнительный директор IT-компании «Киберпротект» Елена Бочерова

Стремительная цифровизация затронула все сферы жизни человека, повлияв на государство в политическом, культурном, экономическом, финансовом и социальном смыслах. Преимуществ у цифровой экономики множество: от упрощения жизни конечного потребителя (например, простых покупок в интернете) до повышения конкурентоспособности бизнеса за счет его цифровизации. Но это рождает проблему: развитие технологий сделало экономику в целом, компании и жизнь обычных людей более уязвимыми для киберугроз.

Чем грозит кибератака для компании? Ущерб репутации, вынужденные сделки с преступниками, штрафы, в будущем, возможно, весьма внушительные, за утечки персональных данных или даже потеря важной информации и остановка бизнеса — если злоумышленник не пошел на сделку или же просто имел цель навредить, а не обогатиться. 

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

При этом, как известно, большая катастрофа начинается с малого. Зачастую точка входа для ​​кибератак — это фишинговое письмо, то есть e-mail или сообщение в мессенджер с вредоносной ссылкой. Ничего не подозревающий и недостаточно бдительный сотрудник переходит по ней, открывая лазейку для злоумышленника. Другой способ проникнуть за защитный барьер — социальная инженерия. Например, хакер крадет аккаунт работника компании в социальных сетях или создает фейковый и просит коллегу напомнить доступы к корпоративной CRM. Да иногда ему даже воровать ничего не нужно, достаточно позвонить и представиться сотрудником. Учитывая, что многие компании сегодня перешли на удаленный формат работы, при котором коллеги даже в рамках одного подразделения вполне могут ни разу не видеться в жизни, реализация такого сценария становится еще проще.

 

Каналы коммуникации часто выступают самой уязвимой частью всей IT-инфраструктуры компании. Сотруднику удобно пользоваться мессенджером как единым окном: переписываться с друзьями, читать новости, получать уведомления от сервисов доставки, общаться по рабочим вопросам. Отдельные мессенджеры производят впечатление защищенной экосистемы — и тем проще злоумышленнику завладеть доверием пользователя. Именно поэтому в последнее время так участились случаи мошенничества, когда родителям пишет мнимый директор школы, а работнику — его якобы начальник. Мессенджеры и социальные сети как канал выхода на жертву становятся все популярнее.

Данные утекают и теряются во всем мире

Проблема носит глобальный характер. Согласно исследованию Egress, в рамках которого были опрошены 500 руководителей IT-отделов и 3000 сотрудников британских и американских компаний, с утечками относительно недавно сталкивались 94% организаций. В 84% случаев основной их причиной стали ошибки сотрудников. А эксперты IBM, проанализировав в том же 2021 году статистику по 130 странам, и вовсе пришли к выводу, что человеческий фактор повлиял на утечку информации в 95% ситуаций. В России статистика похожая: сотрудники в 70% случаев оказывались виновны в том, что персональные данные клиентов попали в руки злоумышленников.

 

По статистике Verizon, три четверти всех кибератак были успешными из-за ошибок, неграмотности пользователей и применения хакерами методов социальной инженерии. Эксперты Positive Technologies считают, что социальная инженерия используется почти в каждой атаке на физлиц. Однако ее все чаще —  в 37% случаев — применяют и при попытке украсть данные у компаний.

Помимо утечки и кражи, данные могут еще и теряться по вине сотрудников. Если выйдет из строя сервер интернет-магазина, хранящий записи о миллионе пользователей, это нанесет бизнесу непоправимый ущерб. Можно было бы считать этот пример надуманным (кто же в 2024 году не делает бэкапы?), но статистика говорит об обратном: в России только 34% компаний регулярно делают резервное копирование данных. При этом сотрудники системно случайно удаляют значимые рабочие файлы без возможности восстановления. Существует и другой сценарий: ситуация, когда неправильный бэкап приводит к потере данных. Это происходит тогда, когда резервные копии все же делаются, вот только неправильно. Из-за отсутствия знаний многие сотрудники часто путают простое копирование файлов с бэкапом и поэтому после того, как сбой случился, не могут выполнить полноценное восстановление всей важной информации.

Данные бизнеса в опасности, несмотря на стены фаерволов, потому что непросвещенный или просто беспечный сотрудник сам откроет ворота злоумышленнику. Именно поэтому сегодня так важны вложения в образование, цифровую гигиену и формирование новых пользовательских привычек: аккуратного обращения с паролями, недоверия к незнакомым ссылкам, создания регулярных бэкапов ценных данных.

 

Культура кибербезопасности

Любая культура закладывается в обществе годами. С одной стороны, это вертикальный процесс, направленный сверху вниз: государство проводит системную работу с населением, крупный бизнес выступает проводником знания. Таким образом, корпорации и правительство занимаются просвещением в широком смысле, пока последняя бабушка и первоклассник не уяснят, что хранить пароль от почты на стикере, приклеенном к монитору, — это небезопасно.

Также с темой кибербезопасности пересекается такая метрика, как индекс цифровой грамотности населения. Аналитический центр НАФИ каждый год, начиная с 2018-го, изучает цифровые компетенции россиян и оценивает их по шкале от 0 до 100. Динамика тут в целом не прослеживается: общий индекс цифровой грамотности, который планомерно рос с 2018 до 2022 года, в 2023-м приостановился на уровне 71 п. п. Однако внутри этого показателя есть еще и подиндексы, один из которых — «Цифровая безопасность»: он показывает, насколько хорошо россияне умеют распознавать угрозы в интернете, а также бороться с ними и предотвращать их. И данные по этому подиндексу неутешительные: если еще в 2020-м он был на втором месте из пяти и свидетельствовал о высоком уровне владения навыками, то сейчас откатился на предпоследнее, 4-е место. Эта компетенция растет медленнее прочих — таких как информационная и коммуникационная грамотность, а также навыки решения проблем в цифровой среде. Уровень знаний людей по кибербезопасности по-прежнему делает их легкой мишенью для злоумышленников. Работа с цифровой грамотностью в целом также должна быть приоритетом государства.

С другой стороны, киберпросвет — это процесс, идущий снизу вверх, работа на местах. Например, когда компания делает обязательной частью онбординга (onboarding — «введение в должность», действия компании по адаптации нового сотрудника) курс по ИБ или когда она отправляет сотрудников на тематические тренинги и конференции.

Более продвинутый уровень обучения — это переход от пассивного потребления информации к активному. Компания эмулирует кибератаку внутри себя, например сотрудники отдела защиты данных рассылают якобы фишинговые письма своим же коллегам. После этого проводится публичный разбор полетов: кто попался на удочку, в чем были типовые ошибки. Так, в декабре 2020 года хостинговая компания GoDaddy.com решила провести тест среди своих сотрудников, разослав по электронной почте сообщения 500 контактам с предложением праздничного бонуса в размере $650. Вот только это было не благодарственное письмо в знак признательности за хорошую работу, а фишинговый тест. Те, кто перешел по ссылке, вместо вознаграждения получили доступ к дополнительному тренингу по кибербезопасности.

С таким же успехом компания может имитировать блокировку системы, удаление данных — процесс похож на отработку действий при учебной тревоге. Статистика говорит о том, что российский бизнес сегодня увеличивает расходы на «киберучения». Частные и государственные организации в 2023 году потратили на 20% больше средств  по сравнению с предыдущим годом на то, чтобы опробовать на практике разные системы защиты и проверить навыки своих ИБ-специалистов. Расходы на каждого такого сотрудника превысили 1 млн рублей — это показывает, насколько это приоритетная статья расходов.

 

Главная задача бизнеса — осознать и донести до сотрудников понимание, что  безопасность организации обеспечивает не только ПО, но и люди. Привить чувство общей ответственности за сохранность данных. Именно поэтому бизнесу нужно вкладываться не только в обучение кадров, но и в образовательные программы — от школьной скамьи до университетов. 

Еще одна роль государства в этом процессе — регуляторная. Ужесточая размер штрафов за несоблюдение закона о защите персональных данных, оно влияет на бизнес, вынуждая тем самым его действовать. Когда штраф за утечку многомиллионной базы составлял 100 000 рублей без какой-либо привязки к обороту, у бизнеса просто отсутствовал стимул всерьез заниматься защитой пользовательских данных. С принятием новых законов ответственность за это может выражаться в десятках и даже сотнях миллионов рублей.    

Чек-лист по кибербезопасности

Из всего вышесказанного становится понятно, что культура защиты данных важна как для общества, так и для бизнеса, причем любого размера. Возможно, для субъектов МСП она даже приоритетнее: у компаний такого масштаба часто нет выделенного бюджета для внедрения сложных систем безопасности и проведения дорогостоящих киберучений. Выход — вкладываться в культуру работы с информацией до того, как это станет проблемой. 

На что стоит обратить внимание:

 
  • Разработана ли у вас политика конфиденциальности и подготовлены ли локальные акты по вопросам обработки персональных данных? Как знакомят с ними новых сотрудников?
  • Есть ли ответственные за обработку и защиту информации?
  • Есть ли перечень лиц, которым необходим допуск к персональным данным для выполнения их работы?
  • Как обеспечивается безопасность помещений, в которых ведется обработка информации?
  • Зарегистрирована ли организация в Реестре операторов персональных данных?
  • Есть ли у сотрудников персональные учетные записи?
  • Блокируются ли учетные записи уволенных работников? Как быстро?
  • Какую антивирусную защиту вы используете? Как часто обновляются базы?
  • Как часто обновляются операционные системы и ПО?
  • Проводите ли вы резервное копирование? Каким именно образом?
  • Как часто создаются резервные копии данных?  
  • Кто в вашей компании ответственный за резервное копирование и хранение информации?
  • Как происходит поиск и устранение уязвимостей?
  • Применяются ли решения, защищающие от утечек информации класса DLP?
  • Опубликована ли на сайте политика обработки персональной информации?
  • Собирается ли согласие на обработку персональных данных в форме обратной связи? 

Формирование культуры защиты данных — длительный и сложный, но очень важный процесс. Повышение осведомленности о цифровых угрозах и способах их предотвращения и недопущения должно представлять собой непрерывный процесс. При правильном внедрении он поможет не только снизить уровень опасности, но и способствовать развитию культуры работы с данными. Сотрудники перестанут быть «внутренним врагом» там, где ошибка каждого может повлечь материальный и репутационный ущерб, и превратятся в активных защитников вашего бизнеса и его данных.

Мнение редакции может не совпадать с точкой зрения автора

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+