28 June 2019

В Алматы обсудили повышение культуры кибербезопасности

Одним из ключевых вопросов стала работа с неграмотными в вопросах информационной безопасности пользователями.[Profit]

Профессионалы информационной безопасности собрались в Алматы на конференции «Код ИБ». Ключевой темой конференции стало повышение культуры кибербезопасности и наиболее действенные методы борьбы с угрозами. Причем, наиболее уязвимым звеном до сих пор являются сотрудники компаний. Элементарные ошибки или незнание процедур пользователями способно перечеркнуть весь эшелон защиты, выстроенный службами ИБ в компаниях.

Как отметил Иван Бируля, директор по безопасности SearchInform, общий тренд идет к автоматизации бизнеса, в связи с чем появляются новые продукты и технологии, которые, тем не менее, не способны «закрыть» все риски на 100%. Именно за пользователями остается «последнее слово», которое безопасники не могут полностью контролировать. Культура ИБ в компании — это целый процесс, который включает этические, правовые и технические аспекты.

 

«Без понимания рядовыми сотрудниками основ безопасности бизнес остается подвержен большому риску, поэтому культуру безопасности нужно начинать развивать с самых низов. При этом важным аспектом в такой культуре должен стать статус службы по информационной безопасности», — считает эксперт.

Сотрудники ИБ должны быть не «пугалом», а союзниками для пользователей. Кроме того, важно их умение объяснять и обучать. Благодаря такому подходу безопасникам удастся получить доступ к информации о возникающих угрозах заблаговременно от самих же пользователей.

«Проводите короткие встречи-презентации для руководства о базовых понятиях ИБ. Такой опыт даст понимание директорам необходимости выделения бюджетов на безопасность», — добавил Иван Бируля.

По итогам дискуссии специалисты выделили несколько пунктов, которые могут взять на вооружение службы ИБ для повышения культуры безопасности:

— короткие тренинги для топ-менеджеров на еженедельной основе
— регулярное обучение сотрудников, включая тонкости социальной инженерии
— внедрение политики ИБ
— пентесты и регулярные учения
— автоматизация процессов и применение правильных технических средств
— стимулирование наставничества и обучение новичков нормам ИБ самими сотрудниками
— подготовка легких и понятных обучающих материалов.

В целом, служба ИБ в компании должна стремиться к формированию у сотрудников навыков безопасной работы. Отсюда вытекает и более всеобъемлющая потребность — навыки информационной безопасности должны формироваться государством у граждан еще со школы.

 

«Проводите учения с помощью имитации фишинговых атак. Вы, как безопасник, увидите, какова на самом деле ситуация с культурой ИБ у вас в компании. После этого можно собирать пользователей и рассказывать о результатах. Проведение просветительской работы на такой почве будет идти эффективнее», — говорит Олег Биль, руководитель Лаборатории исследования вредоносного кода Государственной технической службы. Кроме того, он добавил, что культура ИБ должна распространяться не только на пользователей, но и на разработчиков, которые отвечают за стабильность работы информационных систем. Если есть уязвимости в кодировании, то инциденты будут, несмотря на бдительность и квалификацию пользователей.

Олег Биль рассказал об основных тенденциях, которые заметны сегодня в сфере ИБ. Одной из ключевых является усложнение атак и попытки обхода многих защитных технологий, включая учет песочниц. В мире вовсю идет развитие новых векторов атак, уязвимости обнаруживаются как в традиционных, так и в новых технологиях, в том числе — аппаратной части. Киберперступники в своих атаках используют легитимное ПО и скрипты. В целом заметен переток инструментов от более подкованных групп атакующих к менее квалифицированным. Это ведет к увеличению вероятности атак и снижению порога входа для злоумышленников. И что самое главное, современные методы атак достаточно быстро мигрируют в Казахстан, а значит — вопрос повышения знаний сотрудников компаний в сфере ИБ становится актуальным как никогда.