Что такое культура кибербезопасности и почему она важна
Проще всего культуру кибербезопасности сравнить с другими корпоративными практиками — например, пожарной безопасностью. Все сотрудники понимают: если что-то загорелось, то нужно вызвать пожарных. А если коллега начнет зажигать в офисе фейерверки, то с этим стоит разобраться.
Культура кибербезопасности — это фактически то же самое, что и культура пожарной безопасности, но для IT-технологий. Каждый сотрудник должен понимать, какие данные можно пересылать, а какие — нельзя, по каким ссылкам можно переходить, а какие письма лучше сразу отправлять в спам и сообщать о них ответственным лицам.
Такая культура в основном распространена в сфере информационной безопасности: у компаний есть собственная корпоративная культура и четкое понимание того, чего делать нельзя. Если компания не будет поддерживать высокий уровень собственной безопасности, она понесет колоссальный репутационный ущерб. Поэтому любая утечка, даже самый незначительный инцидент может серьезно ударить по бизнесу.
В обычных IT-компаниях всё не так очевидно. Уровень культуры кибербезопасности меняется от места к месту — на это влияет много разных факторов. Например, то, насколько менеджмент понял важность управления ИБ-рисками. Фактически всё идет от руководства: как оно поставит задачи и насколько будет готово контролировать их выполнение.
Отсутствие такой культуры может привести к плачевным последствиям. И вот два аргумента.
🔴 Денежные затраты. В IT-мире есть постоянная угроза киберкриминала, который зарабатывает хорошие деньги на жертвах. В США за 2022 год хакеры украли только у компаний из финансовой сферы 4 миллиарда долларов. А по всему миру компании потеряли 10 миллиардов.
Рынок шифровальщиков и кибервымогателей тоже процветает. Сегодня хакеры наслаждаются тем, что страны не могут взаимодействовать друг с другом так же эффективно, как раньше, чтобы ловить преступников. И всё это приводит к денежным потерям.
🔴 Заражение вредоносным ПО и слив данных. Хакеры внедряют вирусы в компании, шифруют данные и сливают их. Затем компанию начинают шантажировать, пока она не заплатит выкуп. И тут всего два варианта: либо платить, либо смириться, потерять данные и понести репутационный ущерб, когда пользователи узнают о факте утечки.
С недавнего времени даже появились политические хакеры, которые целенаправленно проводят акции против компаний и правительств. А еще есть случаи, когда некоторые сотрудники перед уходом решают нанести компании ущерб — например, слить какие-нибудь секретные данные или саботировать работу компании. Поэтому очень важно выстраивать кибербезопасность системно.
Какие есть стратегии для повышения уровня безопасности
Когда компании начинают думать о безопасности, они обычно скатываются к двум радикальным сценариям: закрутить все гайки или не закручивать их вообще. И на самом деле обе крайности опасны — они создают больше проблем, чем пользы.
Сценарий №1 — запретить всё
В этом случае руководство обычно говорит: «Наши сотрудники ничего не понимают, поэтому их нельзя чему-то научить». Компания решает, что нужно использовать по максимуму все способы: поставить средства защиты, контролировать всю коммуникацию, проверять работников на полиграфе. Менеджмент думает, что так закроется от рисков.
Такой подход сильно влияет на бизнес-процессы. Чем больше вы следите за каждым шагом сотрудников и добавляете новые системы контроля, тем сложнее людям работать. Это банально неудобно, поэтому люди хуже выполняют задачи и пытаются создать более комфортные условия.
Некоторые сотрудники даже пытаются обойти средства защиты — особенно технические специалисты. Они могут думать: «Я же не дурак, повешу-ка здесь какой-нибудь скрытый VPN, чтобы удобнее работалось, а тут хитрым образом упрощу себе жизнь». При этом они могут случайно нанести вред компании и создать дыру в безопасности.
Массово гонять людей через полиграф — тоже не выход, особенно если это делают на этапе отбора сотрудников. Многие грамотные специалисты просто не доходят до финального офера и предпочитают избегать таких компаний, которые сильно перебарщивают. Мне кажется, что полиграф уместно использовать, когда вы исследуете какой-нибудь инцидент — например, кражу или слив данных. Тогда это действительно поможет найти человека, но проводить через него всех сотрудников кажется какой-то паранойей. Вы только создадите атмосферу недоверия в команде и настроите людей против вас.
Сценарий №2 — не запрещать ничего
Другой подход к безопасности — это обучить сотрудников: люди не будут чудить, потому что поймут свою ответственность за безопасность данных.
Давайте предположим, что все 100% работников прониклись этим и действительно всё поняли, а также в будущем будут придерживаться принципов безопасности. Гарантирует ли это полную безопасность с точки зрения сотрудников? На самом деле нет.
В кибербезопасности есть правило 7%. Оно говорит о том, что в 7% случаев на большой выборке людей при рассылке вредоносных писем эти пользователи откроют их и сделают всё, что попросят. Этот процент не зависит от уровня осознанности, обучения и самоконтроля.
Я даже лично проверял это. Мы с коллегами делали тестовые рассылки, чтобы проверить, насколько сотрудники способны противостоять фейк-фишинговым письмам. Но каждый раз результаты показывали, что количество обученных сотрудников, игнорирующих простые инструкции, остается приблизительно на одном уровне.
Всё потому, что эти люди в момент открытия письма оказывались не в том состоянии, чтобы оценить свои действия и вспомнить те вещи, которым их учили. Например, у человека утром дома мог заболеть ребенок или собака. А может, перед работой он поругался с женой. В таком состоянии он вообще не думает ни о какой безопасности — ему бы пережить этот момент и справиться с проблемами.
Чтобы поддерживать высокий уровень культуры безопасности, компании важно не только работать с сотрудниками, но еще и держать баланс между техническими средствами, которые защитят людей от их ошибок. Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту. Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны.
Что такое безопасная разработка и как ее придерживаться
Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном.
Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности.
Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники.
Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно.
Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее.
При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности.
Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны.
Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты.
Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность. На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой.
Как обучить сотрудников безопасно работать с данными
Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках. Поэтому обучать нужно каждого, или это всё будет бессмысленно. Но тут есть свои нюансы.
Технические специалисты. Это обычно разработчики, администраторы и другие. Их обучить проще всего — достаточно подобрать хорошие курсы. Многие компании по кибербезопасности проводят обучение. Например, я работаю в такой компании: мы часто делимся знаниями с заказчиками.
Обучение можно устроить и самим — это тоже не проблема. Нужно только оценить, насколько вам трудозатратно это организовать, и убедиться, что в команде есть специалист с подходящим опытом.
Все остальные. Это все те, чья работа не связана с IT. С ними сложнее. Людям сначала нужно объяснить, что кибербезопасность — это так же важно, как и любая другая безопасность, например пожарная. Затем стоит показать сотрудникам, на что обращать внимание, где лежит их зона ответственности, какие бывают подозрительные действия, и обучить базовым темам по безопасности. Это может занять много времени, но здесь важно сформировать поведенческий паттерн.
С каждым из типов сотрудников нужно обязательно проводить тестирования после обучения. Так вы сможете понять, что они усвоили материал и что в будущем не допустят много ошибок.
- Для разработчиков всё понятно: у них есть средства, чтобы проверять код на безопасность, и ими нужно владеть. Поэтому просто протестируйте их на знание этих инструментов.
- С обычными сотрудниками сложнее и дороже: нужно выделять много ресурсов, чтобы понять, насколько готовы работники к атакам. Обычно для этого нанимают целые команды специалистов, которые устраивают социотехнические пентесты и рассылают сотрудникам фишинговые письма, а затем смотрят, как те на это реагируют. Еще они могут делать фишинговые звонки и оценивать, насколько сотрудники окажутся уязвимы.
К сожалению, большинство компаний не могут качественно провести такие работы своими силами. Для этого нужно иметь в штате специалиста с редкими профильными навыками, которые в обычной работе бесполезны. Как правило, заказчик нанимает команду сторонних экспертов и платит им за разовые задачи. Например, в моей компании есть пентестеры, которые занимаются только такими проверками и ничем больше.
Еще есть очень простой лайфхак, как приучить сотрудников быть более ответственными. Каждый раз, когда человек отходит со своего места и оставляет компьютер незаблокированным, стоит сделать следующее:
- Если он делает это первый раз, то ему нужно выдать предупреждение.
- Если он делает это уже второй раз и более, нужно зайти в его компьютер, открыть какой-нибудь рабочий чат в Телеграме и написать что-то в духе: «В пятницу покупаю всем пиццу». И после нужно убедиться, что человек это сделает.
Принцип несложный: не уследил — угостил всех пиццей за свои деньги. А если этот сотрудник когда-то проходил курс по информационной безопасности, можно написать немного по-другому: «В честь освоения курса по информационной безопасности в пятницу проставляюсь пиццей». С одной стороны, человек не чувствует, что это какой-то штраф, потому что никто не заставляет его платить деньги, и к тому же он угощает сотрудников и собирает мини-корпоративчик. А с другой стороны, это очень хороший лайфхак, который помогает людям запоминать, чего им делать не нужно.
