Семь утечек из десяти случаются по вине сотрудников
Летом 2021 года компания Egress опубликовала большое исследование об утечках данных. В выборку попали более 500 руководителей ИТ-отделов и 3 тыс. сотрудников британских и американских компаний из самых разных секторов. Оказалось, что за последний год с утечками столкнулись 94% организаций. 84% руководителей назвали основной их причиной человеческий фактор, то есть ошибки сотрудников самой компании. Чаще всего к утечкам приводят два типа ситуаций — нарушения сотрудниками правил информационной безопасности (74%) и фишинг (73%). Массовый переход сотрудников на дистанционную работу только усугубляет негативную тенденцию. По мнению 56% руководителей, из-за удаленки бороться с утечками стало сложнее.
Проанализировав в начале 2021 года данные по утечкам в 130 странах, эксперты IBM и вовсе пришли к выводу, что человеческая ошибка стала их причиной в 95% случаев. Однако трактовка этого понятия может быть широкой: от открытия фишингового письма до неверно принятого решения на уровне управления проектом или направлением. Если под человеческим фактором понимать именно недостаток знаний в области ИБ у сотрудников, для которых это не является обязательной компетенцией, то можно ориентироваться на 70% — именно такую оценку в беседе с РБК привел Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон», и она соответствует реалиям российского рынка.
Будущее ИБ за обучающими платформами
Ответом на новый вызов стали обучающие платформы, главная цель которых — повысить осведомленность сотрудников компаний в области информационной безопасности. Этот рынок называется Security Awareness Training, и, по данным Gartner, он растет не менее чем на 13% в год.
За рубежом на этом направлении уже очень много серьезных игроков. В качестве лидера различные исследования нередко отмечают американскую компанию KnowBe4, которая весной 2021 года вышла на биржу NASDAQ. Бизнес строится вокруг продажи курсов информационной безопасности по подписке (кстати, они названы в честь легендарного хакера Кевина Митника, и он один из сотрудников компании), модуля имитации фишинговых атак и программы для анализа рисков. Насколько хорошо это работает? Если опираться на статистику самих разработчиков, то подход крайне действенный. Изначальный средний риск «попасться» на фишинг снижается с 31,4 до 16,4% через три месяца после начала корпоративного обучения. А через год он уже составляет всего 4,8%.
Ближайшие конкуренты KnowBe4 — CybSafe, Inspired eLearning, Infosec, Elevate Security и множество других — работают по схожим моделям. Это всегда обучение в связке с продуктами для анализа устойчивости к угрозам, модулями имитации определенных атак и иногда решения для непосредственного обеспечения безопасности. В России рынок сервисов для повышения осведомленности в области ИБ только формируется. Действительно крупных игроков можно пересчитать по пальцам рук, но их количество растет, в том числе за счет вовлечения серьезных брендов с глубокой экспертизой в области ИТ-решений.
Например, летом 2021 года собственную платформу запустил «МегаФон». На ней собрано более 60 курсов по ИБ в самых различных областях. От специфических для отдельных категорий специалистов («Безопасность центров обработки данных») до массовых, которые было бы крайне полезно пройти всем сотрудникам любой компании: «Как не попасться на уловки мошенников», «Как печатать конфиденциальные документы» или, например, «Как работать с персональными данными». Из курсов можно составить обучающие модули и назначить конкретным сотрудникам или целым отделам. Если какого-то курса не хватает, то его можно составить самостоятельно из текстов, изображений и аудиофайлов или заказать у разработчиков сервиса за дополнительную плату. Платформа ведет подробную статистику на всех уровнях и примерно оценивает гипотетический риск в случае столкновения с угрозами ИБ на основе того, насколько успешно люди завершили обучение.
Подписка на обучение и имитация фишинговых атак
Почему заказчики выбирают модель подписки на обучение информационной безопасности, а не делают курсы самостоятельно? Есть как минимум две веские причины, которые связаны друг с другом. Прежде всего для этого требуются средства и время сотрудников, в том числе таких важных, редких и востребованных, как специалисты по ИБ. Их не только нужно отвлекать от главной задачи, но и усиливать методологами, которые смогут понятно и интересно сформировать курсы из собранной информации. Плюс нужно добавить сюда стоимость производства, разработки и обслуживания платформы. Затем нужно сопоставить временные и денежные затраты со стоимостью аналогичного сервиса по подписке.
Уже упомянутая выше KnowBe4 предлагает четыре тарифа со стоимостью от $9 до $30 за сотрудника в год. Цена зависит от количества человек, которых вы планируете обучать, и выбранных опций. В России о корпоративном обучении ИБ по подписке можно задумываться со штатом в 50 специалистов и годовым бюджетом от ₽100 тыс. На платформе «МегаФон Security Awareness» предусмотрены значительные скидки на человека по мере роста количества аккаунтов. Если их больше 1 тыс., то ежемесячные затраты на каждый составят буквально несколько десятков рублей, что, кстати, в 2–3 раза доступнее, чем в США. Для компаний, которые не специализируются на информационной безопасности сами, модель подписки почти наверняка окажется более выгодной, чем собственное внутреннее обучение.
Примечательно, что очень многие поставщики решений для повышения осведомленности в области ИБ предлагают собственные средства для имитации фишинговых атак. Это явный ответ на один из главных трендов пандемии: по статистике ФБР, фишинг стал наиболее распространенным киберпреступлением 2020 года. Причем с 2018-го количество фишинговых атак различного типа увеличилось более чем в девять раз.
Все антифишинговые модули работают по схожему принципу. Сначала администратор платформы создает рассылку по готовым шаблонам, которые имитируют письма, скажем, от Facebook, Google и других популярных платформ или государства — ФНС, «Госуслуг» и т.д. Все это автоматически привязывается к сайту с интерфейсом точь-в-точь как у настоящей платформы. Затем выбранные сотрудники получают эти письма, а администратор следит за прогрессом: сколько из них открыли письма, сколько перешли по ссылкам и сколько ввели данные в форму.
Возможны некоторые дополнения. Например, «МегаФон» по запросу клиента может создать эксклюзивный шаблон. Главный «хит» — письмо, имитирующее сообщение от генерального директора. Однако сотрудники компании подчеркивают, что главная идея имитации фишинговой атаки не в том, чтобы сделать ее максимально изощренной, а в том, чтобы максимально приблизить к реальному сценарию. И это работает. Как утверждает Александр Осипов, клиентам, которые сначала заказали тестовую фишинговую атаку, а затем провели обучение на их платформе, в среднем удалось снизить риск инцидента на 70%.
На российском рынке средняя длина цикла сделки по приобретению платформы для обучения ИБ — два-три месяца. Наибольшим спросом такие решения пользуются в финансовом секторе, что объясняется спецификой работы: требованиями регуляторов и высоким уровнем ответственности за средства клиентов. Вторая большая группа потенциальных заказчиков — ИТ-компании, которые ведут бизнес в интернете и разрабатывают какое-либо ПО, а следовательно, работают с персональными данными. Сюда относится все, что связано с растущим рынком электронной коммерции. Крайне важны обучающие решения и для промышленного сектора, поскольку тут нужен особый подход к защите объектов критически важной инфраструктуры.