Более половины критически значимых организаций России не проводит обучение по ИБ

Специалисты компании RTM Group, предоставляющей услуги в области кибербезопасности и права в ИТ, пришли к выводу, что почти половина значимых организаций КИИ (критической информационной инфраструктуры) России не проводит обучение по ИБ. Этот вывод был сделан по результатам опроса пользователей системы MEDOED, предназначенной для выполнения требований регуляторов, а также по итогам реализации проектов по обеспечению безопасности КИИ.

Обучение по информационной безопасности необходимо для КИИ

Среди организаций, которые не уделяют должного внимания обучению персонала – предприятия важнейших сфер государства и общества:

• Здравоохранения
• Промышленности
• Связи
• Транспорта
• Энергетики
• Финансового сектора
• Городского хозяйства

Федор Музалевский, директор технического департамента RTM Group:

«По данным RTM Group, лишь одна из десяти организаций, принадлежащих к КИИ, занимается повышением осведомленности сотрудников в области защиты информации на регулярной основе. Около 50% субъектов с ЗОКИИ (значимыми объектами КИИ) и не более 3% от субъектов без значимых объектов обходится письменными регламентами, внутренними курсами. Часть – вообще не обучает сотрудников (и это 9 из 10 организаций-субъектов КИИ). В итоге забота о безопасности информации остается на бумаге в виде регламентов, которые мало кто серьезно изучает. Тренинги, которые проводятся внутренними подразделениями, нередко имеют низкую эффективность, поскольку все знают о них заранее, а сценарии повторяются».

Человеческий фактор как основная причина киберинцидентов КИИ

Главное последствие низкой осведомленности сотрудников организаций КИИ в сфере ИБ – невнимательное отношение к фишинговым письмам, вредоносным вложениям, сценариям с социальной инженерией. И, как следствие, низкая защищенность перед современными угрозами и уловками киберпреступников.

СТАТИСТИКА:
Наша практика проведения киберучений в организациях КИИ (и не только) показывает, что из 100 сотрудников, как минимум, 20 открывают подозрительные письма. Из 20 открывших, как минимум, двое переходят по ссылкам и еще трое отвечают на грамотно составленное письмо. Таким образом, каждый двадцатый сотрудник, не прошедший полноценное обучение с контролем знаний, представляет угрозу информационной безопасности. Он может как открыть доступ вредоносному ПО (включая шифровальщиков) в корпоративную сеть и заразить ее, так и передать злоумышленникам конфиденциальную информацию.

Важно отметить, что в организациях, где сотрудники отличаются низкой осведомленностью в области ИБ, последствия каждого события в ИБ оказываются более тяжелыми.

Инциденты замалчиваются и нередко даже скрываются виновными, а потому о факте попадания вредоносного ПО в корпоративную сеть администраторы узнают через несколько часов (или дней), когда поражены уже все системы.

И ущерб оказывается максимальным в ситуации, когда счет идёт на минуты.

СТАТИСТИКА:
Еще одна проблема – использование сотрудниками слабых паролей – это продолжает делать около 30% корпоративных пользователей.

Поэтому сотрудников важно не только контролировать техническими средствами, но и качественно обучать, показывать на примерах, чем может обернуться несоблюдение базовых правил безопасности, чтобы уменьшить вероятность возникновения инцидентов.

При этом контроль знаний должен быть не разовым, а систематическим, поскольку навыки сотрудников теряются, знания забываются.

Плюс нужно учитывать приток новых кадров – в среднем, штатный состав отечественных компаний меняется на 10–20% каждый год.

СТАТИСТИКА:
Как показывает практика расследований RTM Group, по вине внутренних нарушителей происходит сегодня более 80% киберинцидентов. Здесь и вирусы-шифровальщики по ссылке из фишингового письма, и переводы денежных средств после просмотра сайта с лекарствами, и отправка базы клиентов конкурентам. Суммы ущерба в каждом конкретном случае отличаются, но случаи с десятками миллионов рублей только прямых потерь из-за переводов мошенникам или простоев организации — не редкость.

Также важно, что приблизительно 7% всех сотрудников компании систематически нарушают правила информационной безопасности и кибергигиены. Периодическое тестирование позволяет выявить таких людей, чтобы работать с ними индивидуально.

Как обучение снижает киберриски в критической инфраструктуре

В ситуации острого дефицита кадров в ИБ (который испытывает сегодня более 90% организаций КИИ) проведение обучения оказывается единственно возможным способом улучшить ситуацию. При этом тем, кто не может себе позволить пригласить стороннего подрядчика, мы рекомендуем задействовать специализированные системы обучения, которые получили распространение еще во время пандемии.

Обучение важно проводить системно, регулярно, с предварительной подготовкой. Только тогда оно может быть эффективным.

Предлагаем такой пошаговый план для подготовки к обучению в компании:

• Понять, кого обучать. Это могут быть сотрудники фронтлайн, системные администраторы или топ-менеджмент. Начинать лучше всего с тех, у кого больше всего полномочий в информационных системах.
• Чему обучать. Программы могут быть разнообразными, но парольная политика, кибергигиена и противодействие фишингу должны присутствовать обязательно.
• Как часто обучать. Минимум один раз в год, но оптимальнее – лёгкие курсы один раз в квартал с обязательным контролем знаний.
• Что делать с теми, кто необучаем (а это отдельная проблема). Самый корректный способ – урезать права. Запретить выход в интернет, установку ПО и даже доступ к сетевым ресурсам. Отметим, что расставание с сотрудником – крайняя мера.
• И после этого уже можно выбирать систему, писать или заказывать курсы, и, собственно, запускать в работу. Курсы могут быть видео, аудио и в виде классических презентаций. Обязательный аспект – тесты, которые, как минимум, меняют из раза в раз порядок вопросов и ответов, а еще лучше – меняются сами.