CC BY
2
УДК 004.056
ИНФОРМИРОВАНИЕ ПОЛЬЗОВАТЕЛЕЙ ОБ УГРОЗАХ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
*
Е. В. Ульянова Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: elenavladimirovnay@mail.ru
Рассматривается проблема информирования пользователей об угрозах информационной безопасности и правилах безопасной работы. Приводится описание нескольких решений, которые представлены на рынке соответствующих услуг и представляют интерес для крупных организаций. Предлагается внедрение системы повышения осведомленности пользователей в области информационной безопасности.
Ключевые слова: информационная безопасность, LMS (Learning Management System), фишинг, осведомленность.
INFORMING USERS ABOUT THREATS TO INFORMATION SECURITY
*
E.V. Ulianova Scientific supervisor-V.G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: elenavladimirovnay@mail.ru
The problem of informing users about threats to information security and rules for safe operation is considered. Several solutions that are available on the market for these services and are of interest to large organizations are described. It is proposed to introduce a system for increasing user awareness in the field of information security.
Keywords: information security, LMS (Learning Management System), phishing, security awareness.
Одной из актуальных и ключевых проблем для крупных предприятий является тема информирования пользователей об угрозах их безопасной работе. Пользователь информационной системы, как правило, является самым уязвимым местом при построении системы информационной безопасности предприятия. По данным исследования «Лаборатории Касперского» [1], 52% компаний по всему миру считают наибольшей угрозой системе корпоративной безопасности самих сотрудников, поскольку их действия могут скомпрометировать корпоративные данные. По причине низкой осведомленности пользователя о принципах безопасной работы, сотрудники часто используют небезопасные пароли, попадаются на «фишинговые рассылки», пытаются самостоятельно бороться с вирусами. Между тем, неправильные действия пользователей могут повлечь за собой инциденты, устранение последствий которых может потребовать миллионы рублей, даже в секторе малого и среднего бизнеса, не говоря уже о крупных предприятиях. Основной проблемой является низкий уровень осведомленности сотрудников организации об угрозах
Секция «Информационнаябезопасность»
информационной безопасности. Необходимо отметить, что для разных категорий сотрудников целесообразно разделять предоставляемую информацию об угрозах на различные блоки. В частности, для топ-менеджеров понимание и поддержка стратегии информационной безопасности, для среднего менеджмента необходима информация, помогающая принимать оптимальные решения для выработки и реализации стратегий информационной безопасности. Для рядовых сотрудников отработка навыков для безопасной работы на персональных компьютерах и мобильных устройствах. Одной из важнейших задач обеспечение информационной безопасности является выявление необходимости в обучении и определение направленности курсов.
Для решения поставленной задачи существуют специализированные системы обучения и контроля знаний - они помогают автоматизировать подобные мероприятия. В результате анализа рынка были выявлены два решения с функционалом по повышению осведомленности пользователей. Kaspersky Automated Security Awareness Platform (ASAP) [2] - автоматизированная платформа для повышения осведомленности о кибербезопасности, которая позволяет провести оценку текущих знаний пользователя в сфере информационной безопасности, определить в соответствии с этим навыки, наиболее важные, для конкретного пользователя, разработать график прохождения программы. Например, рядовым сотрудникам необходимы лишь базовые умения, в то время как руководителю для работы с конфиденциальной информацией нужно знать, как обезопасить данные целого департамента. Занятие состоит из видеороликов и происходит в режиме диалога, а также содержит упражнения на закрепление и проверку. Проверка заключается в выполнение заданий, подобных тем, которые сотрудник выполняет в своей повседневной работе. Отработка, полученных знаний и навыков основана на постепенном усложнении заданий, то есть следующий этап становится доступным при полном выполнении предыдущих заданий. Такой подход позволяет наиболее эффективно запоминать и использовать полученные знания. В Kaspersky ASAP, используется автоматизированное управление, которое помогает компании контролировать процесс на всех этапах: от постановки задачи до оценки эффективности. Чтобы оценить успеваемость и прогресс пользователей, существует удобная панель управления, в которой содержаться отчеты для руководства. Основная цель такого обучения, заключается не только в том, чтобы просто повысить осведомлённость сотрудников об онлайн-опасностях, но и в том, чтобы сформировать устойчивые привычки и развить навыки безопасного поведения. По сути, новая платформа Kaspersky ASAP - это онлайн-решение, которое учит пользователей безопасному поведению в любой, даже неизвестной заранее, ситуации.
Второй продукт: Phishman Awareness Center [3] - система управления осведомленностью пользователей, позволяющая в автоматизированном режиме определять пробелы в профессиональных знаниях и недостатки в навыках сотрудников, формировать программу обучения и оценивать полученные знания работников. По результатам проведенного анализа данных пользователей, из различных информационных источников, система формирует программу и направляет сотрудников на обучение и завершающее выходное тестирование. Кроме того, в Awareness Center есть возможность обучения сотрудников и без сбора информации об их уровне осведомленности. Так, например, «старых» пользователей, при появлении новых угроз информационной безопасности, а новых работников при приеме на работу. Наиболее распространенный сценарий атак на организации в последнее время начинается с рассылки фишинговых писем. Решение логически представлено модулями обучения и контроля. Одной из функций модуля обучения является организация взаимодействия с LMS-системами. Изначально модуль обучения включает в себя 20 курсов, после прохождения которых проводится обязательная проверка пройденного материала. Модуль содержит в себе такие курсы, как, например, «Антивирусная защита», «Как защититься от фишинга», «Защита мобильных устройств». Сервис Phishman лежит в основе
модуля контроля, который отвечает за проведение учебных атак и является ядром системы. Он позволяет имитировать реальные фишинговые рассылки, анализировать и оценивать поведение пользователя во время атаки. По результатам анализа, для сотрудника готовится индивидуальная программа обучения. Такая программа состоит из, предварительно утверждённого заказчиком, набора курсов. Обучение проводится в форме презентации, построенной в режиме диалога с элементами игры. По окончании обучения проводится обязательное тестирование. Такие возможности позволяют своевременно выявлять и устранять пробелы в знаниях. Система позволяет, с учетом специфики деятельности организации, создавать новые шаблоны и сценарии обучения или использовать готовые.
Для выполнения пилотного проекта, рабочей группой, было принято решение об использовании продукта Kaspersky ASAP. Система была установлена и опробована на выборке из 70 сотрудников разного уровня должности. Система показала свою эффективность и экономию времени сотрудников за счет универсальной структуры уроков, отработки навыков безопасного поведения в игровой форме, самостоятельного управления обучением. Система работает по принципу «тонкого клиента», сотруднику по почте направляется ссылка, пройдя по которой он попадает на портал, где может проходить обучение и тестирование, в соответствии с его уровнем знаний. Простота благодаря полной автоматизации (запускать, настраивать и контролировать процесс не составляет труда, а управление полностью автоматизировано и вообще не требует административного участия), эффективность (материалы в программе структурированы так, чтобы обеспечивать последовательность обучения с постоянным закреплением знаний). Кроме того, стоит обратить внимание на наличие модуля проверки знаний, который позволяет оценить текущий уровень осведомленности пользователя и назначить ему курс в соответствии с его уровнем знаний. По мере повышения осведомленности пользователя происходит соответствующее усложнение заданий.
Кроме того, в процессе пробной эксплуатации системы, были выявлены и недостатки функциональности. Так, например, система не позволяет по названию должности однозначно определить иерархический уровень сотрудника, что важно для правильного формирования программы обучения. Принято решение, что в процессе внедрения системы будет введен дополнительный признак при интеграции системы с кадровой системой и службой Active Directory. Таким образом, применение рассмотренных решений приводит к повышению уровня знаний и осведомленности пользователей в области информационной безопасности, что позволяет снизить количество инцидентов. Каждый сотрудник усваивает на практике правила кибербезопасности и понимает, что такое киберугрозы и как не стать их жертвой.
Библиографические ссылки
1. Kaspersky Security Awareness [Электронный ресурс]. URL: https://media.kaspersky.com/ en/business-security/enterprise/cyber-security-awareness-training-whitepaper.pdf (дата обращения 01.03.2020).
2. Kaspersky Automated Security Awareness Platform [Электронный ресурс]. URLhttps://k-asap.com/ru/ (дата обращения 01.03.2020).
3. Phishman Awareness Center: обучающий портал и система управления осведомленностью пользователей [Электронный ресурс]. URL: https://www.syssoft.ru/ phishman-awareness-center-obuchayushchiy-portal-i-sistema-upravleniya-osvedomlennostyu-polzovateley/ (дата обращения 01.03.2020).
© Ульянова Е. В., 2020
