Букзілла📚 – bookzillaUA

Кібербезпека: правила гри. Як керівники та співробітники впливають на культуру безпеки в компанії | Еллісон Серра

Written by

BookZilla

in

Summary – Саммарі, Бізнес, Інновації, Області бізнесу
Автор: Еллісон Серра 


Три причини для занепокоєння

Життя все більше переходить в онлайн, а це означає, що все більше ризикуємо стати жертвами хакерів. Будь-яке впровадження технології, чи то хмарний сервіс чи інтернет речей, відкриває для них потенційні лазівки. Загроз дедалі більше — із трьох причин.

1. Дії хакерів стають дедалі підступнішими і різноманітнішими: від впровадження вірусів-вимагачів до розсилки персональних фальшивих листів.

2. Попит на фахівців з кібербезпеки набагато перевищує пропозицію на світовому ринку праці: у 2021 році у сфері кібербезпеки — 3,5 млн. незакритих вакансій. Замінити фахівців у цій галузі можуть все більш складні програмні продукти, проте останні часто погано поєднуються один з одним або зовсім не впроваджуються через організаційні та технічні складності. Крім того, компанії обережні і не поспішають купувати нові захисні технології, чекаючи, поки їх випробувать інші. На жаль, хакери теж не сплять – у них з’являється достатньо часу, щоб обійти захист.

3. Головна причина: кіберзахист компанії — справа не лише відділу кібербезпеки. Вона тим міцніша, чим більше співробітників розуміють її важливість і знають, що робити.

Ось поради для представників усіх відділів компанії.

Кібербезпека для всієї компанії

Що мають знати гендиректор та правління

  1. Зробіть кібербезпеку темою, що регулярно обговорюється на засіданнях правління. Якщо уявлення про поточну ситуацію в цій сфері ще не склалося, на цю тему варто виділити щонайменше півтори години: за цей час керівник з інформаційної безпеки (ІБ) повинен висвітлити всі ключові питання. Важливо мати уявлення про вразливість щодо кожного активу в порядку зменшення його стратегічної значущості. Стратегічно важливі активи, що виявилися найуразливішими, потребують негайного перерозподілу бюджету. Оцінка ступеня ризику повинна постійно оновлюватися (для цього відділ ІБ повинен влаштовувати регулярні вчення, що моделюють хакерські атаки на вашу компанію).
  2. Нехай керівник з ІБ стане постійним учасником засідань правління (можливо варто призначити членом ради директорів людини з досвідом у сфері кібербезпеки — це розширить корпоративне мислення). На кожному такому засіданні приділяйте темі кібербезпеки щонайменше півгодини. Дайте керівнику з ІБ можливість провести збори, де він зможе обґрунтувати ідею виділяти більше ресурсів на кібербезпеку: нехай керівник з ІБ побуде управлінцем.

Що має знати розробник продуктів

Нині хакери атакують нас не лише через телефони та ноутбуки, а й через програмне забезпечення електромобілів та побутової техніки. Це в рази збільшує вимоги до розробників товарів.

  1. На початкових етапах розробки продукту потрібна участь клієнта: чим більше уточнюючих питань про тонкощі майбутнього використання продукту ви йому поставите, тим краще. Безпека повинна бути обов’язковою вимогою до мінімально необхідного функціоналу вашого продукту, а не функцією, що допрацьовується слідом за іншими.
  2. Уважно визначте принципи конфіденційності клієнтських даних, з якими пов’язаний ваш продукт. Як довго і де ці дані будуть використовуватися? Чи готові ви, зберігаючи ці дані, йти на ризик злому? Очевидно, ні! Це підвищує вимоги до стандартів продукту.
  3. Безпека повинна забезпечуватись на кожному етапі життєвого циклу вашого продукту. Глава кожного підрозділу вашої компанії повинен засвідчити, що вимоги до безпеки продукту в рамках його компетенції дотримані ще до того, як продукт буде представлений на ринку. Чітко розподіліть відповідальність за безпеку: хто відповідає за обслуговування, хто за оновлення продукту, хто за вирішення проблем після злому.
  4. Якщо у безпеці продукту виникли сумніви, його виробництво має бути зупинено, причому відразу ж на будь-якій стадії. Пам’ятати про право «зупинити конвеєр» має кожен співробітник, воно не лише не засуджується, а й винагороджується. Тим самим ви даєте зрозуміти: про безпеку у вашій компанії дбають не менше, ніж про якість; більше, безпека — невід’ємна частина якості.

Що повинен знати спеціаліст з персоналу

Те, що попит на професіоналів у сфері кібербезпеки перевищує пропозицію, — лише півбіди. Наймані спеціалісти гнітюче одноманітні: жінки та представники меншин займають надзвичайно мало посад. Нагальне завдання – розширити можливості для залучення талановитих спеців.

  1. Довгий час наймачі зосереджувалися на STEM-підході (наука, технологія, інженерія, математика). Але кібербезпека потребує різноманітних навичок, у тому числі творчого мислення. Колишній підхід слід розширити до STEAM: наука, технологія, інженерія, математика, мистецтво. У зв’язку з цим перегляньте набір навичок, що вимагається від кандидатів.
  2. Перегляньте й питання, що ставляться під час співбесід: чи не обмежують вони вимоги до кандидата? Часто інтерв’юерів цікавить лише досвід претендента («Розкажіть про той час, коли…»), але, як показали дослідження, подібні питання пророкують успіх майбутнього працівника лише на 12% краще, ніж підкинута монета. Важливим є не минуле кандидата, а те, як він мислить. Запропонуйте йому вирішити завдання: внести поліпшення роботу відділу, розповісти про те, як він планує адаптуватися до роботи компанії.
  3. Нехай у співбесіді беруть участь кілька інтерв’юерів. Краще, якщо один із них буде жінкою чи представником меншин.

    У Google практикують “Правило чотирьох” – чотири інтерв’ю з кандидатами на посаду, і ця модель встигла зарекомендувати себе.

  4. Залучайте працівників із технічними навичками із суміжних сфер — скажімо, телекомунікацій. З одного боку, вони можуть швидко перевчитися. З іншого боку, привнесуть нове бачення.
  5. Цінності вашої компанії повинні включати слово “безпека”. Заохочуйте пильну поведінку співробітників, яка зміцнює кібербезпеку вашої компанії, – наприклад, відзначайте тих, хто висловлює побоювання щодо безпеки продукту, що створюється, або звертає увагу на підозрілу поведінку колег (в останньому випадку, звичайно, потрібно подбати про конфіденційність).
  6. Визнайте заслуги вашої команди з кібербезпеки та повідомляйте про них якомога ширшому колу співробітників.
  7. Разом з директором ІБ контролюйте доступ до найцінніших активів компанії. Для цього визначте, хто з працівників має найповніший доступ до них. Періодично переглядайте цей перелік. Зміни у статусі співробітників дозволяють обмежити їм доступ і тим самим уникнути можливого витоку даних.
  8. Визначте для кожного члена посібника щонайменше один ключовий показник ефективності (KPI) з кібербезпеки. Він, у свою чергу, надасть відповідні вказівки своїй команді. Так ідеї кібербезпеки проникнуть у всі куточки компанії, стануть звичними установками.

Що має знати фахівець із комунікацій

Як і будь-яку проблему, хакерські атаки дешевше запобігти, ніж розбиратися з їхніми наслідками. Тим не менш, вони трапляються, і тоді час починає працювати проти компанії. План дій варто розробити задовго до злому.

1. Складіть комунікаційний план за участю керівництва. Разом з директором з ІБ визначтеся з найбільш небезпечними для компанії ризиками та погрозами (компрометація клієнтів, злом сайту та ін.). Визначте порядок дій у кожному з випадків:

  • Кого і коли будете повідомляти про зло (найкраще протягом години після інциденту).
  • Що повідомите, не володіючи повною інформацією (а так найчастіше і буває).
  • Чи повідомлятимете громадськість, якщо закон цього не вимагає. А якщо ваша компанія не несе прямої відповідальності за атаку.
  • Яку компенсацію запропонуйте постраждалим?

2. Нехай кожен сценарій цього плану має заздалегідь заготовлені та ретельно узгоджені з юристами шаблони повідомлень. Прес-релізи, пости в соцмережах, електронні листи – все це піде у справу, коли трапиться атака. Дотримуйтесь у шаблонах такої схеми:

  • Хто постраждав?
  • Що було вкрадено?
  • Коли система була зламана?
  • Які запобіжні заходи повинні вжити зацікавлені сторони?
  • Що компанія робить для вирішення проблеми?

Шаблон має бути чітко структурованим, але не бездушним. Підберіть правильні слова співчуття — фальш ще більше розсердить клієнтів.

3. Кожен сценарій спирається на докладний (краще б щохвилинний) тимчасовий графік: хто, коли і як вступає у справу, як тільки стане відомо про зло.

4. Не тримайте співробітників у невіданні щодо ситуації, навіть якщо вони безпосередньо не постраждали. В іншому випадку неминучі чутки та домисли, а це вам потрібно найменше.

5. Подібно до директорів з ІБ, проводіть антикризові навчання (принаймні раз на рік). Змоделюйте виступи перед ЗМІ. Переконайтеся, що люди, які призначені для взаємодії з пресою, будуть готові до цього.

Що мають знати фінансові фахівці

Що спільного між відділом фінансів та відділом ІБ? Більше, ніж здається здавалося б. Фінансисти допомагають керівникам ІБ знаходити контакт з радою директорів. Керівники ІБ допомагають фінансистам краще розібратися в тонкощах кібербезпеки, коли справа доходить до закупівель та перевірки третьої сторони.

1. Цінність інвестицій у кібербезпеку для правління буває неочевидною: зрештою, попереджені катастрофи залишаються невидимими, і здається, що гроші на захист можна було й не витрачати. Справа в тому, щоб змінити думку: інвестиції в кібербезпеку — це не питання окупності, а питання зниження ризиків. Директор з ІБ та фінансовий директор разом мають опрацювати питання, які будуть представлені раді директорів:

  • Які активи ризикують?
  • Якою є стратегічна цінність таких активів?
  • Наскільки вразливі ці активи зараз?
  • Якими будуть наслідки атаки хакерів?

Ретельно підготовлений на основі такого плану виступ директора з ІБ перед правлінням стане набагато переконливішим.

2. Фінансові директори повинні звернутися до керівників інших відділів із проханням надати інформацію з таких питань:

  • Як заплановані нововведення (продукти, технології та ін.) вплинуть на вразливість компанії?
  • Як новації вплинуть на ключові стратегічні активи компанії?
  • Чи потрібні додаткові інвестиції для зниження ризиків (і чи включені ці вкладення до аналізу рентабельності інвестицій)?

3. У свою чергу директор з ІБ повинен дати фінансистам відповіді на такі питання:

  • Скільки було витрачено на програмне забезпечення, що залишилося незадіяним? Чи планується його запуск?
  • Коли проводився останній аудит правильного налаштування продуктів безпеки? А останній тренінг із кібербезпеки для всіх співробітників? Які їхні результати?
  • Коли проводилися останні навчання і які результати?

4. Виявляйте максимум пильності при наймі третіх сторін. На жаль, лише 34% організацій стурбовані перевіркою сторонніх компаній, звертаючи увагу на те:

  • як їхні партнери оновлюють права на доступ своїх співробітників;
  • наскільки своєчасно вони повідомляють актуальні відомості у сфері кібербезпеки;
  • як партнери шифрують дані у різних станах (при передачі, у стані спокою, при використанні);
  • які принципи зберігання, використання та видалення всіх даних, що передаються між вашою та сторонньою компанією (скажімо, чи ретельно очищаються дисфункції жорстких дисків перед утилізацією);
  • який план забезпечення безперебійного функціонування та аварійного відновлення у разі злому, як часто тестується така система;
  • які принципи контролю змін для нових користувачів/нового ПЗ (наприклад, як відстежуватиметься ненадійне ПЗ у ваших системах).

Так, це вимагає часу та зусиль. Проте одного разу затверджений протокол перевірки можна використовувати для аналізу будь-якої нової компанії, яка бажає з вами співпрацювати . Забезпечення безпеки ключових постачальників варто перевіряти щорічно.

5. Ретельно стежте за тим, щоб інформаційна політика третьої сторони не суперечила стандартам кібербезпеки вашої компанії (скажімо, третя сторона охоче розміщує логотипи партнерів на своєму сайті, а ви бачите в цьому підказку для хакерів: ось чорний хід, з якого можна проникнути у вашу компанію).

Що повинен знати фахівець із кібербезпеки

1. Постійно підтримуйте кібергігієну у компанії:

  • Перегляньте план повідомлення адміністраторів про вразливість. Чи всі зацікавлені особи в ньому враховано?
  • Проведіть ревізію серверів, що не використовуються. До 30% всіх віртуальних серверів компаній перебувають у стані коми — все одно що зомбі, які сплять в очікуванні хакерів.
  • Розберіться із програмним забезпеченням, яке досі «пилиться на полицях». Чому його не було встановлено: застаріло чи руки не дійшли? Якщо вірний другий варіант, встановіть їх, але подбайте про грамотну конфігурацію захисту, інакше відкриєте лазівку хакерів.
  • Зробіть резервну копію даних – тим самим позбавте себе вимог програм-вимагачів і зможете в найкоротші терміни відновити дані у разі їх втрати. Використовуйте шифрування для безпечного резервного копіювання. Систему резервного копіювання регулярно перевіряйте.

2. Відносини між відділом ІБ та відділом інформаційних технологій (ІТ) нерідко бувають напруженими. Скажімо, директор з ІБ може загальмувати впровадження нової технології, оскільки вона наражає компанію на ризик злому. Ролі та обов’язки відділів, як і їхні бюджети, мають бути ретельно узгоджені. Так, кожен ІТ-проект має враховувати витрати на кібербезпеку.

3. Інвестуйте в технології, які збільшують цінність вашого бізнесу та вводять в оману хакерів (у тому числі в брокери безпечного хмарного доступу CASB та в обманні технології, що відволікають зловмисників від реальних цілей). Для виявлення найскладніших загроз використовуйте штучний інтелект. Однак пам’ятайте, що ця технологія загрожує частими помилковими спрацьовуваннями, а вони не менш шкідливі, ніж помилково-негативний результат перевірки: забирають час і відволікають від реальних загроз. Новомодний ІІ ефективніше у поєднанні з традиційними технологіями (сигнатурами та ін.).

4. Поширюйте культуру кібербезпеки і по вертикалі (співпрацюючи з фінансовим відділом і виступаючи в раді директорів), і по горизонталі, серед співробітників організації: проводячи спеціальні тренінги, що підвищують кіберграмотність співробітників, організовуючи кампанії, що впроваджують принципи кібербезпеки (можливо, з комунікацій, який попрацює з відділами кадрів та маркетингу).

Що має знати кожен співробітник компанії

Дослідження показують, що співробітники прямо чи опосередковано відповідальні за чверть усіх зламів. При цьому в 60% випадків справа просто в байдужості співробітників. Їм особливо важливо зрозуміти: мета хакерів — не лише компанії, а й кожен із нас.

1. Хакери люблять грати на довірі: розсилають листи від імені популярних брендів, банків та особисті повідомлення від імені колег. Це називається фішингом, його мета – отримати доступ до наших особистих даних. Фішинг розрахований на неуважність.

  • Шукайте ознаки шкідливого листа, наприклад, перевірте адресу відправника.
  • Не переходьте за підозрілими посиланнями.
  • Про дивні листи та інші спроби злому негайно повідомляйте співробітників безпеки.

2. Подбайте про своєчасне оновлення захисту ваших гаджетів і не бурчіть на ІТ-відділ, який в робочі години запускає оновлення, що знижує продуктивність ваших пристроїв.

3. Подбайте про те, щоб ваші паролі були досить складними для злому. Використовуйте автоматичні генератори паролів. Не дозволяйте сайтам автоматично зберігати паролі. І не зберігайте їх у власних смартфоні та ноутбуці. У такому випадку хакерові нічого не варте, зламавши ваш гаджет, вкрасти облікові дані, отримати доступ до облікових записів і розсилати вашим близьким та колегам фішингові листи.

4. 25% співробітників американських компаній, йдучи додому наприкінці робочого дня, залишають свій комп’ютер увімкненим і незаблокованим. Не будьте як вони.

5. Уникайте незашифрованих пристроїв USB. Кібератаку, яка дозволила уряду США загальмувати ядерну програму Ірану, було проведено саме через скомпрометований USB-пристрій.

6. Маючи справу з конфіденційними даними, остерігайтеся публічного Wi-Fi – використовуйте тільки мережу VPN вашої компанії. Порада все актуальніша в міру того, як все більше співробітників йдуть на віддалення.

10 найкращих думок

1. Кіберзахист – справа кожного співробітника компанії.

2. Нехай директор ІБ стане постійним учасником засідань правління з правом голосу.

3. Визначтеся, які активи вашої компанії найбільш уразливі у віртуальному просторі. Стратегічно важливі активи, що виявилися найуразливішими, потребують негайного перерозподілу бюджету.

4. Завжди майте докладний та узгоджений комунікаційний план на випадок злому.

5. Для виявлення найскладніших загроз використовуйте штучний інтелект. Однак він загрожує частими помилковими спрацьовуваннями. ІІ ефективніше у поєднанні з традиційними технологіями.

6. Не чекайте, поки нові захисні технології випробувать інші : чим вони свіжіші, тим ефективніші.

7. Подбайте про те, щоб ваші паролі були досить складними для злому. Не дозволяйте сайтам автоматично зберігати паролі. І не зберігайте їх у своєму смартфоні.

8. Маючи справу з конфіденційними даними, остерігайтеся публічного Wi-Fi — використовуйте лише мережу VPN вашої компанії.

9. Всіляко заохочуйте пильну поведінку співробітників, що зміцнює кібербезпеку вашої компанії.

10. Удосконаліть свої вимоги до найму фахівців із кібербезпеки. Стережіться шовінізму. Залучайте працівників із суміжних сфер.

More posts