Кібербезпека залишається постійною загрозою в діловому світі, минулого року було зафіксовано рекордну кількість компрометації даних. Може здатися привабливим сказати, що це не проблема HR, але кібербезпека більше не є винятковою сферою діяльності ІТ.
HR відіграє найважливішу роль як у запобіганні атак, так і в реагуванні на проникнення зловмисника.
HR також можуть самі стати мішенню через величезну кількість даних про співробітників, які вони зберігають. Це великий обсяг персональних даних. HRи тримають «ключі від замка» всього, що відбувається з кожним співробітником».
Ось що потрібно знати HR.
HR відіграє найважливішу роль як у запобіганні атак, так і в реагуванні на проникнення зловмисника.
HR також можуть самі стати мішенню через величезну кількість даних про співробітників, які вони зберігають. Це великий обсяг персональних даних. HRи тримають «ключі від замка» всього, що відбувається з кожним співробітником».
Ось що потрібно знати HR.
Підготовка людей до кіберзагроз
Директори з персоналу відіграють важливу роль у захисті від кібератак через популярність фішингових атак, коли хакери обманюють когось, щоб або пропустити зловмисників через звичайні стіни кібербезпеки, або видати себе за когось, щоб змусити співробітника зробити те, чого вони зазвичай не роблять, наприклад, внести гроші на новий рахунок.
За даними IBM, фішинг є найпоширенішим вектором витоку даних, на його частку припадає 16% усіх витоків. Вони також обходяться найдорожче: IBM також виявила, що фішингові зломи обходяться в середньому в 4,76 мільйона доларів, що вище загальної середньої вартості витоку в 4,45 мільйона доларів.
Більшість інцидентів, пов'язаних із безпекою даних, є результатом людської помилки, а людська помилка означає, що її допустив співробітник.
Навчання боротьбі з фішингом має входити до компетенції HR, як і інші види навчання. Це може означати проведення підроблених фішингових кампаній, щоб дізнатися, скільки співробітників піддаються на це. Можна проводити регулярні конкурси з призами, пропонуючи співробітникам визначити, що не так з електронним листом - такі речі, як друкарські помилки, неправильні заголовки та URL-адреси.
Важливо змінити уявлення про роль, яку співробітники відіграють у запобіганні витокам даних, і зробити їх більш помітними та цінними на робочому місці, а також зробити кібербезпеку частиною культури та місії компанії.
За даними IBM, фішинг є найпоширенішим вектором витоку даних, на його частку припадає 16% усіх витоків. Вони також обходяться найдорожче: IBM також виявила, що фішингові зломи обходяться в середньому в 4,76 мільйона доларів, що вище загальної середньої вартості витоку в 4,45 мільйона доларів.
Більшість інцидентів, пов'язаних із безпекою даних, є результатом людської помилки, а людська помилка означає, що її допустив співробітник.
Навчання боротьбі з фішингом має входити до компетенції HR, як і інші види навчання. Це може означати проведення підроблених фішингових кампаній, щоб дізнатися, скільки співробітників піддаються на це. Можна проводити регулярні конкурси з призами, пропонуючи співробітникам визначити, що не так з електронним листом - такі речі, як друкарські помилки, неправильні заголовки та URL-адреси.
Важливо змінити уявлення про роль, яку співробітники відіграють у запобіганні витокам даних, і зробити їх більш помітними та цінними на робочому місці, а також зробити кібербезпеку частиною культури та місії компанії.
Реагування в разі атаки
Незважаючи на всі зусилля компанії в галузі кібербезпеки, атаки все ще відбуваються, і деякі з них будуть успішними. За даними Центру ресурсів з розкрадання особистих даних, у 2023 році було зареєстровано 3 205 випадків компрометації даних - історичний рекорд - з більш ніж 350 мільйонами жертв.
У разі витоку інформації у компаній уже має бути план реагування на інциденти, який диктує, наприклад, хто і що робить у процесі мінімізації проблеми. Цей план має включати директора з персоналу, оскільки ця людина має унікальні можливості для спілкування зі співробітниками.
Якщо про проблему повідомляється директору з персоналу, особливо якщо співробітник вважає, що його обдурили, він також має бути уповноважений негайно відреагувати, що може означати додаткове навчання операціям у сфері кібербезпеки. Це набагато ефективніше, ніж якби директор з персоналу торував собі шлях через ІТ у пошуках допомоги.
Що б не працювало, залежатиме від компанії, і щоб з'ясувати це, необхідно подолати розрізненість між різними відділами, щоб ставитися до кібербезпеки як до проблеми всього бізнесу.
У разі витоку інформації у компаній уже має бути план реагування на інциденти, який диктує, наприклад, хто і що робить у процесі мінімізації проблеми. Цей план має включати директора з персоналу, оскільки ця людина має унікальні можливості для спілкування зі співробітниками.
Якщо про проблему повідомляється директору з персоналу, особливо якщо співробітник вважає, що його обдурили, він також має бути уповноважений негайно відреагувати, що може означати додаткове навчання операціям у сфері кібербезпеки. Це набагато ефективніше, ніж якби директор з персоналу торував собі шлях через ІТ у пошуках допомоги.
Що б не працювало, залежатиме від компанії, і щоб з'ясувати це, необхідно подолати розрізненість між різними відділами, щоб ставитися до кібербезпеки як до проблеми всього бізнесу.
Якщо ви не готові розвиватися в якомусь сенсі, щоб зрозуміти кіберпростір, ваша компанія опиниться під загрозою.
Чому технічним відділам потрібна допомога у справі просвіти
Якщо технічний захист - коник ІТ- та ІБ-відділів, то робота з людьми, тим паче навчання - для них завдання незвичне і непрофільне. Знати свою справу - ще не означає вміти розповісти про неї, особливо непідготовленій публіці. Те, що експерту з безпеки здається очевидним, може бути абсолютно не близьким фахівцеві з продажу. Тому інструкції та лекції часто виявляються складними і незрозумілими - і не приносять результату.
Крім того, лекція - взагалі не найоптимальніший формат навчання. Як показує наша практика, мало хто засвоює інформацію, подану таким чином. Це як тренінг з пожежної безпеки - начебто і життєво важливо, але більшістю сприймається як формальність. Навіть якщо хтось реально слухає лектора, то через кілька днів 70% сказаного вже забувається (і це ще в кращому випадку). Завжди краще, щоб тренінг проводив співробітник HR, який знає, як донести інформацію до співробітників правильно.
Крім того, лекція - взагалі не найоптимальніший формат навчання. Як показує наша практика, мало хто засвоює інформацію, подану таким чином. Це як тренінг з пожежної безпеки - начебто і життєво важливо, але більшістю сприймається як формальність. Навіть якщо хтось реально слухає лектора, то через кілька днів 70% сказаного вже забувається (і це ще в кращому випадку). Завжди краще, щоб тренінг проводив співробітник HR, який знає, як донести інформацію до співробітників правильно.
Щоб мінімізувати шанси на помилку, у компанії корисно мати єдину інструкцію з інформаційної безпеки. З нею слід знайомити всіх нових співробітників під час найму, та й до відома старих теж має сенс довести. Писати таку інструкцію з нуля може бути досить складно, тому ми вирішили зробити це за вас - хоча б накидати загальний план, до якого ви потім зможете додати специфічні для вашої компанії пункти. Ось що має бути в такій інструкції, на нашу думку.
✅ Доступ до корпоративних ресурсів і сервісів
✅ Про важливість персональних даних
✅ Про найпоширеніші кіберзагрози
Контакти на екстрений випадок
Комп'ютер поводиться дивно?
Прийшло безліч листів про спробу входу в корпоративний обліковий запис?
На робочому столі записка від здирників, а файли не відкриваються?
Помітили якусь іншу аномалію?
Терміново зв'яжіться з <Ім'я Співробітника> за телефоном <Телефон Співробітника>.
В останньому пункті слід залишити контакти людини, до якої потрібно звернутися в разі нештатної ситуації. Нею може бути виділений фахівець із кібербезпеки (якщо він є), системний адміністратор або навіть власник бізнесу. Словом, той, хто чітко знатиме, що робити, як робити і коли робити.
- Використовуйте тільки складні паролі: вони мають бути щонайменше 12 знаків завдовжки, не складатися зі словникових слів, містити спецсимволи та цифри. Якщо пароль простий, зловмисник зможе підібрати його простим перебором.
- Паролі мають бути унікальними: не використовуйте один і той самий пароль для всіх робочих ресурсів. Тим більше - не використовуйте його ж і в особистих цілях. Досить буде витоку з одного із сервісів, щоб скомпрометувати їх усі.
- Паролі мають бути секретними: не записуйте паролі на папері і не зберігайте біля робочого місця; не вписуйте їх у файли і не діліться ними з колегами. Інакше випадковий відвідувач офісу або звільнений співробітник зможе скористатися таким паролем на шкоду компанії.
- Якщо сервіс дає змогу ввімкнути двофакторну аутентифікацію, увімкніть її. Це не дасть змоги зловмиснику отримати доступ до сервісу навіть у разі витоку пароля.
✅ Про важливість персональних даних
- Не викидайте папери з персональними даними в сміттєвий кошик. Якщо їх потрібно викинути, скористайтеся шредером. Зловмисники нерідко вивчають викинуті папери і можуть наштовхнутися на них.
- Не передавайте файли з персональними даними відкритими каналами (наприклад, через Google Docs за прямим посиланням або через публічні файлосховища). Той самий Google індексує документи в доступі за посиланням, тож на них може наштовхнутися сторонній.
- Не діліться персональними даними клієнтів з колегами, чиї робочі функції не вимагають такого доступу. Якщо така практика виявиться під час аудиту, то на компанію чекають неприємності від регуляторів, та й імовірність витоку зростає.
✅ Про найпоширеніші кіберзагрози
- Ретельно перевіряйте посилання в листах, перш ніж за ними переходити. Ім'я відправника, що має переконливий вигляд, - не гарантія автентичності. Зловмисники можуть спробувати підсунути фішингове посилання, особливо якщо їм вдасться захопити пошту когось із ваших колег.
- Якщо ви розпоряджаєтеся бюджетами, то ніколи не переказуйте гроші на невідомі рахунки тільки на підставі листа або повідомлення в месенджері. Зателефонуйте людині, яка нібито санкціонувала переказ, або зв'яжіться з нею іншим каналом і попросіть усне підтвердження. Захопивши пошту або обліковий запис у месенджері, зловмисник може легко підробити письмове «розпорядження начальника».
- Не підключайте до робочого комп'ютера флешки, які невідомо звідки взялися. Атака через заражений зовнішній накопичувач - це не фантастика: зловмисники дійсно можуть підкинути пристрій в офіс.
- Не відкривайте і не запускайте виконувані файли з неперевіреного джерела (наприклад, надіслані поштою). При відкритті файлу завжди потрібно дивитися, чи не є він виконуваним (зловмисники часто маскують шкідливі файли під офісні документи).
Контакти на екстрений випадок
Комп'ютер поводиться дивно?
Прийшло безліч листів про спробу входу в корпоративний обліковий запис?
На робочому столі записка від здирників, а файли не відкриваються?
Помітили якусь іншу аномалію?
Терміново зв'яжіться з <Ім'я Співробітника> за телефоном <Телефон Співробітника>.
В останньому пункті слід залишити контакти людини, до якої потрібно звернутися в разі нештатної ситуації. Нею може бути виділений фахівець із кібербезпеки (якщо він є), системний адміністратор або навіть власник бізнесу. Словом, той, хто чітко знатиме, що робити, як робити і коли робити.
Як підвищити обізнаність співробітників про кібербезпеку і захистити свої дані та конфіденційну інформацію
🚩 Включіть кібербезпеку в процес адаптації
Якщо ви хочете підвищити обізнаність своїх співробітників про кібербезпеку, чому б не почати з першого дня?
Включення навчання кібербезпеки в процес адаптації - чудовий спосіб переконатися, що кожен співробітник, який входить у ваші двері, знає про ваші протоколи кібербезпеки. І не тільки включення кібербезпеки в процес адаптації з самого початку поставить безпеку на радар ваших співробітників, а й покаже їм, що ви є компанією, яка серйозно ставиться до кібербезпеки, що може надихнути їх також поставитися до неї серйозно.
У процесі адаптації розкажіть новому співробітнику про позицію вашої компанії щодо кібербезпеки, ключові загрози, про які йому необхідно знати (наприклад, шкідливе ПЗ або фішингові атаки), а також про загальні рекомендації щодо безпечної роботи. Що раніше ви познайомите своїх співробітників із кібербезпекою, то вищою буде їхня обізнаність і то менша ймовірність виникнення в них проблем, пов'язаних із безпекою.
🚩 Інвестуйте в безперервне навчання
Впровадження кібербезпеки в процесі адаптації - це чудово. Але розмова про кібербезпеку на цьому не може закінчитися. Якщо ви хочете забезпечити безпеку своєї мережі як директор з інформаційних технологій, вам необхідно інвестувати в регулярне і всебічне навчання своєї команди кібербезпеки.
В ідеалі ви маєте запропонувати базове навчання кібербезпеки всій своїй команді: захист мережі під час роботи з дому, безпечний доступ до конфіденційної інформації та даних компанії, а також як повідомляти про будь-які проблеми кібербезпеки ІТ-команді. Крім того, ви можете розглянути можливість проведення цілеспрямованого навчання залежно від ролі, відділу та/або загальних загроз, з якими співробітники можуть зіткнутися під час виконання своїх посадових обов'язків. Наприклад, ви можете навчити свою бухгалтерську команду того, як виявляти фінансові шахрайства і що робити, якщо вони підозрюють, що фінансову інформацію компанії було розкрито внаслідок порушення безпеки.
Що краще ви навчите свою команду, то безпечніше вона зможе орієнтуватися у своїй роботі й то менша ймовірність того, що ви зіштовхнетеся із серйозними проблемами кібербезпеки.
🚩 Покажіть своїй команді, що може піти не так
Іноді недостатньо сказати своїй команді, що кібербезпека важлива; Іноді вам потрібно показати їм, що насправді перебуває під загрозою, якщо вони не ставляться до кібербезпеки серйозно.
Якщо ви покажете своїй команді, що відбувається при порушенні безпеки, поділившись реальними конкретними прикладами, це допоможе вашій команді зрозуміти, чому кібербезпека має бути пріоритетом. І коли вони розуміють, чому протоколи безпеки вашої компанії стоять за ними, вони з більшою ймовірністю поставляться до них серйозно, і в результаті ваш бізнес стане безпечнішим.
Якщо у вашій компанії в минулому були якісь порушення безпеки, розкажіть своїй команді, як вони сталися, як вони негативно вплинули на ваш бізнес, а також скільки часу, енергії та ресурсів знадобилося для відновлення. І якщо у вашій компанії ніколи не було серйозних порушень безпеки, пошукайте приклади у вашій галузі.
Навівши разом зі своєю командою реальні приклади того, що відбувається, коли кібербезпека дає збій, проблеми безпеки перетворюються з концептуальних на конкретні, і що реальнішими загрозами кібербезпеці видаються вашій команді, то пильнішими вони будуть щодо їх запобігання.
🚩 Проводьте навчання з кібербезпеки
Ви можете навчити свою команду кібербезпеки. Ви можете показати їм, що може піти не так, якщо відбудеться порушення безпеки. Але іноді, щоб дійсно зрозуміти загрози кібербезпеки і, що більш важливо, як їх уникнути? Ваша команда повинна випробувати ці загрози на собі.
Проведення навчань з кібербезпеки зі своєю командою може допомогти вам краще зрозуміти рівень обізнаності вашої команди в галузі кібербезпеки. Наприклад, припустимо, що ви змоделювали фішингову аферу і розіслали фішинговий лист усій своїй команді - і виявили, що 25 відсотків ваших співробітників відкрили файл, прикріплений до цього листа. Це показує, що ваша команда потребує подальшого навчання щодо цієї конкретної загрози кібербезпеки і того, як не стати жертвою аналогічного (але реального) шахрайства. Або, припустімо, ви хочете оцінити, наскільки добре ваша ІТ-команда впорається із загрозою безпеці. Ви можете змоделювати поширені загрози (наприклад, додавання незареєстрованого пристрою в мережу) і подивитися, як вони відреагують.
Річ у тім, що іноді найкращий спосіб вчитися - це досвід, тому, якщо ви хочете, щоб ваша команда краще розуміла загрози кібербезпеки (і якщо ви хочете краще зрозуміти їхню поінформованість щодо цих загроз), спробуйте дати їм цей досвід із перших рук.
Якщо ви хочете підвищити обізнаність своїх співробітників про кібербезпеку, чому б не почати з першого дня?
Включення навчання кібербезпеки в процес адаптації - чудовий спосіб переконатися, що кожен співробітник, який входить у ваші двері, знає про ваші протоколи кібербезпеки. І не тільки включення кібербезпеки в процес адаптації з самого початку поставить безпеку на радар ваших співробітників, а й покаже їм, що ви є компанією, яка серйозно ставиться до кібербезпеки, що може надихнути їх також поставитися до неї серйозно.
У процесі адаптації розкажіть новому співробітнику про позицію вашої компанії щодо кібербезпеки, ключові загрози, про які йому необхідно знати (наприклад, шкідливе ПЗ або фішингові атаки), а також про загальні рекомендації щодо безпечної роботи. Що раніше ви познайомите своїх співробітників із кібербезпекою, то вищою буде їхня обізнаність і то менша ймовірність виникнення в них проблем, пов'язаних із безпекою.
🚩 Інвестуйте в безперервне навчання
Впровадження кібербезпеки в процесі адаптації - це чудово. Але розмова про кібербезпеку на цьому не може закінчитися. Якщо ви хочете забезпечити безпеку своєї мережі як директор з інформаційних технологій, вам необхідно інвестувати в регулярне і всебічне навчання своєї команди кібербезпеки.
В ідеалі ви маєте запропонувати базове навчання кібербезпеки всій своїй команді: захист мережі під час роботи з дому, безпечний доступ до конфіденційної інформації та даних компанії, а також як повідомляти про будь-які проблеми кібербезпеки ІТ-команді. Крім того, ви можете розглянути можливість проведення цілеспрямованого навчання залежно від ролі, відділу та/або загальних загроз, з якими співробітники можуть зіткнутися під час виконання своїх посадових обов'язків. Наприклад, ви можете навчити свою бухгалтерську команду того, як виявляти фінансові шахрайства і що робити, якщо вони підозрюють, що фінансову інформацію компанії було розкрито внаслідок порушення безпеки.
Що краще ви навчите свою команду, то безпечніше вона зможе орієнтуватися у своїй роботі й то менша ймовірність того, що ви зіштовхнетеся із серйозними проблемами кібербезпеки.
🚩 Покажіть своїй команді, що може піти не так
Іноді недостатньо сказати своїй команді, що кібербезпека важлива; Іноді вам потрібно показати їм, що насправді перебуває під загрозою, якщо вони не ставляться до кібербезпеки серйозно.
Якщо ви покажете своїй команді, що відбувається при порушенні безпеки, поділившись реальними конкретними прикладами, це допоможе вашій команді зрозуміти, чому кібербезпека має бути пріоритетом. І коли вони розуміють, чому протоколи безпеки вашої компанії стоять за ними, вони з більшою ймовірністю поставляться до них серйозно, і в результаті ваш бізнес стане безпечнішим.
Якщо у вашій компанії в минулому були якісь порушення безпеки, розкажіть своїй команді, як вони сталися, як вони негативно вплинули на ваш бізнес, а також скільки часу, енергії та ресурсів знадобилося для відновлення. І якщо у вашій компанії ніколи не було серйозних порушень безпеки, пошукайте приклади у вашій галузі.
Навівши разом зі своєю командою реальні приклади того, що відбувається, коли кібербезпека дає збій, проблеми безпеки перетворюються з концептуальних на конкретні, і що реальнішими загрозами кібербезпеці видаються вашій команді, то пильнішими вони будуть щодо їх запобігання.
🚩 Проводьте навчання з кібербезпеки
Ви можете навчити свою команду кібербезпеки. Ви можете показати їм, що може піти не так, якщо відбудеться порушення безпеки. Але іноді, щоб дійсно зрозуміти загрози кібербезпеки і, що більш важливо, як їх уникнути? Ваша команда повинна випробувати ці загрози на собі.
Проведення навчань з кібербезпеки зі своєю командою може допомогти вам краще зрозуміти рівень обізнаності вашої команди в галузі кібербезпеки. Наприклад, припустимо, що ви змоделювали фішингову аферу і розіслали фішинговий лист усій своїй команді - і виявили, що 25 відсотків ваших співробітників відкрили файл, прикріплений до цього листа. Це показує, що ваша команда потребує подальшого навчання щодо цієї конкретної загрози кібербезпеки і того, як не стати жертвою аналогічного (але реального) шахрайства. Або, припустімо, ви хочете оцінити, наскільки добре ваша ІТ-команда впорається із загрозою безпеці. Ви можете змоделювати поширені загрози (наприклад, додавання незареєстрованого пристрою в мережу) і подивитися, як вони відреагують.
Річ у тім, що іноді найкращий спосіб вчитися - це досвід, тому, якщо ви хочете, щоб ваша команда краще розуміла загрози кібербезпеки (і якщо ви хочете краще зрозуміти їхню поінформованість щодо цих загроз), спробуйте дати їм цей досвід із перших рук.
Ми з вами розглянули один із напрямів, який важливо реалізувати в компанії директору з персоналу. HR Директор - це перша людина після Генерального директора, яка відповідає за успіх бізнесу. Від його або її знань, навичок і здібностей безпосередньо залежить прибуток компанії. Тренінг «HR директор» прокачає вас у цьому напрямку!
