По мировой статистике 82% инцидентов информационной безопасности в 2022 году произошло из-за действий сотрудников. Поэтому эксперты из команды безопасности «Полюса» постоянно развивают культуру ИБ внутри компании, в том числе обучают сотрудников распознавать атаки и правильно на них реагировать.

Чтобы снизить риски и повысить защищенность критической информационной инфраструктуры, «Полюс» пробовал внедрять разные решения — например, отправку имитированных атак сотрудникам. Но полученные результаты не устраивали департамент информационной безопасности — атаки приходилось отправлять вручную, шаблоны атак не до конца соответствовали специфике компании. Чтобы повысить эффективность обучения, нужно было сделать процесс более контролируемым, регулярным и автоматизированным.

Расскажем, как решили задачу с помощью системы Start AWR, реализовав проект при поддержке «Информзащиты», и добились кратного роста вовлеченности сотрудников в обеспечение защищенности компании.

«Полюс» — крупнейший производитель золота в России. Входит в пятерку ведущих мировых золотодобывающих компаний.

В «Полюсе» работают более 20 000 сотрудников — от них зависит защищенность критической информационной инфраструктуры компании. Поэтому крайне важно поддерживать и развивать культуру информационной безопасности в компании.

Задача: вовлечь сотрудников в обеспечение безопасности компании

Департамент информационной безопасности «Полюс» проводит регулярную оценку рисков и проактивно внедряет решения, которые помогают предотвратить возможные инциденты информационной безопасности.

С начала 2022 года одним из главных рисков для компании стали цифровые атаки, направленные против ее сотрудников, и их потенциально опасные действия, которые могли привести к инцидентам — открытие и запуск опасных вложений, компрометация корпоративных учетных записей на фишинговых ресурсах, пересылка конфиденциальной информации в ответ на мошеннический запрос.

При этом сами сотрудники могли не осознавать угрозу от подобных действий и не понимали, как они могут навредить организации.

Типичной реакцией был вопрос: «А что от меня зависит, у нас же есть команда безопасности? Пусть они и разбираются».

Сотрудников обучали правилам безопасности, но только во время онбординга — работники со стажем успевали забыть, что им рассказывали. Новички тоже были недостаточно осведомлены: курсы были короткими, и сотрудники не успевали получить все знания.

Для формирования навыков безопасной работы в «Полюсе» использовали отправку имитированных атак, но решение не полностью устраивало компанию. Сотрудникам департамента ИБ было ясно, что нужно сделать процесс обучения более регулярным, контролируемым и эффективным.

Для этого необходимо было найти автоматизированное решение класса Security Awareness, которое позволяло бы:

• интегрировать обучающие процессы с другими системами информационной безопасности;
• создать формат, который поможет сотрудникам не просто познакомиться с правилами, но сформировать навыки безопасной работы;
• кастомизировать и дорабатывать обучающий контент в соответствии со спецификой компании;
• выполнять имитированные атаки для оценки защищенности и тренировки навыков;
• оценивать и повышать вовлеченность сотрудников, в том числе топ-менеджеров в обеспечение безопасности.

Такие задачи могла решить только полноценная система обучения и тренировки навыков по информационной безопасности для всех сотрудников.
Для того чтобы определиться с подрядчиком, представители компании проанализировали рынок, составили шорт-лист из пяти вариантов, протестировали каждое решение, составили сводную матрицу по функциональности и приняли решение.

Решение: внедрить Start AWR в работу компании

Start AWR — это платформа для регулярного и непрерывного обучения и тренировки навыков сотрудников в области кибербезопасности. В платформу включены курсы и симулятор атак, а также методика и метрики для оценки защищенности компании от угроз человеческого фактора.

Сначала мы провели пилот — две недели несколько сотен пользователей обучались основам безопасной работы и отражали имитированные атаки злоумышленников.

Затем ПАО «Полюс» приобрели лицензию на год для 10 000 пользователей и совместно со специалистами интегратора информационной безопасности «Информзащита» начали внедрять платформу в эксплуатацию.

Развернули полную версию платформы в инфраструктуре заказчика

Интегрировались со службой каталогов Active Directory, почтовым сервером и клиентами MS Outlook, продуктами экосистемы R-Vision, SIEM-системой и другой инфраструктурой. Подтвердили соответствие системы корпоративным требованиям по безопасности и описали все в документации.

Доработали курсы и сценарии имитированных атак

На платформе Start AWR уже есть готовый набор курсов и тестов по информационной безопасности, а также регулярно обновляемые сценарии имитированных фишинговых атак, которые на практике позволяют выработать у сотрудников навыки безопасной работы.

Для эффективного процесса важно, чтобы курсы и сценарии атак были всегда актуальными и соответствовали реальным условиям работы в компании. Поэтому при разработке сценариев атак мы учли политики безопасности и принятые в компании регламенты.

Пример имитированной атаки, разработанной для сотрудников «Полюс»

Сотрудники департамента информационной безопасности «Полюса» активно принимали участие в согласовании и адаптации сценариев и курсов — такая опция входит в состав лицензии Start AWR. Например, по их просьбе мы оптимизировали курс «Безопасная работа с паролями», чтобы в нем учитывались все процессы, действующие в компании.

Слайд из курса «Безопасная работа с паролями»

Специально для «Полюса» мы разработали новый курс по безопасности критической информационной инфраструктуры. На промышленных предприятиях согласно ФЗ-187 все сотрудники должны понимать, как защищать системы компании от взлома. Из курса работники узнают, как атаки угрожают нормальной работе и что может сделать каждый, чтобы предотвратить вмешательства. Эти знания и навыки помогут сотрудникам осознанно участвовать в защите компании, как субъекта критической инфраструктуры.

Слайд из курса по безопасности КИИ

Использовали методологию Start AWR для вовлечения сотрудников в процесс обеспечения безопасности в компании

Мы помогли коллегам из «Полюса» вовлечь сотрудников в процесс защиты компании в соответствии с нашей методологией.

В итоге работники проходили курсы, на которых получали нужные знания, а затем отрабатывали практические навыки, отражая имитированные атаки через электронную почту и фишинговые сайты.

По результатам атак автоматически составлялся рейтинг сотрудников. Служба безопасности смогла регулярно следить за рейтингом, чтобы выявлять уязвимых сотрудников и вовремя давать им новые задания для отработки навыков кибербезопасности.

Рейтинг сотрудников по уровню риска

Для сотрудников, которые демонстрировали небезопасное поведение — открывали имитированные фишинговые письма, переходили по ссылкам или открывали вложения — платформа определяет уязвимые версии приложений, браузеров и операционных систем, через которые пользователи это сделали. Это помогает службе безопасности в рамках процесса патч-менеджмента оперативно устранять уязвимости на рабочих компьютерах сотрудников с наибольшим уровнем риска.

Обновляем материалы и помогаем с дальнейшим внедрением

Чтобы еще сильнее вовлечь сотрудников в процесс защиты компании от информационных атак, в компании разрабатывают специальную систему мотивации.

Мы обновляем курсы и сценарии атак каждый квартал — это помогает сотрудникам постоянно актуализировать знания о том, как действуют злоумышленники, и отрабатывать навыки на новых заданиях.

Результаты за 9 месяцев: 62% сотрудников активно участвуют в защите компании от цифровых атак

Через 9 месяцев после начала использования продукта сотрудники стали:

• на 50% чаще сообщать об атаках;
• на 16% меньше переходить по фишинговым ссылкам;
• на 16% реже вводить логины и пароли на фишинговых сайтах.
  
  

Почему это получилось:

• 62% сотрудников успешно прошли подготовленные для них курсы и получили нужные знания.
• Служба безопасности получила актуальный рейтинг защищенности и список уязвимых сотрудников для непрерывного контроля доступов и планирования процессов обучения.
• Служба безопасности выявила и устранила опасные уязвимости программного обеспечения на рабочих местах сотрудников.
• Использование автоматизированной системы упростило внедрение имитированных атак.

Комментарий Андрея Тихонина, начальника департамента ИБ «Полюса»:

Мы смогли добиться значимых результатов из-за совместных усилий. У нас было точное понимание того, что нам нужно для повышения уровня осведомленности сотрудников, а в Start AWR были для этого все необходимые возможности. Ваше решение — это полноценный инструмент, который помогает нам реализовать наше видение.