Блог Start X: заметки с тегом кейсы

АО «ПГК» внедрила Start AWR: работники на 70% чаще стали сообщать о возможных атаках

Start X — Mon, 29 Jan 2024 15:02:45 +0300

Первая грузовая компания (ПГК) внедрила платформу для обучения и тренировок по кибербезопасности Start AWR. За полгода тренировок в Start AWR работники ПГК стали на 70% чаще оповещать подразделение информационной безопасности о предполагаемых атаках и вести себя безопаснее. Об этом CNews сообщили представители компании Start X.
Работники также стали значительно реже переходить по фишинговым ссылками и реже вводить свои данные в фишинговые формы.

Результаты первичного теста на проникновение показали наибольшую уязвимость работников при взаимодействии с фишингом, а также выявили, что большой процент работников использовали одинаковые пароли, в том числе, у локального администратора на серверах и АРМ, при этом некоторые из сотрудников использовали базовые пароли. Поэтому первым приоритетом для ИБ ПГК была отработка навыков реагирования на фишинговые рассылки и базовое повышение осведомленности о кибербезопасности.

«Согласно исследованию Verzion, 82% инцидентов информационной безопасности в мире в 2022 г. происходили из-за действий сотрудников. В ПГК атаки против персонала стали одним из главных рисков. Потому крайне важно развивать культуру информационной безопасности внутри компании, в том числе, обучать персонал распознавать атаки и правильно на них реагировать», — уточнил Сергей Волдохин, директор по продуктам Start X.

Часть работников уже протестировали свои знания на имитированных целевых атаках в виде корпоративных писем. Например, наиболее органично в привычную коммуникацию ПГК встроились рассылки о проведении корпоративного «Тайного Санты», письмо о закупках, приглашение от «Госуслуг» на тестирование системы ДЭГ.

«Устойчивость работников к кибератакам — один из наших ключевых приоритетов. Основной фокус стоит на комплексном подходе: обучение проходит в связке с тренировками навыков реагирования на фишинг и социальную инженерию. Процесс обучения стал управляемым, есть практический алгоритм проверки знаний и отработки базовых атак. Также, когда в последнем квартале 2023 г. активизировались атаки через мессенджеры, наши работники начали осваивать новый курс “Безопасная работа в мессенджерах”», — поделился руководитель отдела архитектуры и развития информационной безопасности АО «ПГК» Павел Бураго.

Результаты обучения персонала отражаются в рейтинге — так подразделение информационной безопасности выявляет, кто нуждается в дообучении, а также, какие конкретные навыки кибербезопасности следует отработать в первую очередь.

Среди последних направлений обучения — курсы, которые учат работников безопасной удаленной работе; знакомят с тем, как распознавать дипфейки, как придумывать с пароли с высокой защитой и как хранить в безопасности собственные персональные данные.

В дальнейшем ПГК планирует проводить мастер-классы по безопасности для топ-менеджеров и кастомизировать фишинговые рассылки, максимально мимикрируя под привычные сообщения от коллег, например, рассылать сообщения о финансах от бухгалтерии.

АО «Первая грузовая компания» — высокотехнологичная компания, оказывающая полный комплекс услуг грузовой логистики. ПГК перевозит грузы по всей сети железных дорог колеи 1520, оперируя диверсифицированным парком из около 100 тысяч вагонов.

Разветвленная сеть из 14 филиалов ПГК покрывает российский ЖД-полигон от Калининграда до Владивостока. Штаб-квартира компании находится в Москве. На территории Казахстана интересы ПГК представляет компания «ПГК-Центральная Азия».

«Полюс» внедрил Start AWR: сотрудники стали на 50% чаще сообщать об атаках

Start X — Mon, 13 Nov 2023 12:23:55 +0300

По мировой статистике 82% инцидентов информационной безопасности в 2022 году произошло из-за действий сотрудников. Поэтому эксперты из команды безопасности «Полюса» постоянно развивают культуру ИБ внутри компании, в том числе обучают сотрудников распознавать атаки и правильно на них реагировать.

Чтобы снизить риски и повысить защищенность критической информационной инфраструктуры, «Полюс» пробовал внедрять разные решения — например, отправку имитированных атак сотрудникам. Но полученные результаты не устраивали департамент информационной безопасности — атаки приходилось отправлять вручную, шаблоны атак не до конца соответствовали специфике компании. Чтобы повысить эффективность обучения, нужно было сделать процесс более контролируемым, регулярным и автоматизированным.

Расскажем, как решили задачу с помощью системы Start AWR, реализовав проект при поддержке «Информзащиты», и добились кратного роста вовлеченности сотрудников в обеспечение защищенности компании.

«Полюс» — крупнейший производитель золота в России. Входит в пятерку ведущих мировых золотодобывающих компаний.

В «Полюсе» работают более 20 000 сотрудников — от них зависит защищенность критической информационной инфраструктуры компании. Поэтому крайне важно поддерживать и развивать культуру информационной безопасности в компании.

Задача: вовлечь сотрудников в обеспечение безопасности компании

Департамент информационной безопасности «Полюс» проводит регулярную оценку рисков и проактивно внедряет решения, которые помогают предотвратить возможные инциденты информационной безопасности.

С начала 2022 года одним из главных рисков для компании стали цифровые атаки, направленные против ее сотрудников, и их потенциально опасные действия, которые могли привести к инцидентам — открытие и запуск опасных вложений, компрометация корпоративных учетных записей на фишинговых ресурсах, пересылка конфиденциальной информации в ответ на мошеннический запрос.

При этом сами сотрудники могли не осознавать угрозу от подобных действий и не понимали, как они могут навредить организации.

Типичной реакцией был вопрос: «А что от меня зависит, у нас же есть команда безопасности? Пусть они и разбираются».

Сотрудников обучали правилам безопасности, но только во время онбординга — работники со стажем успевали забыть, что им рассказывали. Новички тоже были недостаточно осведомлены: курсы были короткими, и сотрудники не успевали получить все знания.

Для формирования навыков безопасной работы в «Полюсе» использовали отправку имитированных атак, но решение не полностью устраивало компанию. Сотрудникам департамента ИБ было ясно, что нужно сделать процесс обучения более регулярным, контролируемым и эффективным.

Для этого необходимо было найти автоматизированное решение класса Security Awareness, которое позволяло бы:

интегрировать обучающие процессы с другими системами информационной безопасности;
создать формат, который поможет сотрудникам не просто познакомиться с правилами, но сформировать навыки безопасной работы;
кастомизировать и дорабатывать обучающий контент в соответствии со спецификой компании;
выполнять имитированные атаки для оценки защищенности и тренировки навыков;
оценивать и повышать вовлеченность сотрудников, в том числе топ-менеджеров в обеспечение безопасности.

Такие задачи могла решить только полноценная система обучения и тренировки навыков по информационной безопасности для всех сотрудников.
Для того чтобы определиться с подрядчиком, представители компании проанализировали рынок, составили шорт-лист из пяти вариантов, протестировали каждое решение, составили сводную матрицу по функциональности и приняли решение.

Решение: внедрить Start AWR в работу компании

Start AWR — это платформа для регулярного и непрерывного обучения и тренировки навыков сотрудников в области кибербезопасности. В платформу включены курсы и симулятор атак, а также методика и метрики для оценки защищенности компании от угроз человеческого фактора.

Сначала мы провели пилот — две недели несколько сотен пользователей обучались основам безопасной работы и отражали имитированные атаки злоумышленников.

Затем ПАО «Полюс» приобрели лицензию на год для 10 000 пользователей и совместно со специалистами интегратора информационной безопасности «Информзащита» начали внедрять платформу в эксплуатацию.

Развернули полную версию платформы в инфраструктуре заказчика

Интегрировались со службой каталогов Active Directory, почтовым сервером и клиентами MS Outlook, продуктами экосистемы R-Vision, SIEM-системой и другой инфраструктурой. Подтвердили соответствие системы корпоративным требованиям по безопасности и описали все в документации.

Доработали курсы и сценарии имитированных атак

На платформе Start AWR уже есть готовый набор курсов и тестов по информационной безопасности, а также регулярно обновляемые сценарии имитированных фишинговых атак, которые на практике позволяют выработать у сотрудников навыки безопасной работы.

Для эффективного процесса важно, чтобы курсы и сценарии атак были всегда актуальными и соответствовали реальным условиям работы в компании. Поэтому при разработке сценариев атак мы учли политики безопасности и принятые в компании регламенты.

Пример имитированной атаки, разработанной для сотрудников «Полюс»

Сотрудники департамента информационной безопасности «Полюса» активно принимали участие в согласовании и адаптации сценариев и курсов — такая опция входит в состав лицензии Start AWR. Например, по их просьбе мы оптимизировали курс «Безопасная работа с паролями», чтобы в нем учитывались все процессы, действующие в компании.

Слайд из курса «Безопасная работа с паролями»

Специально для «Полюса» мы разработали новый курс по безопасности критической информационной инфраструктуры. На промышленных предприятиях согласно ФЗ-187 все сотрудники должны понимать, как защищать системы компании от взлома. Из курса работники узнают, как атаки угрожают нормальной работе и что может сделать каждый, чтобы предотвратить вмешательства. Эти знания и навыки помогут сотрудникам осознанно участвовать в защите компании, как субъекта критической инфраструктуры.

Слайд из курса по безопасности КИИ

Использовали методологию Start AWR для вовлечения сотрудников в процесс обеспечения безопасности в компании

Мы помогли коллегам из «Полюса» вовлечь сотрудников в процесс защиты компании в соответствии с нашей методологией.

В итоге работники проходили курсы, на которых получали нужные знания, а затем отрабатывали практические навыки, отражая имитированные атаки через электронную почту и фишинговые сайты.

По результатам атак автоматически составлялся рейтинг сотрудников. Служба безопасности смогла регулярно следить за рейтингом, чтобы выявлять уязвимых сотрудников и вовремя давать им новые задания для отработки навыков кибербезопасности.

Рейтинг сотрудников по уровню риска

Для сотрудников, которые демонстрировали небезопасное поведение — открывали имитированные фишинговые письма, переходили по ссылкам или открывали вложения — платформа определяет уязвимые версии приложений, браузеров и операционных систем, через которые пользователи это сделали. Это помогает службе безопасности в рамках процесса патч-менеджмента оперативно устранять уязвимости на рабочих компьютерах сотрудников с наибольшим уровнем риска.

Обновляем материалы и помогаем с дальнейшим внедрением

Чтобы еще сильнее вовлечь сотрудников в процесс защиты компании от информационных атак, в компании разрабатывают специальную систему мотивации.

Мы обновляем курсы и сценарии атак каждый квартал — это помогает сотрудникам постоянно актуализировать знания о том, как действуют злоумышленники, и отрабатывать навыки на новых заданиях.

Результаты за 9 месяцев: 62% сотрудников активно участвуют в защите компании от цифровых атак

Через 9 месяцев после начала использования продукта сотрудники стали:

на 50% чаще сообщать об атаках;
на 16% меньше переходить по фишинговым ссылкам;
на 16% реже вводить логины и пароли на фишинговых сайтах.

Почему это получилось:

62% сотрудников успешно прошли подготовленные для них курсы и получили нужные знания.
Служба безопасности получила актуальный рейтинг защищенности и список уязвимых сотрудников для непрерывного контроля доступов и планирования процессов обучения.
Служба безопасности выявила и устранила опасные уязвимости программного обеспечения на рабочих местах сотрудников.
Использование автоматизированной системы упростило внедрение имитированных атак.

Комментарий Андрея Тихонина, начальника департамента ИБ «Полюса»:

Мы смогли добиться значимых результатов из-за совместных усилий. У нас было точное понимание того, что нам нужно для повышения уровня осведомленности сотрудников, а в Start AWR были для этого все необходимые возможности. Ваше решение — это полноценный инструмент, который помогает нам реализовать наше видение.