IT ManagerБезопасностьУправление ИБ

Культура кибербезопасности как часть ДНК культуры современной цивилизации

Ксения Лопатина | 11.11.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Культура кибербезопасности как часть ДНК культуры современной цивилизации

Цифровая революция трансформирует современную цивилизацию, новые технологии требуют изменения ментальности. Как на этот вызов реагируют компании, как меняются сами и помогают меняться своим клиентам и обществу в целом?

Время перемен и проблема безопасности

Тотальная цифровая трансформация определяет наше время и формирует новый образ жизни и мышления. Сегодня мировое сообщество, находясь в переходном этапе на пути к цифровому миру, претерпевает трансформацию, соотносимую со сменой эпох и культур. В такие переломные моменты всегда остро встает вопрос безопасности как базовой потребности человека – новое приходит на смену устоявшемуся старому и на стадии зарождения приносит с собой нечто неконтролируемое и неуправляемое, поскольку механизмы контроля и управления этим новым еще не сформированы.

Сегодня, по данным разных исследований, насчитывается более 4 млрд пользователей Интернета, то есть доступ в сеть имеют 53% жителей Земли. При этом в среднем у каждого пользователя подсоединено к Сети четыре устройства – и речь идет только о личных устройствах, без учета подключения организаций. Количество субъектов в киберпространстве превысило их количество в физическом пространстве. Быстрый переход в цифровую эпоху привел к росту киберпреступности, снижению уровня безопасности человека, организации, государства и мира в целом.

Смело, без промедления шагнув в пространство Интернета, люди только сейчас осознают, насколько уязвимыми могут здесь оказаться.

Крупнейшие компании и мировые лидеры ИТ торопятся разработать технологии защиты, на государственном и международном уровнях осознается необходимость взаимодействия, формирования соответствующего законодательства. И вместе с тем всего лишь одна ошибка рядового сотрудника может стать причиной колоссальных потерь для современной компании.

Именно поэтому сегодня культура кибербезопасности должна стать частью «ДНК» культуры современной цифровой цивилизации (см.рис.1).

img 

Рис. 1. «ДНК» культуры современной цифровой цивилизации

К знаниям через формирование культуры кибербезопасности

Почему именно формирование культуры кибербезопасности? Почему не awareness, повышение осведомленности? Для нас применение понятия «культура кибербезопасности» имеет ключевой смысл.

Конечно, наши усилия в первую очередь направлены на формирование знаний в сфере кибербезопасности, именно знание ее основных правил и следование им ежедневно в своей деятельности на уровне привычки становятся условием успешного противодействия киберпреступникам.

Но невозможно привить стойкие знания и сформировать правила, которым человек будет следовать в своей повседневной жизни, если у него нет понимания, для чего ему эти знания необходимы, если общество не разделяет их ценность и следование им нетипично для среды, в которой человек живет. Поэтому важно не только повышать осведомленность, но и формировать культуру кибербезопасности, состоящую из множества элементов.

Шаг за шагом, путем «нанизывания» одного элемента на другой, происходит формирование культуры, требующее привлечения значительных ресурсов, в том числе временных. Тем не менее мы выбрали для себя именно такой путь, поскольку убеждены, что формирование культуры кибербезопасности – наиболее эффективный проактивный метод противодействия киберпреступности, направленной на «взлом» человека.

Культура кибербезопасности в компании

Сегодня крупнейшие цифровые компании вносят свой вклад в формирование культуры кибербезопасности, интегрируя ее в свою корпоративную культуру. К примеру, ценность «Я – Лидер» предполагает ответственность каждого сотрудника за себя и за то, что происходит вокруг. Отсюда следует ответственное и осознанное отношение сотрудников к повышению собственной киберграмотности.

Год от года растет киберпреступность, кибермошенники ищут «слабое звено» в компании, через которое могут получить доступ к ее системам. И чаще всего таким звеном оказывается человек. Поскольку главной целью кибермошенников является финансовое обогащение, в России банки являются мишенью номер один. Именно поэтому для нас высокий уровень культуры кибербезопасности сотрудников имеет огромное значение, и мы ведем планомерную работу по формированию культуры кибербезопасности как совокупности элементов, создающих основу эффективного распространения знаний, формирования привычки руководствоваться правилами кибербезопасности в своей жизни.

Не только сотрудники

Важную роль для компании, которая ведет бизнес в цифровой среде, охватывающей миллионы клиентов, имеет безопасность клиентов, ведь каждый из них, к сожалению, может столкнуться с кибермошенничеством. Поэтому, чтобы помочь клиентам повысить осведомленность в области кибербезопасности и улучшить навыки безопасной работы в киберсреде, важно на регулярной основе обучать клиентов и помогать им вырабатывать и развивать навыки кибербезопасного поведения.

Осознанное участие клиентов компании в собственной киберзащите – необходимое условие успеха развития бизнеса, тем более, когда речь идет о современных цифровых компаниях, активно внедряющих последние технологии. Банк обеспечивает клиента своего рода «ремнями безопасности» в виде защитных технологических решений и детальных инструкций по использованию банковских систем, однако «пристегнуться» клиент может только сам. В то же время компании могут (и, на наш взгляд, должны) приложить максимум усилий, чтобы помочь усвоить клиенту эту новую для него привычку.

Очевидно, что усилий одной компании по формированию культуры кибербезопасности недостаточно и сформировать кибербезопасное поведение можно только совместными усилиями, встроив культуру кибербезопасности в «ДНК» культуры цивилизации.

Именно поэтому мы хотим поделиться своим опытом формирования культуры кибербезопасности, который позволяет наблюдать позитивную динамику, и призвать каждого клиента, компанию, государственные организации внести свой вклад в этот непростой, но очень перспективный с точки зрения противодействия киберпреступности процесс.

Элементы культуры кибербезопасности

Ранее мы уже обозначили, что для эффективного создания знаний важно строить культуру кибербезопасности, состоящую из множества элементов, формирующих благоприятную среду для распространения и развития этих знаний, и повысят эффективность их применения.

Традиции, ценности, язык, символы, правила – вот те основные элементы культуры, чье формирование одновременно с созданием знаний в сфере кибербезопасности позволяет нам повышать эффективность мероприятий, направленных на распространение этих знаний.

Традиции

Любая культура основывается на традициях – элементах социального и культурного наследия, сохраняющихся в определенном сообществе, являющихся необходимым условием его жизнедеятельности и передающихся из поколения в поколение.

Такие традиции, как прочтение раз в неделю информационного дайджеста по кибербезопасности, погружение в информационное поле ежеквартальной газеты Cyber life, анализ проблем и достижений на ежегодной сессии кибербезопасности, объединяют сотрудников и мотивируют к развитию знаний.

Ценности и правила

Социально значимые предпочтения – ценности – то, что отвечает на вопрос, почему и зачем необходимо каждому из нас сегодня повышать свою киберграмотность, а правила регулируют поведение в соответствии с этими ценностями. Общекультурная ценность – безопасность, детализируется в таких ценностях, как профессионализм, постоянное развитие своих компетенций, следование правилам кибербезопасности в повседневной жизни и обучение правилам кибербезопасности других и, конечно же, следование правилам и стандартам безопасности своей организации.

Следует уделять большое внимание просветительской работе в области кибербезопасности: доклады и статьи сотрудников служб кибербезопасности, вовлечение всех сотрудников в интерактивные игры и квесты – эти усилия дают свои плоды.

Язык

Язык – знаковая система, используемая в конкретном социуме. Язык выполняет функции создания, хранения и передачи информации. Как это ни странно прозвучит в век технологий, которые дают нам великое множество каналов для связи, компании, особенно крупные, сталкиваются с проблемой коммуникаций. И очень часто событие оборачивается инцидентом потому, что специалистам не удалось понять друг друга или вовремя не удалось найти человека, которому можно задать вопрос и, получив консультацию, совершить грамотные действия.

Решение – создать единую точку входа, куда можно обратиться по любому вопросу кибербезопасности и получить компетентный оперативный ответ. Для начала – «живой» ящик службы кибербезопасности, а можно пойти и дальше. Например, мы в этом году мы создали Центр поддержки кибербезопасности – горячей линии, по которой любой сотрудник, с одной стороны, может справиться с возникшей у него проблемой и защитить себя, а с другой – помочь Службе кибербезопасности предотвратить инцидент на стадии его зарождения и тем самым защитить банк.

Символы

Третий год мы реализуем мероприятия по формированию культуры кибербезопасности, и третий год развивается наш бренд SCS – Sberbank Cybersecurity. Знаки различия – один из древнейших артефактов. Еще в древние времена существовали особые символы, позволяющие отличить членов одного рода от другого. Знаки различия оказывали поддержку и выступали объединяющим началом. Таким объединяющим началом для нас стал наш логотип. Использование логотипа в коммуникациях, материалах определяет высокий контроль качества, единый язык, выверенную терминологию. Применение брендированной продукции указывает на принадлежность к команде.

Единое поле коммуникации, ощущение себя частью команды, разделяющей общие традиции и ценности, – основа, которую мы формируем для эффективного повышения осведомленности, непрерывного обучения сотрудников и существующих и будущих клиентов.

Непрерывное обучение: наш опыт

Сегодня, когда на каждого из нас ежедневно обрушивается огромное количество информации, необходимо продумывать и способы обучения, наиболее действенные для формирования знаний в таких условиях.

Какие инструменты здесь могут принести максимальную пользу? В поиске самых эффективных методов обучения в 2017 году в рамках проекта «Повышение киберграмотности клиентов» мы проанализировали самые распространенные способы обучения и особенности современного обучаемого:

  • Просматривает текст, а не читает его слово за словом.

  • Готов обучать других (неформально передает информацию при личном общении и в соцсетях).

  • Достает и просматривает/проверяет смартфон 9 раз в час.

  • 27 раз в день использует сервисы и приложения, работающие через Интернет.

  • Доступен не более 5 секунд, чтобы привлечь внимание.

  • Не заинтересован смотреть обучающее видео длиннее 4 минут и требователен к формату подачи материала.

  • Привык получать информацию по точечному запросу.

  • В 60 раз быстрее обрабатывает изображение, чем текст. 

Оказалось, что самые эффективные методы с учетом обозначенных особенностей – это симуляция жизненных ситуаций, микрообучение, баннеры и плакаты, а также обучающие игры.

Баннеры и плакаты широко применяются многими компаниями, и мы ранее также использовали этот метод обучения. Но выделенные особенности восприятия подтолкнули нас пересмотреть подход к их созданию – сделать их короткими, яркими и частыми.

Сейчас у нас в банке более 200 тыс. экранов транслируют скринсейверы, обучающие правилам кибербезопасности. Общее время трансляции составляет 2 тыс. часов. Также в офисах банка размещено свыше 50 тыс. плакатов, информирующих о правилах кибербезопасности (см.рис.2).

img 

img

img

Рис. 2. Скринсейверы

А вот симуляция жизненных ситуаций, микрообучения и обучающие игры стали для нас новым и эффективным направлением повышения осведомленности. Вот некоторые результаты, достигнутые по итогам мероприятий с начала 2018 года.

Обязательную для всех сотрудников банка flash-игру «Агент кибербезопасности» (см.рис.3), направленную на повышение киберкультуры, прошли около 200 тыс. специалистов.

 img

Рис. 3. Flash-игра «Агент кибербезопасности»

Регулярные киберучения охватили более 280 тыс. сотрудников банка и его дочерних компаний, которым были направлены учебные фишинговые письма, подброшены фишинговые флешки и совершены «мошенические» телефонные звонки. Если при проведении первых киберучений в 2016 году по фишинговой ссылке прошли 48% сотрудников, то в мае 2018 года — 1,6%.

В качестве микрообучения мы выбрали трехминутные ролики по правилам кибербезопасности, закрепленным во внутренних нормативных документах банка. Это наш новый проект, запущенный летом нынешнего года, и на текущий момент ролики просмотрело около 7 тыс. сотрудников.

В октябре в мобильном приложении «Сбербанк-онлайн» на iPhone появились рекомендации по кибербезопасности. Вот некоторые цифры по итогам первых двух дней работы нового сервиса: 2,1 млн клиентов видели рекомендации при входе, 215 тыс. клиентов их посмотрели, 65% рекомендаций досмотрено до конца.

Кроме того, 2,8 млн клиентов ознакомились с материалами о схемах мошенничества и противодействия им в соцсетях.

Важно отметить, что использование методов обучения, адаптированных под особенности современного человека, позволяет формировать устойчивые знания, которым начинают пользоваться наши сотрудники, клиенты и их близкие люди и тем самым повышают безопасность киберсреды.

Забота о будущем

Ключевым элементом культуры кибербезопасности являются традиции, создание которых очень длительный процесс. Мы осознали, что начинать работу по формированию культуры кибербезопасности необходимо с молодого поколения.

Сегодня дети начинают осваивать гаджеты порой раньше, чем говорить. Чем быстрее они начнут понимать, что нужно соблюдать правила безопасности, тем безопаснее будут чувствовать себя в дальнейшем. Обучить ребят этим правилам проще всего в игровой форме.

В детские обучающие программы по кибербезопасности входят викторины, игры, виртуальные экскурсии. Мы видим, что с каждым годом дети становятся более продвинутыми в обсуждаемых темах – и даже предупреждают родителей, нарушающих правила кибербезопасности.

Вместо заключения

Формирование культуры кибербезопасности – интенсивная, вариативная и адаптивная к изменениям работа. Ты получаешь огромное удовольствие, когда слышишь, что знания, полученные от тебя «обитателем» цифрового пространства, помогли ему правильно повести себя в сложной ситуации и не позволили киберпреступнику обмануть его. Приятно понимать, что обучение было интуитивно понятным и интересным, и сотрудник или клиент обязательно постарается научить правилам кибербезопасности своих близких. При этом члены твоей команды с большой гордостью идентифицируют себя с культурой кибербезопасности и придерживаются ключевых корпоративных ценностей. Все это мотивирует на анализ и поиск все более интересных форм обучения, вдохновляет на обмен опытом, тестирование новых практик, формирование традиций и поддержание единых ценностей.

Ключевые слова: безопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2018], Подписка на журналы

Компания: Sberbank | Сбербанк

Также по теме

Другие материалы рубрики

Загрузка...

Компании сообщают

Мероприятия

22.09.2019 — 24.09.2019
XIII CIO-конгресс «Подмосковные вечера»

Москва, Московская обл., дер. Новая Купавна

26.09.2019 — 27.09.2019
GIS DAYS 2019

Санкт-Петербург, отель «Park Inn Прибалтийская», ул. Кораблестроителей, д.14,

26.09.2019 — 27.09.2019
Smart Oil & Gas

Санкт-Петербург, Отель «Хилтон Санкт-Петербург Экспофорум»

01.10.2019 — 02.10.2019
IoT&AI World Summit Russia

Казань, Казань Экспо

02.10.2019 — 04.10.2019
Созвездие САПР

отель Артурс