Сотрудники и кибербезопасность: обучит Kaspersky ASAP
В заголовке статьи нет опечатки, хотя так может показаться на первый взгляд: речь идет не о традиционной расшифровке аббревиатуры ASAP — As Soon As Possible («Так быстро, как только возможно»), а о новом продукте — Kaspersky Automated Security Awareness Platform. Впрочем, нечто общее все-таки есть: с помощью предлагаемого решения можно достичь поставленной цели в кратчайшие сроки, причем с максимальной эффективностью. Пожалуй, интрига достаточно подогрета, пора заканчивать с аллюзиями — перед нами новейший продукт для обучения сотрудников любой компании навыкам кибербезопасности. Причем с нуля и до уровня, достаточного для любого человека, работающего с компьютерами и имеющего возможность попасть под воздействие сторонних угроз или стать их источником.
«Сотрудник компании как основной источник киберугроз» — это не оксюморон, а печальная статистика, неоднократно подтвержденная многочисленными исследованиями. Специалисты «Лаборатории Касперского» в своих отчетах утверждают: более 80% всех инцидентов кибербезопасности вызваны человеческим фактором; и это не громкие слова, а реальность, подтвержденная цифрами. Судите сами: еще в 2017 году в аналитическом отделе компании подсчитали, что средний ущерб от атак, причиненный по неосторожности (или неосведомленности) сотрудников, оценивался в $83 000, ущерб от атак, связанных с фишингом и применением социальной инженерии, — в $101 000 (на компанию), и только от фишинга — в $400 на человека.
Цель — сегмент SMB
Такой ущерб испытывают компании малого и среднего бизнеса. Почему «под колпак» попали именно они, а не транснациональные корпорации, где количество сотрудников исчисляется десятками, а то и сотнями тысяч? Ответ прост: чем больше компания, тем ответственнее относятся ее руководители к подготовке персонала: регулярно проводятся семинары, курсы повышения квалификации, опросы и экзамены, интерактивные тестирования и прочие тренинги. На все это хватает и времени, и ресурсов, и средств, тем более что большую часть занятий подобные гиганты способны организовать своими силами, на собственной территории и задействовав собственные ресурсы (компьютеры, презентационное оборудование и так далее).
Малому и среднему бизнесу организовать нечто подобное намного сложнее: нехватка времени («а работать когда?»), ограниченность в средствах («год занятий? это не по карману!»), ложная самоуверенность («мы маленькая компания, нам это не надо!») и отсутствие тренировочной базы («где их проводить? в переговорной на пять человек?!») вкупе с отсутствием опыта порождают волну отказов от «киберзащитного» образования. Разумеется, в итоге это приводит к серьезным проблемам, да и в уже упомянутых исследованиях отмечено, что 52% всех пострадавших организаций (включая крупные) по результатам состоявшихся инцидентов готовы признать: главная проблема в стратегии обеспечения ИБ — неосторожность сотрудников (пользователей), от которой не защититься техническими средствами.
Решение — незамедлительно
Понимая проблематичность ситуации, в «Лаборатории Касперского» предложили собственный вариант решения задачи обучения персонала — автоматизированную платформу для повышения осведомленности о кибербезопасности Kaspersky Automated Security Awareness Platform (ASAP). Это не панацея из разряда «пройди 10 заданий, ответь на 100 вопросов и получи сертификат специалиста по кибербезопасности»: напротив, курс обучения рассчитан на год, причем с индивидуальным подходом к каждому обучаемому.
В зависимости от поставленной задачи программа сама определяет набор навыков, необходимых каждому сотруднику в соответствии с его профилем риска, и выстраивает график прохождения программы. Темпы продвижения и объемы материала подбираются индивидуально таким образом, чтобы максимально снизить вероятность переутомления (и последующего нежелания продолжать обучение). Поможет в этом система прогнозирования и упреждения, построенная на базе аналитик и отчетов, — она сама подскажет руководителю, на каких подразделениях или сотрудниках необходимо сфокусировать внимание, чтобы достичь намеченной цели. Сопоставляя полученные показатели с эталонными, ответственный за обучение сразу увидит оптимальный путь развития.
Сотрудников вряд ли придется дополнительно мотивировать какимилибо способами: программный комплекс предлагает систему обучения, построенную на игровой основе и соревновательном подходе. Более того, все задания наглядны, применимы к повседневной работе обучаемых и не содержат умозрительных, оторванных от реальности заданий. И, как уже говорилось, присутствует персонализация: никаких избыточных знаний, только практические и необходимые навыки. И да, сотрудник не получит более сложное задание, прежде чем не усвоит актуальное и не пройдет тест.
В дальнейшем пользователи будут получать письма с напоминанием изученного материала — сообщения начнут поступать через четыре дня после изучения теоретической части (она, к слову, отберет от двух до 10 минут). Многократное повторение закрепит полученные знания, а через три дня будет предложен тест. Если он пройден, то будет организована подставная фишинговая атака — и только после ее успешного распознания начнется дальнейшее продвижение. В общей сложности предполагается, что пользователь получит около 60 навыков — от общего до продвинутого уровня знания основ кибербезопасности: от простого (например, умение распознавать явно вредоносные вебсайты) к сложному (умение распознавать сложные поддельные ссылки, включая ссылки с замаскированным перенаправлением).
«Интересно! Но ведь наверняка и сложно, и дорого?»
Kaspersky Automated Security Awareness Platform построена на онлайнсхеме. Для ее внедрения (о развертывании и наладке говорить не приходится) достаточно первичной подготовки, которая займет от силы 10–15 минут. Нет, это не шутка: все, что необходимо для старта, — провести оценку текущих знаний, определить цели (с учетом средних общемировых и отраслевых показателей), зарегистрироваться на сайте, запустить занятия. В дальнейшем потребуется лишь разбить сотрудников на группы для удобства (можно создать собственные или воспользоваться готовыми) и задействовать наборы правил, чтобы автоматически определять сотрудников в группы с разным целевым уровнем и интенсивностью в зависимости от имеющегося у них доступа к конфиденциальной информации и специфики выполняемых работ.
Что касается оплаты, то вносить деньги следует исключительно за тех сотрудников, которые проходят обучение, это позволяет руководителю организовать тренинги поэтапно, не расходуя слишком крупные суммы единовременно. Сначала — ключевые сотрудники, в конце — наименее критичные. Как определить профильность и не ошибиться в позиционировании? Вопрос очень индивидуальный: например, управляющие высшего звена и бухгалтеры, имеющие наивысшие полномочия допуска к ключевой информации, — первостепенные кандидаты, а, к примеру, дизайнеров можно оставить в последнем эшелоне, и то с минимальным (базовым) уровнем обучения.
О стоимости следует говорить, базируясь на количестве лицензий и предполагаемых сроках обучения, — политика формирования пакета предложений очень гибкая. Впрочем, для понимания достаточно знать, что решение продвигается по цене от 2673 рублей за одну лицензию. Но сегодня разработчики предлагают более выгодный вариант: при покупке продукта «Kaspersky Endpoint Security для бизнеса Расширенный» клиент получает увлекательный и эффективный тренинг по кибербезопасности Kaspersky Automated Security Awareness Platform с лицензией на 25 пользователей в подарок сроком на шесть месяцев.
Опубликовано 09.12.2019