АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Осведомлённость в области безопасности

Осведомлённость в области безопасности — это знания и отношение, которыми обладают члены организации относительно защиты физических, а особенно — информационных, активов этой организации. Реализация осведомлённости в области безопасности может быть затруднена, поскольку организации не имеют возможности непосредственно навязать её сотрудникам — отсутствуют способы явного контроля поведения людей. Тем не менее, литература предлагает несколько способов повышения уровня осведомлённости в области безопасности[1]. Многие организации требуют прохождения формального обучения по вопросам безопасности для всех сотрудников при их приёме на работу и далее на регулярной основе, обычно ежегодно.[2][3] Одним из основных факторов, тесно связанных с осведомлённостью сотрудников в вопросах безопасности, является управленческое участие. Это также связывает осведомлённость в области безопасности с другими организационными аспектами[1].

Связь между осведомлённостью в области безопасности и человеческими факторами

Поведение сотрудников, когнитивные искажения и процессы принятия решений оказывают влияние на эффективность мер обеспечения безопасности. Исследования показывают, что психологические факторы, такие как оптимистическое искажение, избыточная самоуверенность и привычные модели поведения, способны подрывать эффективность инициатив по повышению осведомлённости в области безопасности[4]. Для преодоления этих проблем организации всё чаще используют поведенческую аналитику и так называемые «подталкивающие» меры — ненавязчивые напоминания, такие как уведомления о необходимости смены пароля или предупреждения о фишинге, — чтобы стимулировать безопасное поведение.

Человеческая ошибка остаётся ведущей причиной инцидентов в кибербезопасности. Согласно отчету IBM Security за 2023 год, 95% утечек обусловлены действиями людей — например, попаданием на фишинговые письма, использованием слабых паролей и неправильным обращением с конфиденциальными данными. Организации выделяют обучение и повышение осведомлённости в области безопасности как ключевую стратегию по снижению этих рисков[5].

Особое значение имеет создание руководством культуры кибербезопасности и предоставление целевого обучения для повышения уровня осведомлённости среди всех сотрудников организации.

Охват

Обучение по вопросам осведомлённости в области безопасности, как правило, включает следующие темы:[6]

  • Сущность конфиденциальных материалов и физических ценностей, с которыми можно столкнуться, включая коммерческие тайны, вопросы конфиденциальности и государственную секретную информацию
  • Ответственность сотрудников и подрядчиков за обращение с конфиденциальной информацией, в том числе разъяснение условий соглашений о неразглашении
  • Требования к физическому обращению с конфиденциальными носителями: маркировка, передача, хранение, уничтожение
  • Методы защиты информации на компьютерных системах, включая политику паролей и использование двухфакторной аутентификации
  • Другие вопросы компьютерной безопасности: вредоносное ПО, фишинг, социальная инженерия и т.д.
  • Безопасность на рабочем месте: контроль доступа в здания, ношение пропусков, сообщение об инцидентах, запрет на определённые предметы и прочее
  • Последствия небрежного обращения с информацией: возможная утрата работы, экономический ущерб для компании, вред гражданам, чьи персональные данные раскрыты, а также возможная гражданская и уголовная ответственность

Осведомлённость в области безопасности означает понимание того, что кто-либо может намеренно или случайно похитить, повредить или злоупотребить данными, хранящимися в компьютерных системах компании и по всей её структуре. Поэтому целесообразно поддерживать защиту активов организации (информационных, физических, кадровых), чтобы предотвращать подобные инциденты.

Европейское агентство по сетевой и информационной безопасности (ENISA) отмечает: «Осведомлённость о рисках и доступных способах защиты — первая линия обороны для безопасности информационных систем и сетей.»[7]

«Главная задача консалтинга по вопросам осведомлённости в области безопасности — это долговременное изменение отношения сотрудников к вопросам безопасности, а также формирование соответствующих элементов организационной культуры и поведения. Политики по безопасности должны рассматриваться как ключевые инструменты, содействующие деятельности организации, а не как свод правил, сдерживающих её эффективность.»[8]

Роль геймификации и интерактивного обучения

Современные программы повышения осведомлённости в области безопасности всё чаще используют геймификацию, симуляции фишинга и интерактивные обучающие модули. Исследования показывают, что вовлечение сотрудников при помощи «серьёзных игр», систем вознаграждений и имитаций реальных атак способствует лучшему усвоению навыков и закреплению безопасных практик. Примером служит обучение на основе рассылки имитированных фишинговых писем для проверки способности сотрудников распознавать угрозы. Исследования показывают, что многократное участие в таких упражнениях в долгосрочной перспективе улучшает уровень осведомлённости в области безопасности.

Законодательные и нормативные требования

Во многих отраслях прохождение обучения по вопросам осведомлённости в области безопасности обязательно для соблюдения требований законодательства и стандартов, например:

  • Общий регламент по защите данных (GDPR) — требует обеспечения осведомлённости о защите данных среди сотрудников[9].
  • HIPAA — предусматривает обязательные программы по осведомлённости в области безопасности для медицинских учреждений[10].
  • PCI DSS — требует проведения обучения работников организаций, обрабатывающих платёжные карты[11].

Оценка уровня осведомлённости

В статье 2016 года исследователи разработали метод оценки уровня осведомлённости в области безопасности[12]. В частности, они измеряли «уровень понимания способов обхода протоколов безопасности, нарушения работы систем, сбора ценной информации и избегания обнаружения» (с. 38). Созданная методика позволяет различать экспертов и новичков по принципу группировки типовых сценариев: эксперты объединяют их по сущностным признакам безопасности, а новички — по внешним, поверхностным критериям.

Помимо этого, уровень осведомлённости оценивается по оперативным метрикам — например, по частоте переходов по фишинговым ссылкам, склонности к повторному использованию паролей и соблюдению политик безопасности. Организации внедряют системы постоянного мониторинга с обратной связью: сотрудники получают своевременное уведомление о рисковом поведении с рекомендацией корректирующих действий[13].

Развитие киберугроз и стратегии по повышению осведомлённости

По мере эволюции киберугроз программы по повышению осведомлённости должны адаптироваться к новым вектором атак — таким, как атаки с использованием искусственного интеллекта, глубокие подделки и угрозы со стороны инсайдеров. Отчет ENISA Threat Landscape подчёркивает растущую значимость этих угроз и необходимость комплексных мер, учитывающих как классические атаки (вымогатели, вредоносное ПО), так и более сложные техники, например, эксплуатацию доверенных ресурсов (LOTS) и методики уклонения, применяемые киберпреступниками[14].

Примечания

  1. 1 2 Hwang, Inho; Wakefield, Robin; Kim, Sanghyun; Kim, Taeha (4 июля 2021). “Security Awareness: The First Step in Information Security Compliance Behavior”. Journal of Computer Information Systems [англ.]. 61 (4): 345—356. DOI:10.1080/08874417.2019.1650676. ISSN 0887-4417.
  2. Maritime Security Awareness Training (англ.). edumaritime.net. Дата обращения: 4 марта 2025.
  3. Assenza, G. (2019). “A Review of Methods for Evaluating Security Awareness Initiatives”. European Journal for Security Research. 5 (2): 259—287. DOI:10.1007/s41125-019-00052-x. S2CID 204498135.
  4. Walker, Miles (21 августа 2024). “‌A Summer of Studying Cybersecurity — and Human Error's Role in Attacks”. NIST [англ.].
  5. IBM Security X-Force Threat Intelligence Index 2024 (англ.). www.ibm.com. Дата обращения: 5 марта 2025.
  6. The 20 Best Security Awareness Training Topics for 2024 (англ.). caniphish.com. Дата обращения: 4 марта 2025.
  7. OECD Guidelines for the Security of Information Systems, 1992 (англ.). oecd.org. Дата обращения: 4 марта 2025.
  8. Vacca, John R. Computer and Information Security Handbook : [англ.]. — Newnes, 5 ноября 2012. — ISBN 978-0-12-394612-6.
  9. European Parliament resolution of 14 March 2017 on fundamental rights implications of big data: privacy, data protection, non-discrimination, security and law-enforcement (2016/2225(INI)) (англ.) (2017). Дата обращения: 4 марта 2025.
  10. Marron, Jeffrey Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (англ.). csrc.nist.gov. National Institute of Standards and Technology (14 февраля 2024).
  11. Training Overview (амер. англ.). PCI Security Standards Council. Дата обращения: 4 марта 2025.
  12. Giboney, Justin Scott; Proudfoot, Jeffrey Gainer; Goel, Sanjay; Valacich, Joseph S (2016). “The Security Expertise Assessment Measure (SEAM): Developing a scale for hacker expertise”. Computers & Security. 60: 37—51. DOI:10.1016/j.cose.2016.04.001.
  13. The Ultimate Guide To Security Awareness And Training (брит. англ.). www.metacompliance.com (14 января 2025). Дата обращения: 4 марта 2025.
  14. Threat Landscape | ENISA (англ.). www.enisa.europa.eu (19 сентября 2024). Дата обращения: 4 марта 2025.

Литература

Ссылки

Категории

undefined
undefined