Глобальные вирусные атаки перестали быть сюжетом боевиков и триллеров и стали частью нашей реальности. В 2017 году весь мир выучил несколько новых слов: WannaCry, Petya, NotPetya. Объектами атаки этих вирусов стали государственные учреждение и коммерческие компании. Цель атаки — или банальное вымогательство, или просто нанесение ущерба деятельности организации. Среди многих моих знакомых были люди чьи компьютерные данные оказались поражены одним из таких вирусов. И самое примечательное в этой ситуации то, что многих заражений можно было бы избежать, если бы сотрудники вели себя правильно и начали реагировать на кибератаку сразу же.
Эта ситуация должна научить всех нас, что правила кибербезопасности также важны, как и пожарная безопасность. И каждый сотрудник должен знать как избежать «возгорания», куда бежать в случае возникновения «пожара», где находятся «огнетушители» и чего точно нельзя делать в такой ситуации. Для того, чтобы этого достичь, начинать надо с подбора персонала и адаптации на рабочем месте и продолжать систематически на всей протяженности работы сотрудника в компании.
Я натолкнулся на интересную статью по этой проблеме от Marten Mickos на Harvard Business Rewiew. Так вот он говорит, что этого недостаточно и предложил не просто обучать основам кибербезопасности сотрудников компании, а сделать из них хакеров.
Компании, которые хотят помочь своим сотрудникам стать лучшими поборниками кибербезопасности, должны выходить за рамки регулярных тренингов по безопасности паролей и другим основным протоколам. Лучший способ обучить сотрудников защите от хакеров — научить их мыслить как хакер.
Первым шагом становится понимание того, что на самом деле означает «хакер».
Для начала – забудьте все то, что индустрия средств массовой информации и развлечений рассказала вам о хакерах. Средства массовой информации имеют историю сенсации термина, используя его для обозначения киберпреступников. Это слишком узкий взгляд.
Во многих отношениях хакеры являются образцовыми гражданами эпохи цифровых технологий. Они творческие, настойчивые и находчивые. Они думают в цифровой форме и имеют любопытство и стремление выяснить, как работает технология. Они рассматривают каждую проблему как возможность. Они выступают за то, во что верят, и хотят, чтобы мир стал более безопасным местом.
Хакеры также знают кое-что о границах технологии. У них есть здоровое недоверие к компьютерным системам, и они понимают, что ни одно программное обеспечение не защищено от ошибок (и даже без ошибок программное обеспечение по-прежнему будет иметь уязвимости безопасности).
Они также знают, что только потому, что компьютеры и программное обеспечение могут принести много пользы, это не значит, что они не могут быть использованы для многих неприятностей. Для них само собой разумеется, что программное обеспечение всегда будет делать БОЛЬШЕ, чем оно было предназначено, и поэтому они постоянно ищут уязвимости.
Для тех из нас, кто родился до оцифровки общества (возможно, большей части вашей рабочей силы), эти концепции могут казаться чуждыми. Но для хакеров это просто то, как работает мир — и они правы.
Вот почему так важно, чтобы компании начали культивировать хакерский менталитет внутри своей собственной организации сегодня. Мало того, что это может изменить поведение сотрудников и повысить уровень кибербезопасности, что приводит к повышению безопасности во всей организации, но это также может помочь вашей рабочей силе стать более любопытной и находчивой — двум из самых ценных навыков в будущем с широко распространенным искусственным интеллектом и автоматизации.
Вот несколько способов, когда компании любого размера могут начать обучать свою рабочую силу, чтобы думать как хакеры.
ХАКАТОНЫ И КОНКУРСЫ
Поощряйте сотрудников посещать хакатоны — даже если только возможно наблюдать или учиться. Эти события дают людям возможность сделать шаг назад от повседневной работы на мгновение и творчески мыслить, чтобы решить какую-то проблему, а это как раз не что иное, как «взлом».
Иногда эти события связаны с продуктом или бизнесом, но они также могут быть сосредоточены вокруг чего-то другого. Идея состоит в том, чтобы заставить людей переключать передачи и тренировать свои «умственные мышцы» по-новому. Это помогает командам избегать туннельного зрения и группового мышления, а также заставляет их мыслить более творчески. И вам не потребуется подбирать персонал креативного, творческого склада ума Это также делает всех более наблюдательными и любопытными к окружающему их миру, который лежит в основе хорошей кибер-гигиены.
Для более практического обучения кибербезопасности организуйте общесистемные соревнования и игры, которые побуждают сотрудников выяснять, как потенциально может произойти киберпреступление. Вы даже можете пойти еще дальше, организовать ролевую игру — фиктивный кибер-инцидент. Выполнение сценария нарушения может помочь сотрудникам технически грамотнее относиться к организационному риску и это вдохновит их на новый уровень внимательности, когда дело касается кибербезопасности.
ОБМЕН ИНЦИДЕНТАМИ И ИНФОРМАЦИЕЙ
Когда что-то происходит в вашей отрасли, призывайте команды делиться результатами и анализом. Это не значит, что каждый должен писать десятки страниц — несколько быстрых мыслей тоже подойдут. Идея состоит в том, чтобы заставить ваших работников сделать обмен информации ее второй натурой.
Когда вы «выходите за рамки», которые существуют в разных командах во многих компаниях сегодня, это помогает создавать сообщество и создавать общую цель, которая является мощной защитой, когда дело касается кибербезопасности. Это помогает создать более бдительный персонал, который с большей вероятностью обнаруживает и реагирует на угрозы.
Это особенно важно для групп безопасности.
Когда происходит инцидент, они должны расспросить более широкую группу о том, что произошло и как они отреагировали. Если обнаружены и исправлены уязвимости, они должны работать с разработчиками программного обеспечения, дизайнерами и инженерами, чтобы помочь им избежать подобных ошибок в будущем.
Когда в отрасли начинаются крупные кибератаки (например, WannaCry) или появляются уязвимости (например, Heartbleed), группа безопасности должна активно распространять обновления и информацию со всей компанией, а также принимать открытые вопросы от тех, кто хочет узнать больше.
ОБЪЕДИНЕНИЕ
Создайте мандат сотрудников для работы между отделами и командами. Это помогает открывать лучшие линии связи во всей организации, а также помогает командам решать всевозможные задачи с новой точки зрения.
Даже если ваша команда безопасности является лучшей в бизнесе, реальность такова, что все люди ошибаются. Когда одни и те же люди каждый день смотрят на одну и ту же кодовую базу или приборную панель, это всего лишь вопрос времени, прежде чем они упустят что-то важное.
Вот почему большинство организаций, заботящихся о безопасности, ищут помощь за пределами себя — осуществляют подбор персонал на должности в сфере безопасности или приглашают талантливых и доверенных внешних экспертов по безопасности для выявления уязвимостей.
Они также тесно взаимодействуют с внутренними подразделениями по безопасности и продуктам, так как разрабатываются новые продукты и функции. Хотя некоторые уязвимости вызваны недостатками кода, другие являются результатом скрытой функциональности, которая существует в соответствии с дизайном. Включение команды безопасности в процесс может помочь выявить и решить эти проблемы до того, как они станут реальными уязвимостями.
Глядя на годы и десятилетия вперед, мы все должны научиться думать, как хакеры. Когда вы принимаете мышление хакера, вы будете готовы к быстрым достижениям в области компьютерных технологий. Вы осознаете их способность сделать мир лучше и безопаснее. Это хорошо не только для безопасности — это хорошо для бизнеса.
Источник: ucg.in.ua