«Полюс» внедрил Start AWR: сотрудники стали на 50% чаще сообщать об атаках

По мировой статистике 82% инцидентов информационной безопасности в 2022 году произошло из-за действий сотрудников. Поэтому эксперты из команды безопасности «Полюса» постоянно развивают культуру ИБ внутри компании, в том числе, обучают сотрудников распознавать атаки и правильно на них реагировать.

Чтобы снизить риски и повысить защищенность критической информационной инфраструктуры, «Полюс» пробовал внедрять разные решения: например, отправку имитированных атак сотрудникам. Но полученные результаты не устраивали Департамент информационной безопасности — атаки приходилось отправлять вручную, шаблоны атак не до конца соответствовали специфике компании. Чтобы повысить эффективность обучения, нужно было сделать процесс более контролируемым, регулярным и автоматизированным.

Расскажем, как решили задачу с помощью системы Start AWR, реализовав проект при поддержке «Информзащиты», и добились кратного роста вовлеченности сотрудников в обеспечение защищенности компании.

Департамент информационной безопасности компании проводит регулярную оценку рисков и проактивно внедряет решения, которые помогают предотвратить возможные инциденты информационной безопасности.

С начала 2022 года одним из главных рисков для компании стали компьютерные атаки, направленные против ее сотрудников, и их потенциально опасные действия, которые могли привести к инцидентам — открытие и запуск опасных вложений, компрометация корпоративных учетных записей на фишинговых ресурсах, пересылка конфиденциальной информации в ответ на мошеннический запрос.

При этом сами сотрудники могли не осознавать угрозу от подобных действий и не понимали, как они могут поставить под угрозу безопасность компании.

Сотрудников обучали правилам безопасности, но только во время онбординга — работники со стажем успевали забыть, что им рассказывали. Новички тоже были недостаточно осведомлены: курсы были короткими и сотрудники не успевали получить все знания.

Для формирования навыков безопасной работы в "Полюсе" использовали отправку имитированных атак, но решение не полностью устраивало компанию. Сотрудникам Департамента И Б было ясно, что нужно сделать процесс обучения более регулярным, контролируемым и эффективным. Для этого необходимо было найти автоматизированное решение класса Security Awareness, которое позволяло бы:

• интегрировать обучающие процессы с другими системами информационной безопасности;
• создать формат, который поможет сотрудникам не просто познакомиться с правилами, но сформировать навыки безопасной работы;
• астомизировать и дорабатывать обучающий контент в соответствии со спецификой компании;
• выполнять имитированные атаки для оценки защищенности и тренировки навыков;
• оценивать и повышать вовлеченность сотрудников, в том числе топ-менеджеров в обеспечение безопасности.

Такие задачи могла решить только полноценная система обучения и тренировки навыков по информационной безопасности для всех сотрудников.

Для того, чтобы выбрать наилучшим образом подходящую систему, Департамент информационной безопасности проанализировал рынок, составил шорт-лист из пяти вариантов, протестировал каждый вариант, составил сводную матрицу по функциональности и принял решение.

Start AWR — это платформа для регулярного и непрерывного обучения и тренировки навыков сотрудников в области кибербезопасности. В платформу включены курсы и симулятор атак, а также методика и метрики для оценки защищенности компании от угроз человеческого фактора.

Сначала мы провели пилот — две недели несколько сотен пользователей обучались основам безопасной работы и отражали имитированные атаки злоумышленников.

Затем «Полюс» приобрел лицензию на год для 10 000 пользователей и совместно со специалистами интегратора информационной безопасности «Информзащита» начали внедрять платформу в эксплуатацию.

Развернули полную версию платформы в инфраструктуре заказчика

Интеграции START AWR с другими сервисами

Интегрировались со службой каталогов Active Directory, почтовым сервером и клиентами MS Outlook, продуктами экосистемы R-Vision, SIEM-системой и другой инфраструктурой. Подтвердили соответствие системы корпоративным требованиям по безопасности и описали все в документации.

Доработали курсы и сценарии имитированных атак

На платформе Start AWR уже есть готовый набор курсов и тестов по информационной безопасности, а также регулярно обновляемые сценарии имитированных фишинговых атак, которые на практике позволяют выработать у сотрудников навыки безопасной работы.

Для эффективного процесса важно, чтобы курсы и сценарии атак были всегда актуальными и соответствовали реальным условиям работы в компании. Поэтому при разработке сценариев атак мы учли политики безопасности и принятые в компании регламенты.

Пример имитированной атаки, разработанной для сотрудников «Полюса»

Сотрудники Департамента информационной безопасности «Полюса» активно принимали участие в разработке сценариев и курсов — такая опция входит в состав лицензии Start AWR. Например, по их просьбе мы оптимизировали курс «Безопасная работа с паролями», чтобы в нем учитывались все процессы, действующие в компании.

Слайд из курса «Безопасная работа с паролями»

Специально для «Полюса» мы разработали новый курс по безопасности критической информационной инфраструктуры. На промышленных предприятиях согласно ФЗ-187 все сотрудники должны понимать, как защищать системы компании от взлома. Из курса сотрудники узнают, как атаки угрожают нормальной работе и что может сделать каждый, чтобы предотвратить вмешательства. Эти знания и навыки помогут сотрудникам осознанно участвовать в защите компании, как субъекта критической инфраструктуры.

Слайд из курса по безопасности КИИ

Использовали методологию Start AWR для вовлечения сотрудников в процесс обеспечения безопасности в компании

Мы помогли коллегам из «Полюса» вовлечь сотрудников в процесс защиты компании в соответствии с нашей методологией.

В итоге сотрудники проходили курсы, на которых получали нужные знания, а затем отрабатывали практические навыки, отражая имитированные атаки через электронную почту и фишинговые сайты.

По результатам атак автоматически составлялся рейтинг сотрудников. Департамент информационной безопасности смог регулярно следить за рейтингом, чтобы выявлять уязвимых сотрудников и вовремя давать им новые задания для отработки навыков кибербезопасности.

Рейтинг сотрудников по уровню риска

Для сотрудников, которые демонстрировали небезопасное поведение — открывали имитированные фишинговые письма, переходили по ссылкам или открывали вложения — платформа определяет уязвимые версии приложений, браузеров и операционных систем. Это помогает Департаменту информационной безопасности в рамках процесса патч-менеджмента оперативно устранять уязвимости на рабочих компьютерах сотрудников с наибольшим уровнем риска.

Обновляем материалы и помогаем с дальнейшим внедрением

Чтобы еще сильнее вовлечь сотрудников в процесс защиты компании от информационных атак, в компании разрабатывают специальную систему мотивации.

Мы обновляем курсы и сценарии атак каждый квартал — это помогает сотрудникам постоянно актуализировать знания о том, как действуют злоумышленники, и отрабатывать навыки на новых заданиях.

Через 9 месяцев после начала использования продукта сотрудники стали:

• на 50% чаще сообщать об атаках;
• на 16% меньше переходить по фишинговых ссылкам;
• на 16% реже вводить логины и пароли на фишинговых сайтах.

Почему это получилось:

• 62% сотрудников успешно прошли подготовленные для них курсы и получили нужные знания.
• Департамент информационной безопасности получил актуальный рейтинг защищенности и список уязвимых сотрудников для непрерывного контроля доступов и планирования процессов обучения.
• Департамент информационной безопасности выявил и устранил опасные уязвимости программного обеспечения на рабочих местах сотрудников.
• Использование автоматизированной системы упростило внедрение имитированных атак.