Обучение кибербезопасности: уроки департамента полиции Нью-Йорка

На RSA Conference 2020 бывший руководитель отдела расследования киберпреступлений полиции Нью-Йорка рассказал о том, как стражи порядка повысили осведомленность о кибербезопасности.

Я очень люблю сериал «Закон и порядок» и работаю в сфере кибербезопасности. Ничего удивительного, что когда я увидел в программе RSA Conference 2020 доклад бывшего руководителя отдела расследования киберпреступлений полиции Нью-Йорка Ника Селби (Nick Selby), то сразу же решил на него сходить — и ни секунды не пожалел.

Вот о чем рассказал Селби. Некоторое время назад в Нью-Йорке были большие проблемы с киберпреступностью. Насколько большие? Где-то на девятизначную сумму в долларах. От различных форм киберпреступлений страдали буквально все слои населения Нью-Йорка вне зависимости от возраста, пола, цвета кожи и так далее.

В большинстве случаев жертвы звонили в полицию. Однако всякий раз, когда полицейские слышали что-нибудь вроде «биткойн» или «шифрование», их первой реакцией было «это не по нашей части». Потому что речь шла об информационных технологиях, а в картине мира простого полицейского такими делами занимаются другие ведомства. Так что полиция советовала жертвам позвонить в ФБР, и на том все и заканчивалось.

Для такого огромного города, как Нью-Йорк, это было серьезной проблемой. Селби осознавал это — как и его начальство в NYPD, которое и поручило ему изменить отношение простых полицейских к кибербезопасности.

В докладе обсуждалось множество мер, которые отдел предпринял для борьбы с киберпреступностью, чтобы помочь пострадавшим вернуть свои кровные. Я не буду его здесь пересказывать, но очень советую ознакомиться с записью выступления.

Здесь же я сконцентрируюсь на той мысли, которая особенно запала мне в душу: Селби должен был изменить отношение простых полицейских к ИТ-безопасности.

Наверное, любому инструктору по безопасности доводилось слышать возмущенные вопросы и комментарии:

«Я работаю с финансами — мне-то какое дело?»
«Я работаю на ресепшене — зачем мне все это?»
«Я работаю в IT-отделе, уж я-то все знаю про безопасность!»

Ну и, конечно же, одна из самых популярных жалоб офисных сотрудников:

«Как, ОПЯТЬ тренинг по безопасности?»

Всем нам приходилось бывать в ситуации, когда нас отвлекают от важных дел из-за чего-то, не имеющего к нашей работе прямого отношения. Так что подобное недовольство все мы можем понять. Но дело в том, что кибербезопасность затрагивает абсолютно все сферы без исключения. Вот несколько примеров для типичного офиса:

• Финансовый отдел — через его сотрудников проходят все деньги компании. Надо ли напоминать о многочисленных мошенничествах, связанных с переводом средств на подставные счета?
• Секретарь на ресепшен — первое лицо, которое вы видите при посещении компании; это тот человек, который впускает людей в здание. Обычно он же выдает логин и пароль для гостевого доступа к Wi-Fi. Думаю, роль секретаря в защите компаний от жуликов, подключающих вредоносное оборудование к корпоративным сетям, вполне ясна.
• IT-отдел — эти люди настраивают компьютеры и занимаются администрированием устройств. Кто даст вам USB-флешку, если понадобится перенести презентацию в PowerPoint с одного компьютера на другой? Без помощи айтишников сотрудники в такой ситуации будут искать по офису бесхозные флешки, что чревато неприятностями.

Я мог бы продолжать это перечисление бесконечно, но думаю, что основная мысль уже ясна. Фактически все сотрудники являются векторами атаки, но обычно они об этом совершенно не думают.

Чему нас может научить опыт NYPD?

В NYPD обучали не офисных работников, а полицейских, но задачи и проблемы инструкторов в обоих случаях очень схожи, так что те же основные принципы могут пригодиться и вам:

• Не усложнять. Пожалуй, основной фактор успеха кампании по обучению, проведенной полицией Нью-Йорка, заключался в том, что в тренингах упор делался на простоту и конкретику — каждое занятие насчитывало, если я не ошибаюсь, не более 20 слайдов. Составляя обучающие материалы для сотрудников, не забудьте четко сформулировать задачи и объяснить слушателям, почему этот материал важен и как добиться результата.
• Дать возможность действовать. Селби и его команда внедрили приложение, помогающее полицейским правильно зафиксировать киберпреступление, чтобы это привело к началу расследования. Конечно, это не значит, что вам тоже нужно сделать какое-то приложение. Но важно обеспечить сотрудников средствами для того, чтобы применить полученные знания на практике. Если сотрудник заметил нечто подозрительное, как и кому он может сообщить об этом? Если он получил фишинговое письмо, как он может заблокировать его для всей компании или переслать специалистам?
• Демонстрировать результаты. В NYPD очень любят статистику, и с внедрением этой программы начали учитывать преступления, связанные с ИТ. Благодаря этому полицейские увидели, что их работа действительно помогает расследовать и раскрывать больше преступлений. Допустим, ваши сотрудники не занимаются борьбой с преступностью. Но вы тоже можете показать им, как много значит осведомленность о кибергурозах. Например, такие данные, как девять предотвращенных атак шифровальщиков или 200 заблокированных фишинговых писем, вполне достойны упоминания в регулярных отчетах.

Программа тренингов не обязательно должна быть высокотехнологичной или дорогостоящей. Даже простой обмен личным опытом может привести к значительным положительным изменениям в вашей организации.

Возможно, вы пока не планировали разрабатывать план тренингов по кибербезопасности, но мы уже сделали это за вас. «Лаборатория Касперского» предлагает бесплатные обучающие курсы безопасности — для вас и ваших сотрудников это будет отличным началом.

17.03.2020