От простого требования – ежегодно перечитывать правила информационной безопасности компании – в сотрудниках волшебным образом не зародятся навыки информационной безопасности. Кроме того, это никак не помешает им предпринимать сознательные вредоносные действия.

Откровенно говорите о возможных угрозах, чтобы сотрудники могли их распознать и оставаться настороже – кто бы ни попытался заручиться их помощью для нападения на компанию. Выстраивайте обучение с учетом того, с какими типами атак могут столкнуться работники при выполнении той или иной операции. К самым распространенным способам проникновения в компьютерную систему организации относится фишинг: посредством фальшивых электронных писем мошенники обманом вынуждают сотрудников делиться личными данными, кодами доступа или переходить по ссылке, которая загружает вредоносные программы (многие не понимают, что поле «От» в электронном письме легко подделать). Проверить уязвимость ваших сотрудников к подобным угрозам можно как самостоятельно, так и с помощью привлечения внешней службы безопасности.

Однако иногда бывает непросто защитить сотрудников компании от упорного чужака. В апреле 2013 года французская многонациональная компания стала мишенью продуманной атаки. Одна из помощниц вице-президента по административным вопросам получила по электронной почте письмо со ссылкой на счет в облачном файлообменном сервисе. Она не собиралась открывать этот файл, но через несколько минут раздался звонок. Собеседник убедительно заявил, что он другой вице-президент компании, и распорядился, чтобы сотрудница скачала и обработала присланный счет. Она подчинилась. Документ содержал троянскую программу, которая позволила преступному предприятию – судя по всему, украинскому – удаленно взять под контроль ее компьютер, фиксировать нажатия клавиш и воровать интеллектуальную собственность компании.

Поощряйте сотрудников сообщать о нестандартных или запрещенных технологиях (например, использование внешнего жесткого диска в офисе с сетевым доступом к данным и программному обеспечению) и подозрительном поведении (поставщики или сотрудники без допуска, которые запрашивают файлы с конфиденциальными данными) – точно так же, как они сообщали бы о наличии бесхозного багажа в зале вылета аэропорта.

Сейчас как никогда важно задействовать технологии отбора и методы проведения собеседований, разработанные для оценки честности соискателей. Взять, к примеру, проверку наличия судимостей, выявление ложных сведений в резюме, а также вопросы на собеседовании, непосредственно раскрывающие моральные ориентиры кандидата. Наша команда разрабатывает тесты, которые позволят работодателям выяснять, обладают ли предполагаемые работники опасными чертами личности, схожими с теми, о которых говорится в исследовании CPNI.

Во время собеседования следует также оценить степень осведомленности соискателя в вопросах кибербезопасности. Знает ли он, что такое инсайдерская угроза? В каких случаях он способен передать пароли коллегам? При каких обстоятельствах он может позволить коллеге воспользоваться своим компьютером? Если соискатель силен во всех остальных отношениях, вы можете нанять его, но проследите, чтобы он сразу же прошел обучение правилам безопасности вашей организации и связанным с ними процедурам. Но если этому кандидату предстоит работать в уязвимой среде, хорошенько подумайте, стоит ли брать его на работу.

Как показывает инцидент с Target, важно следить, чтобы поставщики или дистрибьюторы не подвергали вас риску: например, следует свести к минимуму вероятность, что внешние IT-провайдеры найдут «черный ход» к вашим системам. Если риск подвергнуться кибератаке у поставщика значительно ниже, чем у вас, он может и не применять мер контроля, которые требуются вам. Ищите партнеров и поставщиков с тем же отношением к риску и той же культурой, что и в вашей организации, – в этом случае вам будет гораздо легче выработать общий подход к кибербезопасности.

В ходе предварительных обсуждений условий договоров поинтересуйтесь у потенциальных подрядчиков, как они решают вопросы, связанные с инсайдерским риском. Если вы привлекаете их к работе, регулярно проводите проверки, чтобы убедиться, что они придерживаются установленных правил. Дайте недвусмысленно понять, что вы будете проводить такие проверки, и оговорите, в чем они будут заключаться. Компания может потребовать от подрядчиков тех же мер контроля, которые применяет сама: проверку сотрудников на наличие судимостей, отслеживание достоверности данных кандидатов о предыдущих местах работы, контроль доступа к своим данным и рабочим приложениям с целью выявления несанкционированной деятельности, а также предотвращение физического проникновения злоумышленников в служебные помещения, где работают с конфиденциальной информацией.

Дайте сотрудникам понять, что у вас есть возможность контролировать их сетевую активность и что вы будете это делать – в той мере, в какой это разрешено законом. Нельзя полностью оставлять вопросы кибербезопасности на усмотрение экспертов, вы должны ежедневно следить, какая информация исходит из вашей компьютерной системы, а какая поступает к вам. Это означает, что службы безопасности или поставщики услуг должны регулярно проводить оценку рисков: анализ источников угроз, уязвимых сотрудников и сетей, а также возможных последствий в случае, если риск выльется в настоящую атаку. Следует также отслеживать действия, направленные на снижение риска, в частности время реагирования на оповещения.

Роутеры или файерволы способны отслеживать исходящую информацию, однако необходимо убедиться, что эта функция активирована. Если у вас нет оборудования для мониторинга исходящего трафика, его нужно приобрести. Кроме того, следует вести учет и наблюдение за всеми устройствами, через которые возможна утечка, – USB-накопителями и другими портативными носителями информации, распечатками и так далее. Это возможно осуществить путем выборочных проверок или даже постоянного, как в аэропортах, досмотра людей, входящих в здание и выходящих из него (General Electric и Wipro применяют подобные методы в Бангалоре).

Чтобы мониторинг был эффективным, необходимо тщательно регламентировать предоставление привилегий всем сотрудникам – включая тех, кто имеет наивысший уровень допуска к корпоративным системам, поскольку часто именно они и становятся инициаторами инсайдерских атак. Регулярно пересматривайте список наиболее привилегированных пользователей и наблюдайте за теми, кто в нем остается, чтобы убедиться, что они заслуживают доверия. Подберите подходящие системы обнаружения инсайдерских угроз, способные предупреждать то, что можно предотвратить, а также распознавать уже случившиеся опасные события. Большие данные могут помочь при сопоставлении получаемых сигналов и вынесении предупреждений сотрудникам.

Также может быть полезным антивирусное программное обеспечение. В частности, при сотрудничестве «внешних» злоумышленников с работниками компании, первым важным шагом будет внедрение вредоносной программы в сеть организации. При обнаружении вируса всегда следует учитывать, что он может быть частью инсайдерской атаки: анализ работы этого вредоносного кода может дать ключ к установлению личности преступника и пониманию его основных целей.

Такой детальный мониторинг увеличит нагрузку на всех сотрудников, но окупится за счет снижения рисков вашей компании и повышения ее устойчивости к внешним воздействиям.