10 апреля в Москве состоится важнейшее событие для топ-менеджеров и лидеров в области информационной безопасности CISO FORUM 2025. Форум, где собираются умы, стремящиеся к улучшению управления киберрисками и интеграции безопасности в бизнес-процессы.
В преддверии мероприятия Артём Куличкин, И. о. Директора по информационной безопасности дочерних компаний АО «СОГАЗ» поделился методами обучения сотрудников кибергигиене, эффективному управлению службой информационной безопасности, а также рассказал про вызовы, связанные с вовлечением сотрудников и руководства в вопросы безопасности.
Артём, обучение сотрудников кибергигиене — задача не из легких. Какие подходы и инструменты Вы используете, чтобы добиться максимального результата с минимальными затратами?
Работая в сфере информационной безопасности на протяжении значительного времени, я столкнулся с различными условиями в компаниях. В некоторых из них мне приходилось единолично отвечать за все аспекты информационной безопасности, в то время как в других бюджеты на эти нужды были весьма ограниченными или наоборот. В самом начале пути мне необходимо было находить креативные решения для обучения сотрудников, не тратя при этом значительные средства. В этой связи я начал использовать пилотные программы обучающих компаний, специализирующихся на информационной безопасности. Изучая, как они представляют свои материалы и реализуют обучение, я смог, опираясь на эти примеры и при поддержке технологий вроде Dall-E, Gophish и др., разработать собственные курсы по информационной безопасности и кибергигиене. Важной частью моих курсов стали реальные кейсы атак на компании, такие как фишинг и социальная инженерия. Я исследовал, читал и анализировал эти живые примеры, которые затем применял на практике, обучая работников. Все используемые материалы доступны в открытых источниках, и их можно реализовать самостоятельно: достаточно скачать нужные ресурсы, установить их, а также зарегистрировать домен за небольшую сумму, похожий на домен компании, и использовать его для рассылки фишинговых сообщений. Мой опыт показывает, как важно проводить подобные обучения, ведь если их не проводить они могут случайно перейти по ссылке и ввести свои логины и пароли, тем самым подвергая риску не только свои личные устройства, но и рабочие компьютеры, имеющие доступ к корпоративной сети, особенно если нет двухфакторной аутентификация (2FA). В таких крупных компаниях как СОГАЗ, конечно, обучение поставлено совсем на другом уровне и ресурсы не сравнимы, также, как и количество работников. Но основные принципы взаимодействия с пользователями те же. Рекомендую регулярно в течении года обучать работников кибергигиене, а для тех, кто попадается на фишинговые атаки, делать более глубокий курс и обучать их еще раз, с каждым разом таких работников будет становиться всё меньше. В своем выступлении на CISO FORUM 2025 я приведу пример –– как может улучшаться статистика со временем в лучшую сторону после подобных обучений. Это действительно эффективно, и подобные атаки помогают существенно сократить время реакции на фишинг — от попадания на почту работника, до уведомления работником службу информационной безопасности. Поделюсь опытом, как проводить такие фишинговые атаки так, чтобы не активировалось сарафанное радио. Например, чтобы сотрудники не начали обсуждать, что информационная безопасность внедряет свои «игрушки» и рассылает фишинг, и в итоге никто не реагировал на учебные фишинговые сообщения. Напротив, злоумышленники действуют целенаправленно и тщательно, изучая социальные сети, фотографии и другую информацию, чтобы обратиться к сотруднику и заставить его поддаться тактикам социальной инженерии.
С какими основными вызовами вы сталкиваетесь в процессе вовлечения сотрудников и руководства в вопросы кибергигиены? Как вы справляетесь с сопротивлением или отсутствием интереса?
Создание обучения по кибергигиене — это не просто задача, а искусство, требующее внимательности, точности и креативности. Независимо от того, кто разрабатывает курс — подрядчик или вы сами — важно помнить, что каждое слово имеет значение. Ваши формулировки должны быть безупречными, чтобы избежать недопонимания и бюрократических споров.
В процессе обучения работники могут задавать множество вопросов: «Почему мы должны следовать именно этим рекомендациям?», «Где это прописано?», «Каковы последствия несоблюдения этих правил?» – и это нормально. Однако, если в вашем материале будут неточности, например, если в политике безопасности указано, что пароли должны содержать не менее 8 символов, а в обучении будет написано 12, это станет предметом обсуждения и сомнений. Каждая буква, каждая запятая, каждое число могут стать поводом для оспаривания, поэтому важно быть предельно внимательным на каждом этапе написания.
Второй вызов — это эффективное взаимодействие с работниками. Иногда может возникнуть ситуация, когда сотрудники игнорируют важные аспекты кибергигиены. Эскалация проблемы через внутренние приказы может быть необходима, но также стоит подумать о том, как заинтересовать сотрудников. Реальные кейсы из жизни, наглядные примеры и истории могут стать мощным стимулом для вовлечения. Не забывайте о визуальном оформлении: анимации, инфографика и яркие изображения помогут сделать обучение более привлекательным и запоминающимся, а минимизация текста — упростит восприятие информации. Ваша цель — донести важные знания так, чтобы они оставили след в сознании работников и стали неотъемлемой частью их повседневной практики. Помните, что обучение по кибергигиене — это не просто формальность, а один из ключевого элемента защиты компании и её сотрудников от киберугроз. Будьте внимательны к каждому слову и творчески подходите к процессу, и тогда ваша работа принесёт максимальную пользу.
Артём, какие управленческие уроки вы извлекли из своего опыта, которые могут быть полезны другим руководителям информационной безопасности?
Другим руководителям информационной безопасности я бы порекомендовал обратить свое внимание на Федерацию управленческой борьбы. В Москве есть несколько клубов по управленческой борьбе. Место где классно можно подтянуть свои софт-скиллы и научиться договариваться.
Более подробно про обучение работников кибергигиене своими силами и о том, как увернуться от фишинга Артём Куличкин расскажет на своем выступлении на CISO FORUM 2025. А на треке «Кадры в ИБ: где искать и как растить специалистов» Артём со своим коллегой Георгием Руденко, CISO, Райффайзен Банк обсудят стратегии нахождения и оценки специалистов по информационной безопасности, методы формирования компетентных команд в условиях дефицита кадров, а также подходы к автоматизации процессов для адаптации к недостатку кадров в производственных компаниях.
Узнать больше и оставить заявку на участие на CISO FORUM 2025 можно по ссылке. Регистрация для руководителей по ИТ и ИБ бесплатная.