Следите за новостями

Цифра дня

30 тыс. банковских карт казахстанцев использовали преступники для отмывания денег

    В Алматы обсудили повышение культуры кибербезопасности

    Одним из ключевых вопросов стала работа с неграмотными в вопросах информационной безопасности пользователями.

    28 июня 2019 10:00, Profit.kz

    Профессионалы информационной безопасности собрались в Алматы на конференции «Код ИБ». Ключевой темой конференции стало повышение культуры кибербезопасности и наиболее действенные методы борьбы с угрозами. Причем, наиболее уязвимым звеном до сих пор являются сотрудники компаний. Элементарные ошибки или незнание процедур пользователями способно перечеркнуть весь эшелон защиты, выстроенный службами ИБ в компаниях.

    Как отметил Иван Бируля, директор по безопасности SearchInform, общий тренд идет к автоматизации бизнеса, в связи с чем появляются новые продукты и технологии, которые, тем не менее, не способны «закрыть» все риски на 100%. Именно за пользователями остается «последнее слово», которое безопасники не могут полностью контролировать. Культура ИБ в компании — это целый процесс, который включает этические, правовые и технические аспекты.

    Код ИБ 2019

    «Без понимания рядовыми сотрудниками основ безопасности бизнес остается подвержен большому риску, поэтому культуру безопасности нужно начинать развивать с самых низов. При этом важным аспектом в такой культуре должен стать статус службы по информационной безопасности», — считает эксперт.

    Сотрудники ИБ должны быть не «пугалом», а союзниками для пользователей. Кроме того, важно их умение объяснять и обучать. Благодаря такому подходу безопасникам удастся получить доступ к информации о возникающих угрозах заблаговременно от самих же пользователей.

    «Проводите короткие встречи-презентации для руководства о базовых понятиях ИБ. Такой опыт даст понимание директорам необходимости выделения бюджетов на безопасность», — добавил Иван Бируля.

    По итогам дискуссии специалисты выделили несколько пунктов, которые могут взять на вооружение службы ИБ для повышения культуры безопасности:

    — короткие тренинги для топ-менеджеров на еженедельной основе
    — регулярное обучение сотрудников, включая тонкости социальной инженерии
    — внедрение политики ИБ
    — пентесты и регулярные учения
    — автоматизация процессов и применение правильных технических средств
    — стимулирование наставничества и обучение новичков нормам ИБ самими сотрудниками
    — подготовка легких и понятных обучающих материалов.

    В целом, служба ИБ в компании должна стремиться к формированию у сотрудников навыков безопасной работы. Отсюда вытекает и более всеобъемлющая потребность — навыки информационной безопасности должны формироваться государством у граждан еще со школы.

    Код ИБ 2019

    «Проводите учения с помощью имитации фишинговых атак. Вы, как безопасник, увидите, какова на самом деле ситуация с культурой ИБ у вас в компании. После этого можно собирать пользователей и рассказывать о результатах. Проведение просветительской работы на такой почве будет идти эффективнее», — говорит Олег Биль, руководитель Лаборатории исследования вредоносного кода Государственной технической службы. Кроме того, он добавил, что культура ИБ должна распространяться не только на пользователей, но и на разработчиков, которые отвечают за стабильность работы информационных систем. Если есть уязвимости в кодировании, то инциденты будут, несмотря на бдительность и квалификацию пользователей.

    Олег Биль рассказал об основных тенденциях, которые заметны сегодня в сфере ИБ. Одной из ключевых является усложнение атак и попытки обхода многих защитных технологий, включая учет песочниц. В мире вовсю идет развитие новых векторов атак, уязвимости обнаруживаются как в традиционных, так и в новых технологиях, в том числе — аппаратной части. Киберперступники в своих атаках используют легитимное ПО и скрипты. В целом заметен переток инструментов от более подкованных групп атакующих к менее квалифицированным. Это ведет к увеличению вероятности атак и снижению порога входа для злоумышленников. И что самое главное, современные методы атак достаточно быстро мигрируют в Казахстан, а значит — вопрос повышения знаний сотрудников компаний в сфере ИБ становится актуальным как никогда.

    Подписывайтесь на каналы Profit.kz в Facebook и Telegram.