Андрей Нуйкин, ЕВРАЗ: «Мы рассылаем фишинговые письма сотрудникам, чтобы научить их информационной безопасности»

Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем ЕВРАЗа и спикер Восемнадцатого международного форума «Трансформация корпоративного казначейства», рассказал CFO Russia о важности комплексного подхода в обучении информационной безопасности, поделился советами, как повысить осведомленность сотрудников.

Что, на ваш взгляд, должна включать в себя система информационной безопасности в казначействе?

Нужен комплексный подход, включающий организационные и технические мероприятия: правильная организация сетевого взаимодействия, применение средств защиты, документационное обеспечение. И очень большую роль играет обучение и повышение осведомленности пользователей.

Существуют ли кардинальные отличия от других функций в построении обучения информационной безопасности в казначейской функции?

Не думаю. Скорее, есть особенности, которые чуть более выражены. Любое обучение информационной безопасности должно включать разносторонние подходы: обучающие курсы (в казначействе они должны быть с уклоном в особенности этой функции: работа с банк-клиентами, финансовыми системами и т.д.), регулярное информирование посредством новостей или рассылок, связанных опять же с вопросами информационной безопасности – как корпоративной, так и личной. И еще один немаловажный фактор – практические учения, потому что голая теория, не подкрепленная практикой, не работает. Люди склонны забывать сухие правила. Тем более сотрудники казначейства и так загружены своей текущей работой. Поэтому пройденные теоретические курсы с большой вероятностью забудутся. А практические занятия позволят закрепить знания, показать реальность рисков и то, к каким серьезным последствиям они могут привести.

Какие обучающие мероприятия по информационной безопасности для сотрудников проводят в вашей компании?

У нас реализован комплекс мероприятий. Он включает обучающие курсы, информационные рассылки Вестника ИБ, и практические учения. В рамках учений мы проводим рассылку учебного фишинга. У нас есть система, где мы формируем специальное учебное письмо, которое выглядит как фишинговое. По сути оно таковым и является, просто его выгодоприобретатели – не мошенники, а служба информационной безопасности. Такие письма мы рассылаем всем сотрудникам. Обычно делим рассылки по департаментам, а иногда проводим и массовые по всей компании. Затем фиксируем, как сотрудники на это среагировали: сообщили в службу информационной безопасности, открыли письмо, нажали на ссылку, открыли вложение, прошли по ссылке, ввели свои учетные данные. Ответы сводятся в статистику, а с теми, кто не смог выявить фишинговое письмо, мы проводим дополнительные обучающие мероприятия и объясняем, в чем они ошиблись.

Ваш совет компаниям: на что стоит обращать первоочередное внимание при обучении сотрудников информационной безопасности в казначействе?

Во-первых, нужно обучать не только корпоративной информационной безопасности, но и личной: при работе со своими смартфонами, компьютерами, ноутбуками, использовании техники детьми и т.д. Это как техника безопасности: «Если на работе мы носим каску, защитные очки и т.д., то дома не пилим болгаркой с голым торсом». Безопасность должна быть везде. А зачастую люди не осознают, что их смартфоны и домашние компьютеры тоже нуждаются в защите, потому что там есть платежные данные, привязаны банковские карточки, личная почта. И все это может стать добычей злоумышленников.

Во-вторых, обучение желательно проводить с элементами геймификации, это не должно быть сухим повествованием, как в нормативных документах: «Пункт первый – вы должны, пункт второй – вы не должны». Желательно преподносить обучение в полуигровой форме на реальных примерах и наглядно показывать, к чему может привести то или иное невыполнение требований безопасности. Зачастую сотрудники не воспринимают конторский язык и не всегда понимают, в чем именно опасность: «Да, я это сделаю. А что такого?» Поэтому важно показывать наглядную причинно-следственную связь. Тогда сотрудники совершенно по-другому начинают смотреть на безопасность и понимают, что случайный переход по ссылке может повлечь за собой цепочку событий, которая в итоге принесет серьезный ущерб компании и самому человеку.

Задать свои вопросы Андрею и узнать больше об опыте ЕВРАЗа вы сможете на Восемнадцатом международном форуме «Трансформация корпоративного казначейства», который состоится 27-28 октября 2022 года.

Мария Кириченко

Комментарии