Низкий уровень знаний сотрудников в области безопасности — один из факторов, которые повышают вероятность возникновения всяческих инцидентов, в том числе серьезных, приводящих к значительному ущербу. И предприятия финансового сектора, в том числе страховые компании, особенно уязвимы в данном отношении, ведь традиционные мошенники очень часто используют ИТ-инструменты в своей деятельности, а хакеры применяют средства социальной инженерии, позаимствованные из арсенала шпионов и преступников «старой школы». Именно поэтому обучению самых широких масс сотрудников и отводится такое большое внимание в стандартах по обеспечению информационной безопасности, в частности, ISO 27001. О том, как организован этот процесс в страховой компании РОСНО, которая одной из первых в России была сертифицирована на соответствие ISO 27001, мы беседовали с Дмитрием Барановым, директором по информационной безопасности Центра информационных систем и технологий.
Intelligent Enterprise: Кто обучает сотрудников РОСНО соблюдению норм информационной безопасности? Это происходит отдельно от программ внутрикорпоративного обучения или включено в них?
Дмитрий Баранов: Мы предусмотрели два типа программ обучения. Одна из них реализуется при приеме на работу, она едина для всех и проводится в форме инструктажа. По итогам такого инструктажа вновь принятые работники расписываются в специальном журнале, подтверждая, что они прослушали вводный курс по информационной безопасности и ознакомились с базовым пакетом нормативной документации. Это вполне стандартная процедура. Программа дистанционного обучения ориентирована на уже действующих сотрудников. И ее содержание может варьироваться в зависимости от специфики подразделения и функциональных обязанностей работника. Тут объем информации существенно больше. Особенно для ИТ‑специалистов, которые обслуживают бизнес-критичные информационные ресурсы. После прохождения этого курса проводится тестирование.
Первую процедуру нельзя назвать исчерпывающей, но мы знаем, что ее прошли все. Вторая — уже более специализированная, и мы можем статистически оценить, насколько глубоко наш персонал понимает, что от него требуется по поддержанию информационной безопасности. Мы видим, на каком уровне находятся знания сотрудников по их ответам на тестовые вопросы.
Программа дистанционного обучения также более сегрегирована. В нее включены курсы, обязательные для всех. Однако созданы и курсы, ориентированные на сотрудников ряда рабочих зон. Эти зоны охвачены системой управления информационной безопасностью, сертифицированной по ISO 27001. Для таких сотрудников объем курса получился несколько больше. Например, тренинги для сотрудников кадровой службы включают отработку целого ряда организационных вопросов, для разработчиков — требования по безопасности при создании приложений. Создан и курс, ориентированный на руководство компании (уровень заместителей генерального директора). У этой группы нет возможности посвятить много времени изучению всего курса, поэтому для них мы разработали специализированную, «ужатую» программу. К тому же руководители не всегда сами работают за компьютером, немало задач перекладывается на референтов, так что доводить до них правила работы с почтой, Интернетом, внешними накопителями часто нет необходимости. Но мы их предупреждаем, что работа может несколько замедляться, а процедуры — усложняться вследствие особенностей функционирования ПО, автоматизирующего процедуры контроля ИБ, в частности систем предотвращения утечек информации.
При этом есть возможность отследить своевременное прохождение этих курсов дистанционного обучения всеми сотрудниками. На тех, кто по тем или иным причинам от него уклонится, мы сможем оказать организационное воздействие. Мы рассчитываем проводить такое обучение один раз в год. Со следующего года оно впервые будет реализовано на уровне всей компании.
Используются при этом какие‑нибудь нестандартные приемы или технологические решения?
Самым нестандартным решением стала наша система дистанционного обучения. Она развернута в интрасети. Создан специальный Web‑сайт, доступ к которому из внешних сетей (сетей региональных филиалов) организован посредством VPN. Надо учитывать масштабы задачи, ведь обучение должны пройти все сотрудники, в том числе в регионах, включая самые отдаленные. Необходимо также обеспечить контроль знаний. Но при этом у нас нет возможности ездить по всей стране.
Хотя, пожалуй, это не такие уж нестандартные методы, ведь их используют многие территориально распределенные компании. Для создания системы использован тиражный продукт компании LabSoft, пусть и с некоторыми нашими доработками. Более нестандартными можно считать те решения, которые мы используем для функциональных тренингов продавцов, в частности решения с применением средств удаленного управления.
Многие угрозы (в том числе связанные с быстро распространяющимися вредоносными программами) требуют оперативной реакции. Как удается в максимально короткие сроки донести до персонала информацию о действиях при возникновении той или иной нештатной ситуации? Что делается в РОСНО для этого?
Тут стандартная процедура — оповещение по электронной почте. В случае той или иной нештатной ситуации, например эпидемии какого‑либо вируса или прочего программного вредоноса, от имени дежурного специалиста идет рассылка всем сотрудникам с детальными инструкциями, как действовать при появлении определенных симптомов, к кому обращаться. Рекомендации в таких ситуациях, как правило, стандартны. В последнее время такой способ информирования стал использоваться и при возникновении вопросов общей безопасности. Например, это может быть информация об активизации тех или иных мошенников с указанием того, по какому сценарию они действуют и в каком регионе.
При этом мы регулярно следим за появлением новых угроз безопасности. Это касается новых вирусов и сценариев всевозможных атак. И если такие угрозы начинают реализовываться в России или в других структурах нашей материнской компании Группы Allianz, мы оповещаем всех сотрудников, которых так или иначе эта угроза касается. При обнаружении новой уязвимости в том или ином продукте оповещение будет более локальным. Оно коснется только ИТ‑специалистов, которые обслуживают соответствующую систему или сервис, где используется данный продукт.
Как вы адаптируете ваши программы к тому, что ситуация меняется? Например, сейчас очень популярно сводить счеты, подводя «обидчика» под нарушение закона «О персональных данных» с помощью рассылки специальным образом составленных заявок, содержащих персональные данные высокой категории, о которых сообщается регуляторам. Как вы доводите до своих сотрудников рекомендации о дальнейших действиях?
Насколько мне известно, страховщикам пока не часто приходится сталкиваться с такими ситуациями. На нашем рынке нет жесткой модели документооборота. К тому же у РОСНО, например, около 40 информационных систем разной направленности. Среди них несколько систем документооборота, а страховым учетом занимается не меньше 10. В какую из них попадет такая вот заявка без глубоких знаний информационного ландшафта РОСНО, заранее предсказать достаточно сложно. Поэтому, чтобы задействовать такой сценарий, нужно очень хорошо знать наши системы «изнутри».
Однако если подобные действия примут действительно массовый характер, мы постараемся учесть и эту ситуацию. Наш курс включает в себя основы обращения с персональными данными. Например, до наших сотрудников доводится предостережение, что нельзя пересылать в открытом виде медицинские данные клиентов. А вот о том, можно ли пересылать персональные данные более низкой категории, например паспортные, вряд ли с ходу ответит даже специалист. В законодательстве этот момент изложен очень расплывчато.
С появлением новых законодательных актов наш курс дополняется. Причем происходит это оперативно.
В кризис очень многие компании, чтобы снизить затраты, сокращали программы корпоративного обучения. У вас было так же? А если да, то насколько пострадали курсы, посвященные безопасности?
Программы, посвященные безопасности, кризис не затронул. Вместе с тем именно моменты, связанные со снижением затрат привели нас к необходимости внедрения системы дистанционного обучения. Эта же система используется для других курсов внутрикорпоративного обучения, не связанных с информационной безопасностью. Кроме того, наша система обучения стала более четко направленной. Раньше мы обучали людей при личном контакте, ставка делалась на аудиторное обучение. (Это касалось подготовки только лишь сотрудников специализированных подразделений.) А с появлением системы дистанционного обучения появилась возможность обучать всех.
Оценивается ли эффективность такого обучения? Влияет ли на нее специфика вашей компании?
Эффективность программ обучения безопасности может проверяться двумя способами. Один из них («прямой») — по снижению количества инцидентов, связанных с нарушением тех или иных норм и требований, которые были доведены во время обучения. Другой («косвенный») — по результатам ответов на тестовые вопросы. Это, конечно, менее информативно, но его проще организовать. Такая статистика собирается в системе дистанционного обучения. В результате всегда можно получить сведения о том, на какие вопросы не был дан ответ вообще, на какие ответ был неправильным, с какой попытки был сдан тест. Это позволяет отследить случаи, когда сотрудник не изучил должным образом ту или иную политику в области информационной безопасности. Мы можем заставить его пройти этот курс заново, тем более что для этого не надо покидать свое рабочее место — достаточно подтвердить свою осведомленность, успешно сдав тест. Остается лишь следить, чтобы пользователи соблюдали правила, которым их обучили.
Надо сказать, мы задумывались и над тем, чтобы оценить эффективность нашей работы в области обучения путем своего рода тестов на проникновение, в том числе с использованием средств социальной инженерии. Но это было не столь целесообразно из‑за особенностей кадрового состава. Приблизительно половина персонала является «старожилами», а около трети остальных постоянно меняется. В такой ситуации картина могла бы получиться сильно искаженной. Поэтому мы стараемся больше доверять объективным данным, получаемым из статистики по инцидентам ИБ в процессе ежедневной работы.