Представляем вам текстовую версию третьего выпуска АльфаПодкаст. В нём продуктовый маркетолог Андрей Петренко и менеджер продукта АльфаИнтенсив Анна Егорова расскажут о том, какие угрозы для организаций несёт низкий уровень осведомлённости сотрудников о киберугрозах и о том, как повысить уровень киберграмотности.
— добрый день, уважаемые подписчики. Мы продолжаем наш АльфаПодкаст. Сегодня у нас новый выпуск, посвящённый такой актуальной теме, как фишинг. Что это такое, как это сейчас происходит в России? Сегодня мы будем разговаривать с менеджером продукта Анной Егоровой. Аня, привет!
— привет, Андрей!
— ну и давай сразу начнём. Как вообще изменились киберугрозы за последнее время? Что вообще происходит?
— могу сказать, что из актуального — это очень много атак именно вымогательств, когда в организацию попадает какой-нибудь шифровальщик, он шифрует файлы, из-за чего организация не имеет к ним доступ. И чтобы вернуть доступ, необходимо заплатить выкуп. Это очень частый случай, более 50% ситуаций в 2024 году были из этого разряда. В 2025 году, уверена, будет не меньше. Также были атаки с помощью искусственного интеллекта — вредоносного программного обеспечения на основе ИИ. Они также проникают в организации, их довольно сложно обнаружить, они быстро адаптируются, обучаются и наносят урон очень большой организации.
— про искусственный интеллект мы поподробнее поговорим ещё. А обучение сотрудников — насколько я понимаю, это, наверное, вот то, что наиболее важно сейчас для того, чтобы предотвратить эти атаки. Так?
— действительно, всё так.
— почему теоретическая история, которая достаточно активно продвигалась, больше не работает? Либо работает, но не так эффективно, как раньше?
— да, она действительно неэффективна в связи с тем, что злоумышленники становятся всё более продуманными. Они понимают, что техническая защищённость организации всё сильнее и сильнее, а человеческий фактор, о котором, думаю, тоже важно упомянуть, он всё равно присутствует. Кибергигиена в нашей стране низкая, многие сотрудники необученные, из-за чего риски попасться на фишинг довольно высоки. И получается так, что нужен именно практический опыт, чтобы избежать кибератак и утечек данных.
— очень интересный термин — кибергигиена, который ты сейчас употребила. Я думаю, что большинство наших зрителей, наверное, уже слышали о нём, а кто-то, возможно, нет. Можешь вкратце сказать, что это такое?
— кибергигиена — это поведение сотрудника, в киберпространстве, его понимание, как всё обустроено и как себя вести.
— почему всё-таки человек, несмотря на все технические средства защиты и так далее, остаётся главной проблемой, главным слабым звеном в построении системы защиты?
— кибератаки сейчас направлены не на системы, а именно на человека. Получается, злоумышленники понимают, что проникнуть в организацию проще именно через сотрудника. Они присылают ему фишинговое письмо, в котором есть какая-то срочность, страх. Возможно, «руководитель» пишет: «Пришли мне, пожалуйста, сейчас все данные нашей организации. Срочно потребовали проверке». Следовательно, он доверяет своему коллеге, своему руководителю и присылает всё, потому что там срочно горит. И как раз, если нет какой-то кибергигиены, нет навыков распознавания таких довольно простых, намёков на то, что это может быть фишинг, то можно попасться довольно просто.
— а что вообще из себя представляет фишинг?
— фишинг — это кибератака, во время которой злоумышленники представляются каким-то известным брендом или доверенным лицом и просят прислать какую-нибудь личную информацию: паспортные данные, логины и пароли во внутреннюю систему. Главная проблема фишинга в том, что он массовый и довольно простой в осуществлении. Именно поэтому он и остаётся, наверное, самым опасным и лидирующим среди других видов атак.
— какие вообще виды фишинга бывают? Есть ли какие-то всевозможные способы проведения такого рода атак и чем они друг от друга отличаются?
— фишинг разделяют на две категории: целевой фишинг и фишинг массовый. Целевой фишинг отличается от массового тем, что он более целенаправленный: там изучают заранее организацию или человека, на которого собираются провести атаку. То есть разведка проводится более качественно. И уже там приходят письма, которые вызывают больше доверия, и человек может просто не заметить отличия от обычных писем, которые ему приходят. Ещё есть отличия по каналам доставки. Это может быть по SMS — смишинг, через телефонный звонок — вишинг. А самый популярным методом остаётся по электронной почте. Сейчас ещё набирает популярность взаимодействие с жертвой через социальные сети и мессенджеры.
— ты назвала достаточно много видов. Я вот, например, только про фишинг знал. А есть ещё вишинг и смишинг. А злоумышленники, в какую сторону они развиваются?
— атаки стали более персонализированные. Можно больше встретить атаки, в стиле: «Здравствуйте, фамилия, имя». Это во многом ещё связано с тем, что сейчас происходит много утечек данных, и этим активно пользуются злоумышленники. И не последнюю роль сыграло именно развитие искусственного интеллекта.
— получается, если раньше такие письма были более примитивные и их можно было распознать, то сейчас искусственный интеллект делает настолько качественные письма, что их просто нереально различить. Снимается самое, наверное, явное отличие — низкое качество.
— всё верно.
— то есть получается, что «благодаря» искусственному интеллекту появились новые способы фишинговых атак. Давай поподробнее про то, как это всё работает?
— наверное, наиболее актуальные из угроз — это дипфейки: голоса, видео. Это всё создаёт акт доверия, человек выполняет всё, что требует злоумышленник, а это оказывается просто видео, которое создали с помощью дипфейка. Я вот читала новость, что сейчас даже активно идут звонки, а-ля социальный опрос, чтобы просто записать голос человека. Вот тебе звонят, ты разговариваешь, они запоминают твой голос и в дальнейшем его используют для дипфейка. Ещё, помимо этого, делают сейчас очень качественные письма: договора, счёта или письмо из министерства. Ну люди и верят: «Там же печать, герб стоит. Ну, наверное, правда». А потом бац, оказывается, то, что почта-то не настоящая, и вообще всё это дело рук злоумышленников.
— хорошо, ты сказала, что вариативность существенно увеличилась, персонализированность увеличилась, но всё-таки всё это направлено на людей. И поведение людей, оно, наверное, типизировано. Какие типичные ошибки совершают сотрудники? Есть ли что-то из типичного? Или каждый человек ошибается по-своему?
— типичные ошибки действительно есть. Это, например, то, что они не проверяют почту, с которого пришло письмо.
— имеешь в виду адрес?
— да. Например, письмо от Госуслуг. Вам говорят, что срочно нужно сменить пароль, перейти по ссылке, а там стоит отправитель какой-нибудь "@gos-uslu.gi". Отличие может быть в дефисе или в точке, но это отличие. И если его заметить сложно, но реально, если просто знать, как выглядит настоящий, или даже загуглить и посмотреть, от Госуслуг с какого почтового адреса приходят письма, то можно как-то обезопасить себя. Это самая популярная уловка, на которую попадаются пользователи.
— вообще можно научить людей смотреть на адрес отправителя?
— конечно. Это всё именно такой практический навык, который нарабатывается с опытом.
— какая следующая типичная ошибка?
— также кликают по ссылке. Вот вам говорят перейти по ссылке, заполнить такие-то данные. Можно просто навести мышку и посмотреть, какая ссылка там отображается. Вполне вероятно, что ссылка, отображаемая в письме, отличается от реальной, по которой мы пройдём, нажав на неё. Опять-таки злоумышленники могут создать максимально правдоподобно.
— я правильно понимаю, в тексте будет написано, например, gosuslugi.ru, но при переходе это будет совсем не Госуслуги?
— да, возможно, сайт очень похож на Госуслуги, но данные там мы будем вводить именно для злоумышленников.
— то есть получается, что людей надо тренировать?
— да.
— практические методы обучения, какие они бывают и почему они, действительно нужны в дополнение к теории? Или вместо теории?
— теория даёт знания, но не формирует привычки. А здесь крайне важно уметь поступить правильно в ту самую секунду, когда ты увидел сообщение, нужно в моменте остановиться и подумать. И после первого подобного опыта, когда есть какая-то симуляция фишинговой атаки, когда сотрудникам предоставляется возможность на себе ощутить, как это всё происходит в реальной жизни, они становятся более осторожными. В первый раз они, понятное дело, могут допустить ошибки, но в последующем они уже с большей осторожностью начнут относиться к этому, начнут смотреть на отправителя, не станут сразу переходить по ссылке и открывать вложения тоже. Вообще, ссылки проверять довольно просто: есть очень много бесплатных сервисов, которые позволяют просто проверить на безопасность. Мы буквально формируем поведение быть более осторожными.
— если во время рабочего дня тебе приходит десятки писем, неужели ты после такого практического обучения будешь внимательно относиться к каждому письму?
— да, такая проблема реально существует. Но, опять-таки, здесь нужно уметь адаптироваться, выделить какие-то базовые приметы и на их основе уже действовать. Уверена, что ссылки не так часто людям отправляют. Ссылки всегда недоверие вызывают. Вот у меня теперь точно, я сейчас во всю эту тему вникла. Мне, когда какие-то ссылки приходят в сообщениях, я всегда с осторожностью отношусь и первым делом иду проверять, а только потом уже прохожу по ним.
— можешь как-то с примером привести случаи жизни, как вообще сотрудники реагируют на первое фишинговое письмо? То есть, когда начинается эта та самая практика.
— могу немножко своими историями. Мы же в организации проводили вот эту всю историю.
— действительно, мне пришло письмо якобы с Госуслуг, и прямо сердечко-то ёкнуло. А другие люди как на это всё реагируют?
— был опыт, когда сотрудники получали подобные фишинговые обучающие письма, и их реакция была следующая: те, кто попались, испытывали лёгкое такое смущение, думали, что я не попадусь. Были те, кто воспринял идею обучения положительно, даже если они попались, Помимо этого, были ситуации, когда обращались в отдел ИБ, говорили: «Нам приходят такие-то подозрительные письма, посмотрите, пожалуйста». Понятное дело, наши ИБ-специалисты знали об учебной атаке, но было приятно знать, что есть сотрудники, которые с осторожностью относятся к подобному виду атак.
— что нельзя сформировать теорией? Что формируется только на практике?
— на практике формируется опыт поведения при получении подобных писем. Становится проще на лету понять, это реальное письмо или письмо именно от злоумышленников. Формируется навык распознавания. И со временем становится проще, даже когда новые виды атак появляются, человек уже готов морально и уже через призму своих знаний смотрит на полученное письмо и понимает: «Ага, оно какое-то подозрительное. Я о таком, конечно, не слышал, но я отнесусь к этому с осторожностью». Такое приходит именно с практикой.
— что из обучения наиболее эффективно сегодня?
— крайне важно, чтобы это было практико-теоретическое обучение. Без практики теория плохо усваивается, и очень важна регулярность. Проводить раз в год уже недостаточно. Нужно проводить хотя бы раз в месяц, раз в два месяца.
— раз в месяц, так часто?
— я считаю, что это полезно. Со временем сотрудники привыкнут, и они будут с осторожностью относиться ко всему этому.
— так, раз в месяц. Это прямо часто. И наверное, сделать это вручную, не представляется возможным. А вот что нужно сделать, грубо говоря, прямо с завтрашнего дня начать проводить такого рода мероприятия в организации?
— смотря какие ресурсы есть у самой организации. Возможно, у неё есть ресурсы на то, чтобы здесь и сейчас у них какой-нибудь отдел сформировал для них мини-лекции, а они могут провести мини-обучение для сотрудников и периодически его повторять. Также можно провести какую-нибудь простенькую симуляцию атаки, чтобы посмотреть, как сотрудники реагируют.
— как лучше сделать? Сначала провести симуляцию атаки и потом уже обучать или сначала обучить. Как эффективнее?
— я думаю, именно чтобы сравнить показатели, понять, насколько сотрудники вообще были изначально готовы или не готовы к подобным рискам, можно было бы посмотреть сначала именно на итоги практической симуляции фишинговой атаки, чтобы получить какие-то первые результаты, понять вообще, как обстоит ситуация здесь и сейчас. Потом провести обучение и посмотреть, насколько хорошо усвоили сотрудники полученные знания.
— мы с тобой сегодня говорим про обучение. А, обучение, конечно же, начинается не на работе, не в организации, а значительно раньше. Тем более обучение профильных специалистов по информационной безопасности. Где и когда оно начинается? В университетах и только ли в университетах? Где вообще учат этому?
— это начинается во многом именно в университетах, либо в среднем профессиональном образовании. Почему это важно? Потому что при подготовке высококвалифицированных кадров важно соответствовать тем требованиям, которые существуют у нас сейчас в России, а это знание обеспечения безопасности ПДн и ГИСов. Все эти знания очень нужны студентам, чтобы после обучения пошли работать, у них было понимание всего этого, было проще войти в рабочий процесс. Да и в целом, если у них есть практика, их охотнее берут к себе организации.
— ты сказала, что подготовка начинается на уровне среднего профессионального и на уровне высшего образования. Достаточно ли этой подготовки? Мне кажется, что всё равно чего-то не хватает при выпуске студентов, когда они приходят в реальные организации и сталкиваются с реальными проблемами, как внутренними, так и внешними, с теми же угрозами, например. Вот чего не хватает сегодня выпускникам в большей степени?
— выпускникам, наверное, именно опыта: как это всё работает в живых компаниях, как обрабатывают ПДн, как взаимодействуют с ГИСами, как вообще там эти внутренние процессы и их работы. И, если студенты имеют этот опыт, им проще освоиться на работе, да и в целом они минимизируют возможность создания каких-либо инцидентов, связанных с тем, что они неправильно их отработали.
— а где они этот опыт приобретут?
— во многом либо самостоятельно что-то изучив, в университете могут дать знания, либо живой опыт работы в компаниях.
— подходы к обучению. Все ли они актуальны сейчас? Действительно ли мы можем говорить, что на текущий момент обучают так, как нужно, либо что-то устарело?
— мне кажется, устарело всё то, где нет практики. Без практики, это всё в голове не остаётся. Всё забудется довольно быстро. Когда есть опыт, люди знают, как с этим работать, и потом в работе будет легче ориентироваться в случае возможного фишинга. Сама организация потратит меньше ресурсов на то, чтобы обучить сотрудника.
— давай тогда к организациям перейдём. Как в современных условиях компании, вне зависимости от их размеров и выручки, от количества сотрудников и так далее, как выстроить на своей базе вот эту систему обучения? Здесь, наверное, стоит упомянуть о том, что у нас есть предложение для того, чтобы эту комплексную систему выстроить. Расскажи, пожалуйста, как это сделать и как это можно сделать с помощью нашего программного продукта?
— я считаю, что крайне важно воспользоваться теми средствами, которые есть здесь и сейчас на рынке. АльфаИнтенсив — это приложение, которое помогает повысить осведомлённость сотрудников внутри организации с помощью обучения как практического, так и теоретического. Как раз там можно моделировать фишинговые атаки, например, написать «от имени» Госуслуг или мессенджера Макс. Мы максимально стараемся следить за тем, что актуально здесь и сейчас. И уже на основе этого сотрудники тренируются, понимают, есть ли какие-то проблемы и обучаются при необходимости. У нас есть курс по противодействию фишингу, где подробно всё расписано. Также уже есть возможность создавать собственные курсы, добавлять их в дальнейшем и обучать сотрудников.
— АльфаИнтенсив — это программный продукт, который устанавливается куда-то? Это облачный сервис или можно на сервере у себя в компании установить?
— если смотреть на фишинговый модуль, это именно on-premise решение. Но если есть запрос на теоретическое обучение сотрудников, то есть возможность облачной установки.
— то есть это подписка, которую ты оплачиваешь и получаешь возможность обучать своих сотрудников? Там уже есть какие-то готовые курсы?
— да, наш отдел знаний формирует курсы. На данный момент готов курс по ПДН, также планируется курс по ГИСам, он сейчас активно разрабатывается. Помимо этого, есть курс по противодействию фишингу. Мы планируем в следующем году как можно больше расширить каталог.
— то есть, если стоит задача только обучать, повышать осведомлённость, информированность, то это можно сделать и в облаке? А если стоит задача уже проводить какие-то симуляции фишинговых атак, это должно находиться на вычислительных мощностях организации, которая всё это хочет делать?
— всё верно.
— ещё ты сказала, что есть возможность собственные курсы создавать.
— эта возможность тоже только для тех, кто на своих мощностях разворачивает продукт. Такой вариант раскрывает все возможности полного функционала.
— АльфаИнтенсив каким-то образом можно использовать для подготовки студентов в рамках кафедр?
— можно использовать курсы, которые у нас там есть, это ПДН, ГИС и в дальнейшем другие курсы. А уже получить опыт практический можно с помощью другого нашего продукта — АльфаДок. Как раз там будет работа и с ПДН, и с ГИСами, и разработка документации, и прочее.
— спасибо большое за содержательный разговор. Напоследок давай важную мысль, которую стоит запомнить нашим подписчикам.
— хочу отметить, что в современном мире кибербезопасность начинается не с технической оснащённости организации, а именно с человека. Именно обучение на практике, а не только на теории, крайне важно для того, чтобы защитить вашу организацию.
Оставить заявку на тестирование АльфаИнтенсив вы можете на странице приложения.
