Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
Повышение киберграмотности пользователей, кибергигиена, основы безопасного поведения в Сети, повышение осведомлённости сотрудников… и куча других названий, под которыми скрывается боль сотрудников отдела информационной безопасности. Внезапно оказывается, что регламенты и должностные инструкции – это хорошо, но недостаточно. И надо бы как-то ещё научить сотрудников делать хорошо и не делать плохо. Увы серебряной пули здесь нет. Хочу поделиться советами на основе собственного опыта о том, как сеять умное-доброе-вечное.
Формы и форматыВначале пара слов о формах и форматах. Порой можно встретить информацию, что для вопросов ИБ-обучения разницы между этими двумя словами нет. Склонен не согласиться. К форматам обучения предлагаю относить следующие активности:
инструктаж;
наглядная демонстрация;
тренинги и игры;
киберучения.
При инструктаже сотрудник выступает в пассивной роли. Ему надо прочитатьпослушатьпосмотреть. Например, изучить должностную инструкцию. В общем, «ознакомься и распишись здесь».
Наглядная демонстрация – это прокачанный инструктаж. Работник по-прежнему не участвует в процессе. Разница в преподносимом материале. Больше практических примеров. Больше реальных историй из жизни. Больше наглядной демонстрации. Это может быть, к примеру, вебинар, в рамках которого показываются в том числе скриншоты новостей, видеоролики и т.п.
Тренинги и игры отдают бразды правления пользователям. Они теперь выступают в активной роли. Получают задания, выполняют их. Возможно, обсуждают полученные результаты.
Наконец, киберучения. Главное отличие этой «игры» в том, что сотрудник не знает, что он играет. Грубо говоря, сперва попался на фишинговое письмо, следом получил оповещение и ссылку на обучение.
Каждый формат может быть представлен различными формами. Например, игра может быть текстовым квестом, викториной, браузерной игрой с элементами «королевской битвы» и т.п.
По итогу выбор для реализации формата и формы зависит от нескольких переменных. В первую очередь от:
денег;
времени;
знаний.
Дело в том, что если мы хотим достучаться до сотрудников, то какой-то одной "универсальной" связки формат-форма может не хватить. Люди разные и то, что хорошо заходит одним, крайне плохо усваивается другими. Кому-то достаточно нормально написанного документа, а кто-то может воспринимать информацию только в видео-формате.
Ниже собраны различные варианты донесения мысли о криптостойкости паролей с весьма условным разделением по категориям сотрудников.
Для впечатлительныхЧасто разработчики онлайн-сервисов при регистрации пользователя подсказывают ему, насколько хороший пароль тот придумал. Одни показывают, годен пароль или не годен. Другие визуализируют взломостойкость в «тестовых полосках»: в зависимости от сложности пароля они меняют цвет с красного на желтый и зеленый. Есть такие, которые указывают приблизительное время взлома вашего пароля.
Соответственно, можно использовать те или иные базысервисы, чтобы продемонстрировать сотрудникам несколько мыслей:
Пароль, который кажется крутым и оригинальным, на самом деле таким может не являться.
Пароли перебираются быстрее, чем пользователь думает.
Сервисы иногда привирают о криптостойкости пароля.
1. Отправим на проверку заведомо плохой пароль, который представляет собой известную фразу «мама мыла раму». Напишем ее, как это принято при вводе паролей, латиницей и в одно слово (vfvfvskfhfve). «Калькулятор» светится красным и предупреждает, что пароль взломают быстрее, чем вы успеете сказать «ой».
2. Теперь подключаем бабушку к мытью рам, заменив слово «мама» на «бабушка» (,f,eirfvskfhfve). И вот у нас уже «хороший пароль», который «будут взламывать 3261 век». (Пару месяцев назад было ещё нагляднее, потому что достаточно было поменять "мама" на "мамы" и "подбор займёт 4 века").
Для впечатлительных, но пытливыхДля тех, кому в аудитории не хватает авторитета, – коллеги . Но главное – он должен побудить поднять свою креативность на новый уровень.
Тем, кто предпочитает практиковатьсяЭтой категории можно наглядно продемонстрировать силу брутфорса. С точки зрения этики сомнительно обучать навыку взлома, но можно показать это «из своих рук» (вы и без меня знаете названия доступных программ) и рассказать основные принципы их работы.
Главное же – показать идею, что если человек использует паттерны (шаблоны), то это легко увидеть (утечек за последнее время – бери не хочу). А зная паттерн, сгенерировать на его основе словарь – плёвое дело.
Для примера (потому что виртуальная машина слабая), возьмём связку 4 любых буквы+год рождения. Быстро при честном народе генерируем словарь. Быстро подключаем перебор по словарю. И вот результат: в нашем случае, как видно из скриншота, на подбор ушло чуть больше 12 минут.
Выводы
В сети вы найдете еще множество полезных ссылок на иллюстрации, тренажеры, лайфхаки. Так что не нужно всё разрабатывать с нуля самостоятельно. Скорее нужно всё правильно организовать. Приемы, которые я описал, это только примеры того, как можно впечатлить впечатлительных, озадачить вдумчивых. То есть найти правильный подход, чтобы вовлечь пользователей в решение той или иной проблемы. Успехов вам в обучении. Если у вас нет времени или возможности обучить сотрудников своей компании, обращайтесь – мы проводим курсы по правилам ИБ бесплатно, посмотреть подробности и оставить заявку можно по .
