Кибербезопасный найм

В 2015 году хакерам удалось получить доступ в систему Центрального банка Бангладеша и за короткий срок похитить 81 млн долларов с помощью фейкового заявления о приеме на работу, которое было сохранено на компьютере HR-специалиста. О чем необходимо думать сотрудникам отдела кадров в контексте кибербезопасности и о каких мерах предосторожности нужно не забывать для защиты от хакерских атак?

Разобраться в этом нам помогает Паула Янушкевич, эксперт по информационной безопасности мирового класса, основатель компании CQURE.

Как эксперт нанимает экспертов

Для того чтобы понять, как правильно подойти к вопросу безопасного найма, мы обратились к примеру самой компании CQURE и узнали, как организованы HR-процессы там. Многие из названных аспектов оказываются применимы для любой узкой сферы, особенно в ИТ.

Паула Янушкевич: «Мы постоянно расширяем свою команду в ответ на рост угроз. Рекрутмент идет на разных уровнях – процесс найма каждого человека проходит в три или даже четыре стадии, и в этом задействована практически вся команда. Дело в том, что в нашем случае нужно не только проверить знания, но и протестировать реакцию человека в самых разных ситуациях. Представьте, что мы сталкиваемся с уязвимостью «нулевого дня»[1], и в этот момент наша главная задача как команды – помочь нашим клиентам. Поэтому в качестве одного из этапов мы проверяем, готов ли новый человек быть доступным даже во внеурочные часы для оперативных действий.

[1] Zero day vulnerability – уязвимость, о которой не было известно ранее.

Также мы проверяем готовность к сотрудничеству, поскольку командная работа очень важна в сфере кибербезопасности. Некоторые ситуации требуют интенсивной и тесной совместной работы двух специалистов. Каждый из них должен с одной стороны быть дружественным, с другой – не бояться сказать, что он чего-то не знает. В сфере информационной безопасности постоянно появляется что-то новое, и для нас важно, чтобы у кандидата было желание учиться и умение делать это быстро.

Ничто не сравнится с личным контактом, но, как и весь мир сейчас, мы тоже нанимаем сотрудников удаленно, и они приступают к работе в дистанционном режиме. Мы понимаем, что можем ошибиться в человеке, если ни разу не встретились лицом к лицу, и просто учитываем этот риск. Но, скорее всего, эта ошибка будет связана не с оценкой навыков, а с тем, насколько человек подходит команде».

Молодой талант или многолетний опыт

Паула не раз посещала Россию, и в 2017 году мы готовили интервью, в котором она сказала, что в ближайшее время ожидается дефицит специалистов, отметив, что настоящим экспертом может стать только практик. Спустя четыре года возвращаемся к этой теме и получается, что одной практики уже недостаточно.

Паула Янушкевич: «Специалисты в нашей сфере очень дороги. Это связано с тем, что экспертом становится лишь тот, кто прикладывает много усилий и усваивает большой объем информации. Но ситуация очень быстро меняется, и знания могут быть уже не релевантными для наших проектов. Мы часто нанимаем молодые таланты без опыта и растим их внутри компании. Это лучший способ гарантировать соответствие навыков и умений сотрудника нашим задачам. Базовые аспекты кибербезопасности совсем не новы, но хакеры постоянно придумывают что-то новое, поэтому мы должны кооперироваться и отслеживать новое всей командой.

Иногда человек приходит в информационную безопасность из ИТ, и тогда для перехода нужно лишь немного времени и пара хороших правильных тренингов, которых в мире, кстати, мало.

Если класть на одну чашу весов только 20-летний опыт, а на другую исключительно талант и желание учиться, тут сложно сказать, что будет лучше для компании. В идеале истина где-то посередине, но я все-таки склоняюсь к таланту, особенно если он жаждет разобраться в специфике бизнеса ИБ».

Безопасность гибридных рабочих процессов

Помимо важности обучения и адаптации сотрудников в новую эпоху, возникает вопрос, как противостоять новым вызовам кибербезопасности, которые стали актуальны при переходе на онлайн- и гибридные рабочие процессы.

Паула Янушкевич: «Чтобы коммуникация и весь рабочий процесс были безопасными, нужно обращать внимание на две вещи. И, кстати, это даже не зависит от перехода в онлайн, а относится к основам кибербезопасности. Первое, что необходимо любой компании, – это многофакторная аутентификация. Сейчас она стала еще актуальнее, потому что сотрудники получают доступ к инфраструктуре извне. И если вы по-прежнему используете пару «логин-пароль», то становитесь уязвимыми к атакам типа password spray[2]. Это простейшая атака, но для многих компаний она оказалась почти фатальной.

[2] Распыление паролей – вариант кибератаки с использованием распространенных паролей с целью получить доступ к нескольким учетным записям в одном домене за один раз.

Вторая важнейшая вещь – управление учетными данными (identity management), которое должно быть организовано по-умному. Не просто смотреть, куда сотрудник имеет доступ, это и так работает по умолчанию, а пытаться понять и предсказать те обращения к системе, которые не похожи на нормальную активность, чтобы распознать аномалию и заблокировать это подключение. Это непросто, потому что люди работают из дома, в дороге, из разных стран. Должна быть возможность настраивать условный доступ[3]. Это важно еще и с точки зрения теневого IoT (Интернета вещей) и теневого ИТ в целом. Во многих компаниях используются устаревшие компоненты инфраструктуры, открывающие возможности удаленного подключения. Решением будет только эффективная внутренняя сегментация, управление доступом, разрешение или запрет на просмотр конкретных ресурсов.

[3] Conditional access – возможность защиты, требующая соблюдения определенных критериев перед предоставлением доступа к контенту.

Кстати, еще одна потенциальная проблема – это бизнес-приложения с удаленным доступом, которые не принадлежат компании, а значит мы не можем влиять на уровень безопасности. Я вижу большие риски в их использовании, поэтому компания должна очень четко разграничивать вопросы доступа к ресурсам».

Общий кибериммунитет

Письма – дешевый, но по-прежнему эффективный способ входа для злоумышленников. И обмануть могут кого угодно, включая специалистов североамериканской компании RSA Security. 10 лет назад в отдел кадров RSA пришло письмо от известной рекрутинговой компании. Оно было очень похоже на настоящее, но распознать, что это фейк, удалось слишком поздно. Из-за этого инцидента компании пришлось менять 40 млн аппаратных ключей для клиентов уровня аэрокосмических компаний, а также понести репутационные и финансовые потери. С тех пор специалисты стали сильнее, но рынок в целом стал более уязвимым, до общего кибериммунитета далеко.

Паула Янушкевич: «Кибербезопасность – относительно новая сфера для бизнеса. Крупные компании пришли к пониманию ее важности постепенно, по мере своего роста. Это стало логичной главой в их развитии, они даже создают собственные ИБ-команды и проводят разнообразные мероприятия, включая учения Red team/Blue team[4].

[4] Red team/Blue team – метод оценки кибербезопасности путем имитации атаки. Red team атакует, Blue team пытается обнаружить проникновение.

Сейчас мы находимся на новом этапе развития информационной безопасности. Активизация хакеров в пандемию только подстегнула этот процесс. У нас есть много статистических данных, например, ФБР сообщило, что число зарегистрированных киберпреступлений увеличилось на 300%[5]. Причина заключается в том, что многие компании еще не создали собственные ИБ-команды плюс нет достаточного числа внешних экспертов. Вот почему мы в CQURE собираемся расти. Это своего рода логическое следствие этих событий. Абсолютно все увеличат инвестиции в кибербезопасность, чтобы соответствовать потребностям рынка. Кто-то еще не начал, кто-то находится в середине своего пути, но постепенно к этому придут все».

[5] https://www.ic3.gov/Home/AnnualReports

Удержание таланта

Найти классного специалиста или распознать молодой талант в области ИБ – это половина дела. А как с ним работать дальше.

Паула Янушкевич: «Все, кто инвестирует в команды по кибербезопасности должны иметь стратегию сохранения талантов. Потому что рынок предлагает настоящим экспертам широкие возможности. Вот почему важно убедиться, что все остальные факторы, связанные с работой специалиста по кибербезопасности в компании, обеспечены. Проверяйте вовлеченность членов команды, обеспечивайте ротацию позиций в отделе кибербезопасности или предоставьте специалисту дополнительныe преимуществa, которые заставили бы его остаться.

Если вы выращиваете талант, это тоже должно идти по плану. Возможно, стоит приобрести для него или неё подписку на ежегодные обучающие программы. И тут очень важен план на перспективу. Мы вложили деньги в этого человека, он работает на нас, выполняет свои обязанности, но в то же время рынок говорит: о, еще один хороший эксперт, почему бы нам просто не сманить его? На этот случай должна быть какая-то запланированная стратегия».

Человек или технология

С каждым годом цена ошибок по причине человеческого фактора растет, и эта проблема приводит нас к обсуждению перспектив использования систем на базе искусственного интеллекта в кибербезопасности.

Паула Янушкевич: «Я настоящий гик, поэтому с нетерпением жду, когда решения на базе квантовых вычислений смогут выполнить за нас многие операции и позволят выйти на новый уровень расчетов и прогнозов при предотвращении кибератак. Хотя я знаю, что это немного романтичное видение. И знаю, что это не избавит нас от необходимости искать нужных людей. Однажды нам придется пережить этот технологический сдвиг, но мы вступаем в него уже сейчас. Технологии многое делают для нас, а с другой стороны, у нас есть человек, который является оператором этой технологии и способен преобразовать ее в решения, специфичные для конкретного бизнеса, которые нам необходимо принять, чтобы отреагировать на инцидент. Уверена, что нам все еще нужно довольно много времени, чтобы доверять технологиям до такой степени, чтобы нам не понадобился человек на другой стороне. Я не думаю, что это случится скоро».

Дисциплина сознания

Пример Центробанка Бангладеша, с которого мы начали статью, иллюстрирует лишь одно направление атаки – использовать HR как точку входа. При этом есть информация, которая ценна сама по себе – персональные данные. Как-то раз отдел кадров медцентра Университета Питтсбурга был взломан, и таким образом утекли данные 65 тысяч человек. Но охотятся не только хакеры. В головах у людей пока не сложились правильные понятия о многих важных вещах, и кибербезопасность не исключение.

Паула Янушкевич: «Иногда люди принимают решения, основываясь на том, что они думают, а не на том, что должны знать. Знания могут не соответствовать потребностям рынка или тому, что происходит прямо сейчас. Но чтобы разобраться, нужно приложить усилия и дисциплинировать свой ум, иначе мы будем заняты решением несущественных проблем.

Кто-то может не заметить, что фишинг – это проблема номер один для многих организаций, и заняться усилением безопасности в какой-то другой области инфраструктуры. Это вопрос правильной расстановки приоритетов, который особенно важен для небольших компаний, ресурсы которых ограничены, а их главная цель в бизнесе – сделать свой продукт. Я бы сказала, что здесь очень важен выбор комплексного решения, которое не только снимает проблему номер один, но и обеспечивает безопасность платформы, позволяет отслеживать данные Microsoft Defender, мониторинг рабочих мест и систем, а также сообщает об этом в какую-то центральную систему, которую мы можем использовать. На основе таких данных принимается решение о количестве ресурсов, необходимых для эффективного управления безопасностью. Централизованный мониторинг, автоматизированное реагирование и выполнение различных «плейбуков»[6] хорошо работает в организациях различного масштаба, но особенно актуально для СМБ.

Я бы даже сказала, что когда мы принимаем решения по кибербезопасности, главный риск заключается в том, что мы можем взяться за решение проблемы, которая на самом деле не является проблемой номер один».

[6] Playbook – описание алгоритма действий по анализу и реагированию на определенный тип инцидента в области кибербезопасности.