Новости / апрель 2019
Рубрики: Информационная безопасность

"Лаборатория Касперского" привьет навыки кибербезопасности

Влада Сюткина
© ComNews
02.04.2019

"Лаборатория Касперского" вывела на российский рынок автоматизированную платформу, предлагающую новый подход к организации тренингов по защите от киберугроз, - Kaspersky Automated Security Awareness Platform (ASAP). Данная платформа позволяет сформировать и закрепить у сотрудников навыки безопасной работы в цифровой среде. Как заявили в компании, стартовавшие в декабре 2018 г. продажи продукта в нескольких странах Европы говорят о его успешности. В России, где его реализация началась сегодня, компания-разработчик также рассчитывает на резкий прирост продаж.

По словам руководителя проекта Kaspersky Awareness Вячеслава Борилина, разработка облачной платформы Kaspersky ASAP длилась в течение полутора лет, а вложения в нее составили несколько миллионов долларов. Платформа будет развиваться и дальше - контентно (ее содержание будет частично обновлено, так как имеющиеся в ней истории должны быть "живыми") и тематически - в зависимости от пожеланий клиентов (в том числе касающихся тем обучения), а также станет доступна на дополнительных к восьми уже реализованным языкам. Определенное количество пожеланий дополнительных тем курса уже поступило в компанию, и работа над созданием обучения на некоторые из них уже ведется. К примеру, на такие темы, как защита конфиденциальных и персональных данных.

В настоящее время у Kaspersky ASAP уже есть первые заказчики - компании из ИТ и финансовых отраслей из Италии, Испании, Франции и Германии. В России в качестве потенциальных клиентов "Лаборатория Касперского" также видит компании из сферы ИТ, ретейла и финансов, а также и ряд других организаций - из области здравоохранения и государственного управления, но пока что цифры планируемых продаж не озвучивает. Реализовывать продукт "Лаборатории Касперского" на территории России будут практически все партнеры разработчика. При этом в планах "Лаборатории Касперского" - реализовывать также продукт в странах Ближнего Востока.

В разговоре с корреспондентом ComNews Вячеслав Борилин заявил, что платформа Kaspersky ASAP - уникальна. Основанием для данного утверждения, по его мнению, служит следующее: "Во-первых, такую систематизацию знаний в области кибербезопасности еще никто не производил. Во-вторых, такой уровень автоматизации для клиента больше нигде в подобных продуктах мировых конкурентов недоступен".

Что касается стоимости пользования Kaspersky ASAP, то, как сообщили в пресс-службе "Лаборатории Касперского", она представляет собой плату за годовую подписку на курс и варьируется в зависимости от количества обучающихся. Минимальное количество лиц для обучения курсу - пять человек. При таком количестве пользователей цена для одного человека за курс составит 4,3 тыс. руб. Если обучаться курсу будет 100 сотрудников компании, то цена за пользование платформой на каждого из них составит 3,2 тыс. руб.

Как объяснили корреспонденту ComNews в "Лаборатории Касперского", платформа Kaspersky ASAP располагает тренингами для всех уровней и функций организации - они поделены на несколько уровней, а именно - начальный, базовый, средний, advanced. Курс обучения, подразумеваемый платформой, рассчитан на год и представляет собой как обучение на практике (learning-by-doing), так и отработку реальных рабочих ситуаций. Он специально разбит на короткие занятия (от 2 до 10 минут), проводящиеся в удобном темпе, во избежание переутомления сотрудников. Каждый уровень курса включает интерактивный модуль, видео, упражнения на закрепление и проверку (тест или имитацию фишинговой атаки). "Один пройденный урок курса равен одному новому навыку. В целом же при прохождении полного курса приобретается 350 навыков", - сказали в "Лаборатории Касперского". Также платформа располагает обширной библиотекой обучающих материалов.

Отработка навыков в рамках курса построена следующим образом. Через четыре дня после прохождения теоретической части платформа автоматически рассылает письма с напоминанием пройденного материала, а еще через три дня предлагает пройти тест - проверку полученных знаний. Если тест пройден успешно, то через некоторое время пользователь получит письмо с симулированной фишинговой атакой. Такой подход обеспечивает надежное закрепление навыков и препятствует забыванию. Помимо выработки навыков, платформа Kaspersky ASAP создает у сотрудников мотивацию к обучению, повышает их осведомленность в области ИТ-безопасности и делает способными противостоять новым угрозам. Также платформа Kaspersky ASAP позволяет оценить текущие знания сотрудников в сфере кибербезопасности, определить в соответствии с этим набор навыков, необходимых именно им в зависимости от их рабочих обязанностей и профиля риска, выстроить график прохождения программы. "Например, рядовым сотрудникам необходимы лишь базовые умения, в то время как старшему менеджеру для работы с конфиденциальной информацией нужно знать, как обезопасить данные целого департамента", - пояснили в "Лаборатории Касперского".

В компании также добавили, что платформа Kaspersky ASAP построена с учетом особенностей человеческой памяти. "Во время каждого урока несколько раз делается акцент на ключевых сообщениях. Упражнения на закрепление представляют собой наглядные задания, применимые к повседневной работе сотрудника. Отработка навыков основана на принципе "от простого к сложному" - то есть пока проверка не будет пройдена, следующий этап тренинга не будет доступен. Такая структура позволяет наиболее эффективно запоминать и, самое главное, использовать полученные знания", - проинформировали в "Лаборатории Касперского".

Автоматизированное управление в Kaspersky ASAP, как указали в пресс-службе разработчика платформы, помогает компаниям контролировать процесс на всех этапах: от постановки цели до оценки эффективности. Благодаря удобной панели управления и подробным отчетам руководство компании всегда будет иметь информацию для оценки прогресса.

"Наша новая платформа Kaspersky ASAP - это эффективный онлайн-инструмент, который учит сотрудников принимать более безопасные решения в любой, даже неизвестной заранее ситуации. Кроме того, он легок в настройке и управлении, что повышает удобство и эффективность работы менеджера, ответственного за программу обучения кибербезопасности", - заявил Вячеслав Борилин, добавив, что главная цель тренингов платформы заключается не столько в том, чтобы просто повысить осведомленность сотрудников об онлайн-опасностях, сколько в том, чтобы развить у них навыки безопасного поведения и сформировать устойчивые привычки. "Ведь вариантов действий у киберпреступников - масса, и предусмотреть в инструкции все сценарии атак просто невозможно", - заметил Вячеслав Борилин.

Относительно причин разработки платформы Kaspersky ASAP Вячеслав Борилин сказал корреспонденту ComNews, что сделана она была в целях создания более эффективного продукта, чем предыдущие проекты компании в области обучения ИТ-безопасности, а также потому, что рынок обучения ИТ-безопасности растет.

"Атаки злоумышленников становятся успешными из-за того, что сотрудникам не хватает знаний в области информационной безопасности, и бизнесу необходимы эффективные средства для решения этой проблемы. Однако обычные обучающие программы чересчур сложны и утомительны, в результате чего тренинги не дают результатов: сотрудники быстро забывают полученные знания или вовсе не заканчивают программу обучения", - отметили в "Лаборатории Касперского". Другими недостатками обучающих программ, как заявили в "Лаборатории Касперского", являются упор на запреты, а не на необходимое в случае ИТ-опасности поведение; отсутствие у сотрудников мотивации к обучению и интереса во время него; сложная оценка эффективности тренингов.

В "Лаборатории Касперского" также указали на то, что человек - самое слабое звено в цепочке информационной защиты организации. По данным исследования "Лаборатории Касперского", 52% компаний по всему миру считают наибольшей угрозой системе корпоративной безопасности самих сотрудников, поскольку их действия могут скомпрометировать корпоративные данные. Из-за собственных ошибок, невнимательности и низкой цифровой грамотности сотрудники проходят по фишинговым ссылкам, используют небезопасные корпоративные пароли, самостоятельно пытаются бороться с вирусами-шифровальщиками и т.д. "Между тем ошибка одного сотрудника даже в секторе малого или среднего бизнеса обходится весьма недешево. Средний ущерб от успешной атаки для компаний СБМ-сегмента составляет 4,3 млн руб.", - заметили в "Лаборатории Касперского".

В ответ на соответствующее обращение в таких компаниях из сферы информационной безопасности, как Positive Technologies и ГК InfoWatch, корреспонденту ComNews сообщили, что обучающих ИТ-безопасности проектов у них нет. Директор по развитию компании "Ростелеком-Solar" Валентин Крохин заявил корреспонденту ComNews следующее: "Мы предлагаем собственный сервис по управлению навыками информационной безопасности, который позволяет проводить обучение и тестирование сотрудников с целью практической проверки их знаний. Имитируя фишинговые атаки, сервис выявляет сотрудников с недостаточным уровнем знаний и предоставляет необходимые курсы для повышения квалификации. В результате сотрудники учатся не попадаться на фишинговые письма, определять опасные сайты, защищать свои данные на мобильных устройствах, а также выбирать безопасные пароли. Хотя сервис запустился относительно недавно, мы уже видим высокий интерес к нему со стороны бизнеса".

Относительно знаний сотрудников в области ИТ-безопасности Валентин Крохин заметил, что тема повышения осведомленности пользователей об угрозах становится критически важной. "Сотрудники самых различных компаний ежедневно сталкиваются с атаками злоумышленников и по незнанию невольно помогают киберпреступникам проникнуть в инфраструктуру организации. О том, что человек по-прежнему остается слабым звеном в защите, знают и сами злоумышленники: по данным Solar JSOC, около 70% сложных целенаправленных атак начинаются с фишинга", - рассказал Валентин Крохин.