Czego możemy nauczyć się w kwestii bezpieczeństwa od nowojorskiej policji?

Kiedy przeglądałem sesje na konferencji RSA 2020, moją uwagę przyciągnęło przemówienie traktujące o zwalczaniu cyberprzestęczpości na dużą skalę i postępach w egzekwowaniu prawa. Ponieważ uwielbiam serial Prawo i porządek, ale także cyberbezpieczeństwo, pomyślałem, że brzmi to jak realna wersja programu telewizyjnego o złym hakerze, ale rozgrywającego się w policji w Nowym Jorku (NYPD).

Nick Selby opowiedział wspaniałą historię. Nowy Jork ma duży problem z cyberprzestępczością — a dokładnie problem dziewięciocyfrowy. Wydawało się, że wszyscy padli już ofiarą cyberprzestępców, od oszustów telefonicznych po oprogramowanie ransomware i nigeryjskiego wujka potrzebującego pieniędzy.

Przeważnie ofiary dzwonią do nowojorskiej policji. Jednak za każdym razem, gdy funkcjonariusze podnoszący słuchawkę telefonu słyszeli takie słowa jak Bitcoin, w pierwszej kolejności odpowiadali, że nie zajmują się kwestiami cyberprzestępczości, a od tego są inne agencje, np. FBI.

Dla miasta wielkości Nowego Jorku był to spory problem. Selby o tym wiedział, podobnie jak jego przełożeni w tamtejszej policji, którzy poprosili go o pomoc w zmianie kultury i przeszkoleniu oficerów tak, aby zajmowali się również kwestiami cyberbezpieczeństwa.

Cała prezentacja urzekła mnie: opowiedziała, co zespół zrobił, aby powstrzymać cyberprzestępczość, a także jak pomagać ludziom odzyskać ich ciężko zarobione pieniądze. Historia nie jest moja, więc nie będę jej tutaj opowiadać, ale gorąco polecam obejrzenie wspomnianej prezentacji:

Jestem pod wrażeniem, w jaki sposób Selby pomógł zmienić tę kulturę i wyszkolił oficerów, aby zwracali uwagę na kwestie cyberbezpieczeństwa.

Każdy, kto prowadził szkolenia bezpieczeństwa, prawdopodobnie spotkał się z takimi pytaniami lub komentarzami, jak:

* Pracuję w branży finansowej, dlaczego powinno mnie to obchodzić?

* Pracuję w recepcji, dlaczego ma mi na tym zależeć?

* Jestem w dziale technicznym, znam kwestie bezpieczeństwa!

I mój ulubiony:

* O nie, znowu szkolenie z bezpieczeństwa?

Każdy zna to uczucie i czasami musi zrobić coś, co niekonieczne uznajemy za adekwatne do naszej pracy. Problem polega jednak na tym, że cyberbezpieczeństwo dotyczy wszystkiego. Oto tylko kilka przykładów z przeciętnego miejsca pracy:

• Finanse — dział, który zarządza pieniędzmi. Ile omówiliśmy oszustw, w których pieniądze zostały wysyłane na niewłaściwe konto?
• Recepcja — to osoba pierwszego kontaktu, która wpuszcza wszystkich do budynku. Ponadto ujawnia gościom dane logowania do sieci Wi-Fi. Jaką rolę odgrywa recepcja w procesie ochrony firmy przed ludźmi takimi jak ci oszuści, którzy podłączyli złośliwy sprzęt do sieci korporacyjnej?
• Dział techniczny — naprawia komputery i zarządza urządzeniami. Kto da Ci pamięć USB, gdy musisz przenieść prezentację PowerPoint z jednego komputera na drugi? Bez działu IT ludzie mogliby wykorzystywać taktykę polegającą na podrzucaniu dysków w biurach.

Można więc śmiało powiedzieć, że wszyscy pracownicy stanowią technicznie wektory ataku, ale zazwyczaj nie myśli się o nich w ten sposób.

Czego możemy się nauczyć od nowojorskiej policji?

Chociaż szkolenie z zakresu cyberbezpieczeństwa nie objęło tym razem pracowników korporacji, lecz policję w Nowym Jorku, zadania, wyzwania i wyznawane zasady były bardzo podobne:

• Nie komplikuj. Być może największym elementem sukcesu, jaki odniósł zespół NYPD, było to, że szkolenie było proste i konkretne. Liczba slajdów w sesjach treningowych nie przekraczała 20 sztuk. Planując materiały szkoleniowe dla personelu, upewnij się, że prezentują one jasne cele, aby pokazać uczestnikom szkolenia, dlaczego powinni się w nie zaangażować i jak odnieść sukces.
• Wzmacniaj ludzi. Innym fajnym podejściem, które zastosował Selby wraz z zespołem, było zaoferowanie aplikacji, dzięki której policja mogłaby rejestrować cyberprzestępstwa, ułatwiając sobie prowadzenie śledztwa. Nie musisz utworzyć aplikacji dla swojej firmy — zamiast tego znajdź sposób, aby pracownicy zaczęli praktykować to, czego nauczyli się podczas szkolenia. Jak mogą zgłosić coś podejrzanego? Jeśli otrzymają phishingową wiadomość e-mail, w jaki sposób mogą uniemożliwić jej rozprzestrzenianie się w całej firmie i gdzie powinni ją wysłać?
• Pokaż wyniki. NYPD rejestruje wszystko, co może, a dzięki temu programowi wydział zaczął mierzyć kwestie związane z cyberprzestrzenią. W efekcie policjanci mogli zobaczyć, że ich praca faktycznie pomaga zidentyfikować więcej przestępstw na ich terenia. Mogli również zobaczyć skalę problemu oraz swoją pomoc na rzecz walki z cyberprzestępczością. Twoi pracownicy mogą nie walczyć z przestępcami, ale możesz pokazać im, że ich świadomość w kwestii cyberbezpieczeństwa jest naprawdę pomocna. Na przykład udaremnienie dziewięciu ataków ransomware lub zablokowanie 200 phishingowych wiadomości e-mail w ciągu roku to dobry wstęp do takich regularnych rozmów.

Szkolenie nie musi być zaawansowane technologicznie ani drogie. Dzielenie się wewnętrzną wiedzą specjalistyczną może przynieść organizacji poważne korzyści.

A jeśli stworzenie planu szkolenia w zakresie cyberbezpieczeństwa nie jest uwzględnione przez Twoją firmę na ten rok, mamy dla Ciebie inne rozwiązanie. Firma Kaspersky oferuje serię bezpłatnych kursów edukacyjnych dotyczących bezpieczeństwa, które możesz udostępnić swoim pracownikom na dobry początek.