И я обещаю: если вы выполните каждый из перечисленных шагов, необходимые изменения на уровне корпоративной культуры действительно произойдут. Конечно, не мгновенно (скорость осуществления изменений зависит от множества факторов: количества задействованных сотрудников, текущего состояния корпоративной культуры и прочего). Процесс может занять даже несколько лет — но изменения на самом деле будут.

Ну что, вы готовы?

Шаг 1: научиться выявлять СИ-атаки

В юности мне очень хотелось научиться драться, поэтому я взялся изучать боевые искусства. Помню, как познакомился с тренером. В качестве пробного занятия он предложил мне попробовать блокировать его удары. Мне тогда показалось, что его кулаки буквально материализуются в воздухе и тут же оказываются у разных частей моего тела.

К счастью, он не бил меня, а только слегка похлопывал. Тем не менее у меня ни разу не получилось остановить его нападение. Но прошел год занятий, и мне уже удавалось блокировать большую часть направленных в мою сторону ударов. Что изменилось? Я научился распознавать разные типы ударов, и это позволило мне правильно на них реагировать.

Первый шаг кажется очевидным, но он далеко не так прост. Как думаете, какой процент сотрудников вашей компании сможет объяснить, что такое фишинг, вишинг, SMiShing и имперсонация? Сколько из них расскажут, почему опасно разглашать название компании, занимающейся ремонтом мусорных баков и вывозом мусора? Кто разбирается в механизмах работы вирусов, программ-вымогателей и «троянов»?

Поймите меня правильно: я не утверждаю, что каждый ваш сотрудник должен стать Брюсом Ли социальной инженерии. Но он должен знать, о чем идет речь и чем опасна неосведомленность. И первый шаг к пониманию разных векторов атак — научиться узнавать их и понимать их последствия.

Полагаю, вы сейчас задаетесь вопросом о том, как же это сделать. Верно мыслите. Если бы много лет назад, когда я впервые пришел в школу боевых искусств, тренер сказал мне: «Хочешь научиться драться? Вон маты, а вон мастер, который занимается уже 20 лет. Сразись с ним, и все поймешь!» — я бы тут же смылся. Если бы он посадил меня перед экраном, включил 20-минутное обучающее видео, а после просмотра отправил меня на додзё, моя реакция не сильно изменилась бы. (Опустите вилы, я не говорю, что обучающие видео бесполезны. Это прекрасный инструмент, и ниже мы обсудим его подробнее. Однако, сделав его основным элементом программы, вы допустите серьезную ошибку.)

Мой тренер научил меня видеть поле боя и держать удар — то же самое должен сделать для компании социальный инженер. В школе боевых искусств меня сначала учили принимать правильное положение тела и грамотно двигаться. Потом я перешел к тренировкам с грушей. И лишь после того, как тренер решил, что я готов к реальному бою, я приступил к спаррингу с живым противником. Но этот противник не пытался меня убить — он тоже помогал мне учиться.

Навык распознавания СИ-атак даст вам огромную фору по сравнению с несведущими в этих вопросах людьми. Помогите своим сотрудникам осознать истинную ценность информации — о том, что подорвать безопасность компании можно с помощью одного-единственного e-mail; что мошенники умеют получать пароли и другую важную информацию по телефону; что их мобильные устройства могут подвергаться атаке и в дальнейшем использоваться для подрыва индивидуальной и корпоративной безопасности; что дружелюбная улыбка посетителя не повод для нарушения пропускной политики.

Рассказывая своим сотрудникам о возможных векторах атаки, вы формируете их осведомленность. Я сам постоянно варюсь в этой теме, поэтому иногда забываю, что большинство людей даже не догадываются о существовании опасности.

Однажды друг рассказал мне, как его бабушка вложила огромную сумму денег в MoneyGram: кто-то позвонил ей якобы от лица одного из внуков и сказал, что срочно нуждается в деньгах. Я воскликнул:

— Как жаль, она стала жертвой известного бабушкиного развода.

— Чего-чего? — не понял друг.

Я объяснил, что, к моему большому сожалению, этот тип мошенничества весьма распространен. На что друг возмутился:

— Раз ты о нем знаешь, чего же друзей не предупредил?

И он был совершенно прав! Я почему-то предполагаю, что все вокруг читали или слышали о подобных схемах. Но это не так. Конечно, невозможно угадать, действительно ли мои рассказы помогли бы им. Кто знает. Но тем не менее выводы я сделал.

Вернемся к моему тренеру Джошу. После нашей первой видеовстречи я раз в неделю отправлял ему свои отчеты. Придерживаться программы мне удавалось не всегда. И знаете, чего он никогда не делал? Не отчитывал, как ребенка, не обвинял, не отмахивался от меня. Он просто говорил: «Что ж, на следующей неделе постарайся справиться лучше».