Воздействие «сверху». Этот метод производит почти мистический эффект, работает как заклинание. Если генеральный директор сообщит сотрудникам, что руководство компании проходит проверку фишингом раз в месяц вместе со всеми, он озвучит очень важное сообщение: «Мы все с вами в одной лодке… серьезно». Однажды я работал в компании, сотрудники которой восприняли новую программу безопасности без особого энтузиазма. Одна сотрудница неправильно отреагировала на фишинговые сообщения. Узнав, что это была проверка, она потребовала связаться со мной напрямую и 10 минут отчитывала: говорила, что я ужасный человек и мне стоило бы подумать над тем, достойное ли я выбрал дело жизни. Спустя несколько месяцев весь штат компании собрали на массовое совещание, на котором выступал в том числе и гендиректор. И вот, рассказывая о программе, он упомянул, что тоже подвергся проверке, повел себя неправильно и на собственном опыте убедился, что впредь нужно быть осторожнее. После этого ситуация в компании изменилась как по мановению волшебной палочки. Рядовые сотрудники больше не злились, агрессия по отношению к моей СИ-команде практически сошла на нет, а процент людей, соблюдавших новые требования, резко возрос. Иногда сотрудникам кажется, что руководство просто издевается над ними и пытается выставить дураками. Естественно, отношения в компании от этого не улучшаются. А вот если члены правления выражают такой инициативе поддержку действием — ситуация в корне меняется.

И еще два важных момента, о которых не стоит забывать:

• Терпение

Не думайте, что запуск программы по обучению сотрудников возымеет мгновенный и повсеместный результат. Могут потребоваться время и серьезные усилия, чтобы персонал в конце концов проникся вашим видением проблемы.

• Управляйте ожиданиями

Звучит знакомо? Все верно. Этот принцип работает не только с раппортом, но и в процессе создания необходимой культуры отношения к безопасности на уровне организации. Если вы сами научились «разоблачать» фишинговые письма, не поддаваться на вишинг и видеть людей, которые пытаются проникнуть куда не следует, это не значит, что каждый сотрудник способен освоить все эти навыки с такой же скоростью.

Будьте терпеливыми и не требуйте слишком многого. Через какое-то время сотрудники окажутся на одной волне с вами.

Резюме

Хотя поначалу кажется, что это слишком сложно, поверьте мне: вы способны сформировать в своей компании культуру осведомленности в отношении вопросов безопасности. Возможно, вы оцениваете, в какой «форме» компания находится сейчас, и вам кажется, что на это уйдет слишком много времени и сил. Но дело того стоит. Польза, которую такая культура принесет компании, перевешивает все риски.

Как-то Джош прислал мне e-mail, в котором говорились: «Это путешествие на всю жизнь. Не на три месяца, не на полгода. Да, менять привычки сложно. Но ведь все мы постоянно меняемся».

Глупо повторять привычные действия в надежде получить новый результат. Допустив ошибку, старайтесь быстро двигаться дальше. Попробуйте воспользоваться советами, собранными в этой главе, но, если не добьетесь желаемого, найдите другое решение. Если метод не работает, ищите другой.

Джош постоянно трансформирует мою программу. Иногда новые требования приходят раз в неделю, но бывает, что они не меняются более месяца. Вам не обязательно менять все так же часто, но задуматься на этот счет стоит. Моя программа работает так эффективно, потому что раз в неделю я отправляю Джошу отчет о своих успехах. Он учитывает все мои перемещения, еду, активность упражнений и уровень стресса. Вся эта информация помогает ему корректировать общий курс программы. И я уверен: любое его решение основывается на детальном анализе.

Вы можете точно так же подойти к реализации программы информирования сотрудников. Для начала сформируйте подробное представление о том, что происходит в вашей организации: начиная с состояния физических объектов и заканчивая психологическими особенностями сотрудников. Постарайтесь понять, с чем связано испытываемое ими напряжение и как оно будет влиять на их решения. И когда у вас сложится полная картина, вам будет проще планировать реализацию такой программы. Продумайте траекторию развития, запустите программу и внимательно отслеживайте прогресс.

Не буду обещать, что в результате вы непременно создадите непробиваемую защиту от хакеров. Даже предполагаемый процент успеха называть не стану. Тем не менее я могу пообещать вот что: изменения вы увидите. Постепенно вы начнете замечать, как у сотрудников формируются устойчивые представления о типах атак и способах защиты от них.

Как же применить все полученные при прочтении этой книги знания и стать пентестером, владеющим навыками социальной инженерии? Как использовать эту информацию руководству компании, которая хочет защититься от злоумышленников? Обобщающие выводы вы найдете в последней главе. И обещаю, что про Джоша в книге больше не будет ни слова (прости, Джош, твои 15 минут славы подошли к концу).