Home Навчальні матеріали Крок 1 із кібербезпеки виборчої кампанії: Людський фактор

Крок 1 із кібербезпеки виборчої кампанії: Людський фактор

0
209

50% продовжують публікацію окремих фрагментів з книги «Стратегія забезпечення кібербезпеки під час проведення виборів». Повністю ви можете скачати її за лінком.

Кібербезпека – це головним чином людська проблема, а не технічна. Найкращі технічні рішення у світі не матимуть ефекту, якщо вони не будуть належним чином застосовуватися, або якщо вони не будуть постійно оновлюватись по мірі розвитку технологій. Успішні практики кібербезпеки залежать від створення безпекової культури.

Рівень «Достатній»: Що треба зробити

Створіть потужну культуру інформаційної безпеки, яка наголошує на тому, що безпека є стандартом для того, щоб виграти кампанію. Так само, як працівники виборчого штабу отримують вказівки не порушувати законодавство щодо фінансування кампанії, ці працівники повинні знати, що вони не мають натискати на посилання або відкривати додатки в електронних листах від невідомих відправників.

Залучення: Організуйте базове навчання з інформаційної безпеки для нових працівників, яких ви залучаєте.

Навчання: Зробіть безпеку частиною навчань, що проводяться для працівників, таких як тренінги із забезпечення явки виборців (СОТУ) перед виборами.

Організуйте додаткові навчання кандидата, працівників прес-служби, а також всіх, хто має права системного адміністратора у вашій мережі.

Керівники повинні вимагати, щоб найважливіші люди в кампанії, включно із кандидатом, проходили перевірку налаштувань безпеки тими, хто відповідає за ІТ (це може бути сам керівник). Не соромтесь та не вагайтесь, коли йдеться про безпеку кандидата та інших важливих осіб!

Подавайте приклад: Старші керівники кампанії та кандидат повинні виконувати керівну роль, виступаючи за кібербезпеку під час тренінгів. Керівники вищого рівня мають періодично нагадувати про важливість кібербезпеки підлеглим під час зустрічей та телефонних розмов. Керівник виборчого штабу або начальник служби оперативного управління може донести більш потужний меседж саме тому, що підлеглі бачать його як менш «технічну» людину.

Проводьте ретельну спеціальну перевірку працівників, волонтерів та стажерів – всіх, кому потрібний доступ до інформації кампанії, щоб уникнути надання реквізитів користувача комусь, хто хоче викрасти дані або підірвати роботу ваших систем.

Читайте також: Кіберзагрози під час проведення виборчої кампанії

Розробіть визначення непублічної інформації та правила її використання.

Наприклад, ви можете прийняти рішення засекретити інформацію про всі опитування, матеріали дослідження, стратегічні меморандуми та пов’язані з ними електронні листи як «чутливі».

Забороніть передання приватної інформації через канали комунікації, які не управляються та не захищаються кампанією. Ви можете вимагати, щоб вона передавалась тільки у вигляді зашифрованих повідомлень.

Перевірте, щоб консультанти та постачальники, які мають доступ до приватної інформації, мали надійну електронну пошту та системи зберігання. У разі сумнівів вимагайте, щоб постачальники та консультанти використовували обліковий запис у вашому офісному пакеті в хмарній системі.

Контролюйте доступ до важливих онлайнових сервісів, таких як офіційні сторінки кампанії в соцмережах, щоб уникнути їхнього використання несанкціонованими особами.

Переконайтесь, що ті, хто залишають кампанію, більше не матимуть доступу до її акаунтів.

Це можна легко зробити за допомогою інструмента управління обліковим записом у соціальних мережах, який діє як «двері» до всіх ваших акаунтів.

Якщо хтось залишає кампанію, ви маєте негайно відключити відповідний акаунт.

Проводьте навчання для працівників щодо загрози «фішингу». Переконайтесь, що вони знають, як розпізнавати та уникати підозрілих посилань, наголошуйте на важливості визначення та інформування про можливі фішингові атаки.

У рамках частини потужної культури безпеки кампанії працівники вищого рівня повинні відзначати та заохочувати всіх, хто повідомляє про підозрілу поведінку у своїй системі, або визнає, що вони натиснули на потенційно шкідливе посилання.

Пам’ятайте про нормативно-правову базу. У деяких місцях, включаючи Європейський Союз, стандарти приватності передбачають певні обов’язкові вимоги щодо всієї інформації, яку може збирати ваша кампанія, особливо особисті дані, такі як демографічні дані чи адреси.

Рівень «Підвищений»: Зробіть наступний крок

Такі програмні продукти як Phishme та KnowВе4 можуть навчати ваших працівників, надсилаючи їм фальшиві фішингові листи електронною поштою.

Це безпечний, швидкий та ефективний спосіб дізнатись, стосовно кого є ризик, що вони натиснуть на посилання, тож ви можете провести для них додаткове навчання. Багато з таких продуктів також фільтрують деякі спроби фішингу у вашій електронній скриньці.

Читайте також: Як уникнути кібератаки під час виборчої кампанії і скільки це коштує: 5 простих кроків

Якщо у вас є ресурси, найміть окремо ІТ-професіоналів, які будуть займатись системами вашої кампанії, та експерта з безпеки ІТ, який буде допомагати захищати, підтримувати та відстежувати цифрову структуру вашої кампанії. Цей експерт або експертка може проводити регулярне навчання з безпеки та перевіряти людей та системи, налаштовуючи безпекові рішення.

Укладіть договір з компанією, яка займається кібербезпекою і надасть безпекові рішення та перегляне захист та /або проведе моніторинг ваших систем на предмет зламу. Визначте, до якої кампанії ви будете звертатись, якщо вас «зламають» і вам знадобиться термінова підтримка та реагування. Це може бути альтернативою найму експерта з безпеки ІТ на повний робочий день. Проведіть аналіз ринку та оберіть компанію з гарною репутацією – не всі компанії у сфері кібербезпеки пропонують однаковий рівень послуг.

Далі буде

Більше публікацій
Більше публікацій Леся Ганжа
Більше публікацій Навчальні матеріали