Кібергігієна як керований процес: перетворити «людський фактор» у лінію оборони

У сучасному цифровому середовищі, де межі периметра безпеки постійно змінюються, людський фактор залишається однією з основних вразливостей. Тому підходи до навчання персоналу також поступово змінюються: від разових формальних лекцій - до системного та автоматизованого управління обізнаністю з кібербезпеки.  Під час нещодавнього профільного вебінару Дмитро Прокопенко, бізнес-аналітик компанії IT Specialist, детально розібрав, як за допомогою платформи ITS-CSAT перетворити навчання на системний процес. Спікер, який має досвід адміністрування подібних рішень у великих корпоративних клієнтів, акцентував на тому, що кібербезпека – це не стан, а безперервний рух.

Нормативна база як драйвер змін

Проблема навчання співробітників в Україні вже вийшла за межі приватної ініціативи окремих компаній. Держава чітко окреслила правила для критичної інфраструктури та держсектору. Вебінар розпочався з огляду нормативної бази, що визначає вимоги до навчання з кібергігієни. На початку було окреслено мету заходу – «перекласти певні вимоги на практичну площину реалізації». У цьому контексті було розглянуто положення Постанови Кабінету Міністрів України №1281, яка визначає ключові етапи, коли та як навчання персоналу має проводитися. 

«Згідно з нормами, цей процес має бути регулярним. Навчання обов’язкове відразу після призначення фахівця на посаду, а надалі – на постійній основі з визначеною періодичністю. Окремо варто виділити позаплановий блок, який ініціюється після суттєвих кіберінцидентів або за результатами аналізу ризиків», – зазначає експерт. Такий підхід вимагає від організацій не просто проводити окремі навчальні заходи, а вибудувати систему, яка дозволяє системно відстежувати та управляти життєвим циклом навчання кожного співробітника у сфері інформаційної безпеки.

Методичні рекомендації Держспецзв’язку додають ще більше конкретики, вимагаючи від установ наявності доказової бази. Як пояснив спікер, організація повинна забезпечити два рівні доказовості. Перший рівень – організаційний, що включає накази, плани-графіки та затверджені програми. Другий – фактичний, який є набагато складнішим у реалізації без засобів автоматизації. «Ви повинні мати можливість довести аудитору: хто проходив навчання, які бали отримав, і як ви реагували на тих, хто не склав тести. Без автоматизованої системи збирати ці дані вручну в масштабах великої установи практично неможливо», – підкреслив Дмитро Прокопенко.

Архітектура ITS-CSAT: Локальний контроль та інтеграція

Одним із ключових питань при виборі системи навчання є спосіб її розгортання. В умовах війни та підвищених вимог до безпеки даних, хмарні рішення не завжди є прийнятними для стратегічних підприємств. ITS-CSAT пропонує гнучкість у цьому питанні, але орієнтується на модель on-premise. Технічним аспектам розгортання рішення було приділено окрему увагу. Серед іншого продемонстровано, що система може працювати як контейнеризоване рішення на Linux сервері або як застосунок на IBM QRadar SIEM. Такий підхід дозволяє організаціям зберігати всі дані та процеси навчання в межах власного контуру безпеки.

Система підтримує роботу з Active Directory (через LDAP або Entra ID), що дозволяє автоматизувати збір інформації про співробітників «Моя задача як аналітика – зробити так, щоб система сама бачила нових людей. Як тільки співробітник в AD, інформація про нього автоматично з'являється в ITS CSAT. Далі, на основі динамічних параметрів, йому призначається навчальний план. Це все відбувається без ручного управління адміністратора», – пояснює Дмитро. Такий підхід мінімізує вплив людського фактора і гарантує, що жоден новачок не залишиться поза процесом навчання.

Окремо під час демонстрації було наголошено на наявності відкритого API, який дозволяє інтегрувати дані платформи у сторонні системи аналітики, внутрішні BI-панелі або корпоративні системи управління ризиками. Це дає можливість будувати власні дашборди обізнаності та контролювати динаміку кібергігієни без обмежень стандартною звітністю рішення.

Від теорії до симуляції атак

Сучасне навчання не може обмежуватися лише переглядом навчальних матеріалів. Найціннішим є набуття відповідних практичних навичок. Платформа ITS-CSAT включає спеціалізований модуль для проведення імітованих фішингових атак, який дозволяє перевірити пильність співробітників у реальних умовах. Дмитро Прокопенко продемонстрував можливості вбудованого редактора, за допомогою якого адміністратори можуть створювати листи, що майже не відрізняються від справжніх повідомлень банків або державних установ.

«Ми не просто розсилаємо листи. Ми будуємо сценарії. Користувач отримує повідомлення, переходить за посиланням на підробну сторінку, і якщо він вводить там свої дані – система це фіксує. Це не для того, щоб когось покарати, а щоб зрозуміти, де наші слабкі місця», – розповів спікер під час демонстрації інтерфейсу. Система дозволяє персоналізувати ці листи, підставляючи ім’я, посаду або назву відділу співробітника, що робить атаку максимально реалістичною та повчальною.

Окрім практичних перевірок, система пропонує глибоку аналітику через систему груп ризику. Спікер наголосив на важливості сегментації аудиторії: «Погодьтеся, ризик від помилки рядового працівника та помилки адміністратора мережі або головного бухгалтера – абсолютно різний. В ITS-CSAT ми можемо налаштувати шаблони обрахунку ризику таким чином, що одна помилка критичного співробітника значно сильніше впливатиме на його оцінку, ніж помилки менш критичних користувачів».

Під час вебінару також було показано, що система автоматично збирає детальні метрики навчання – швидкість проходження курсів, рівень відкриття листів і повідомлення відділу ІБ про нелегітимну активність. Саме ці показники використовуються для формування KPI кібергігієни та дозволяють оцінювати реальний рівень обізнаності персоналу, а не формальний факт проходження навчання.

Кабінет студента та контроль залученості

Одним із викликів дистанційного навчання є формальне ставлення користувачів до матеріалів. Часто співробітники просто «проклікують» презентацію, не вчитуючись у зміст. Розробники ITS-CSAT впровадили низку технічних запобіжників проти такого підходу. Зокрема, у кабінеті студента реалізовано механізм, при якому контент залишається недоступним до перегляду, доки користувач не перейде до вивчення конкретного блоку.

Дмитро Прокопенко зазначив: «Ми хочемо, щоб людина була залучена. У кожного студента є свій персональний кабінет, де він бачить свій прогрес, активні курси та результати тестів. На додаток ми бачимо повний лог дій. Якщо людині було надіслано матеріал, а вона навіть не перейшла до ознайомлення з ним, система може це відобразити в аналітиці по цій активності». Це створює прозору атмосферу відповідальності всередині колективу.

Платформа підтримує стандарт SCORM, що дозволяє імпортувати сторонні навчальні курси в систему, без їх зміни, створюючи єдину систему контролю знань незалежно від джерела контенту.

Окрім онлайн-курсів, ITS-CSAT дозволяє враховувати також інші пов’язані події – очні тренінги, формування та проходження тестів, фіксуючи їх у загальній історії навчання співробітника та формуючи повну картину розвитку компетенцій.

Для тих організацій, які звикли до вебінарів у реальному часі, система пропонує інтеграцію з Microsoft Teams. Це дозволяє автоматично фіксувати присутність співробітників на онлайн-лекціях та вносити ці дані до загального звіту про проходження навчання. У планах розробників – розширення підтримки інших платформ, зокрема Zoom, щоб забезпечити максимальну гнучкість для замовників з різними наборами технологій.

Майбутнє платформи: КЕП та інтелектуальні звіти

Компанія IT Specialist активно працює над адаптацією свого продукту під динамічні зміни українського законодавства. Під час вебінару Дмитро Прокопенко поділився планами розвитку на 2026 рік, які мають зробити ITS-CSAT ще потужнішим інструментом для державного сектору та великого бізнесу. Однією з найбільш очікуваних функцій є впровадження Кваліфікованого електронного підпису (КЕП).

«Ми плануємо додати можливість підписувати результати тестів або ознайомлення з навчальними матеріалами за допомогою КЕП вже у березні-квітні. Це закриє питання доказовості на 100%. Жоден аудитор не зможе поставити під сумнів факт того, що конкретний співробітник особисто засвідчив отримання знань. Це повністю замінює застарілі паперові журнали з підписами», – анонсував експерт.

Також у дорожній карті розвитку значиться оновлений Центр планування, який дозволить будувати складні, розгалужені навчальні траєкторії. Наприклад, якщо співробітник успішно розпізнав фішингову атаку, він може переходити до наступного складного рівня. Якщо ж він припустився помилки – система запропонує призначити йому додатковий інтенсивний курс з цієї теми. Такий адаптивний підхід дозволяє економити час досвідчених фахівців і приділяти більше уваги тим, хто реально цього потребує.

Ще одним важливим кроком стане автоматизація звітності за вимогами Кабміну та Держспецзв’язку. «Ми готуємо модуль, який буде генерувати готові звіти саме у тому форматі, який вимагають регулятори. Це звільнить купу часу для офіцерів безпеки, яким зараз доводиться зводити ці дані в Excel вручну», – додав Дмитро. Паралельно з цим ведеться постійне наповнення бібліотеки контенту, щоб замовники отримували не просто Інструмент автоматизації, а наповнене рішення з актуальними матеріалами щодо тем, які пропонує ДССЗЗІ та інші стандарти ІБ (парольна безпека, безпека у пошті і т.д.).

Практичні аспекти впровадження та фідбек

Завершальна частина вебінару була присвячена відповідям на питання аудиторії. Одне з питань стосувалося можливості використання системи в організаціях, де немає окремого підрозділу кібербезпеки. Спікер заспокоїв учасників, пояснивши, що з погляду законодавства головне – наявність відповідальної особи, призначеної наказом. Це може бути IT-спеціаліст або навіть HR-директор, а ITS-CSAT своєю чергою стане для них тим інструментом, який спростить рутину.

Також обговорювалася тема роботи з територіально розподіленими структурами. Завдяки підтримці багатодоменності, система дозволяє керувати навчанням у великих холдингах, де кожна дочірня компанія може мати свій власний сегмент користувачів, але при цьому загальне управління та звітність залишатимуться централізованими. Це особливо актуально, наприклад для міністерств та відомств з широкою мережею регіональних представництв.

На питання про те, чи не є система занадто складною для непідготовлених користувачів, спікер відповів: «Ми проєктували інтерфейс студента так, щоб він був максимально інтуїтивним. Людина просто заходить, бачить свою задачу і виконує її. Весь складний функціонал міститься в панелі адміністратора, з якою працюють професіонали. Наша мета – не навантажувати людей зайвими технічними подробицями, а дати їм навички, які захистять їх та компанію».

Підбиваючи підсумки доповідач зазначив, що сьогодні кібергігієна – це не факультатив, а життєво необхідна навичка і технології дозволяють зробити процес її набуття прозорим та вимірюваним. Використання ITS-CSAT дає можливість організаціям не лише відповідати регуляторним вимогам, а й реально знижувати ризики від атак.

«Ми не просто продаємо софт, ми допомагаємо будувати культуру безпеки», – підсумував свій виступ Дмитро Прокопенко. Для тих, хто хоче переконатися в ефективності рішення на власному досвіді, компанія пропонує формат пілотних проєктів. Це дозволяє розгорнути систему в реальних умовах, провести перші фішингові тести та побачити справжню картину обізнаності персоналу ще до моменту повномасштабного впровадження. У сучасному світі, де інформація є найціннішим активом, інвестиція в обізнаність людей є найкращим способом його захисту.

Більш детально з темою вебінару ви можете ознайомитися, переглянувши його відеозапис 

Стратегія охолодження ЦОД для епохи AI