Бурный рост объемов хранимых и обрабатываемых данных, вызванных, в частности, использованием современных ИТ и расширением клиентской базы хозяйствующих субъектов, требует повышения уровня защищенности этих данных. Особое внимание в деятельности любой компании должно быть уделено защите персональных данных сотрудников и клиентов в соответствии с требованиями законодательства в сфере обеспечения конфиденциальности и безопасности информации [1]. Использование современных методов защиты информации и многоуровневого подхода, включающего надежные процедуры аутентификации, шифрования данных, резервного копирования и восстановления данных, позволит снизить потери данных и реализовать необходимые бизнес-процессы компании [2; 3].
Важным также является уровень компетентности сотрудников в работе с персональными данными компании, поэтому необходимо проводить регулярное обучение работников, включающее изучение нормативно-правовой информации, методов распознавания и снижения потенциальных угроз и формирование навыков по снижению и/или устранению выявленных угроз [4; 5].
Серьезные внутренние угрозы информационной безопасности возникают из-за недобросовестных действий сотрудников, ошибок и недостатков в системах и процессах. Проведённый компанией Gartner опрос показал, что 69% сотрудников нарушали регламенты своей организации в области кибербезопасности [6]. Такие случайные или преднамеренные действия персонала могут иметь катастрофические последствия для компании: утечка конфиденциальной информации, финансовые потери и повреждение репутации.
Обучение сотрудников работе с конфиденциальной информацией и их информированность в этой сфере являются ключевыми факторами в защите данных [7]. Грамотные пользователи с необходимыми знаниями и навыками, а также регулярное информирование о возможных угрозах и методах защиты помогают создать безопасную среду в организации и предотвратить потенциальные нарушения конфиденциальности и целостности информации.
Материалы и методы исследования
Методы защиты персональных данных принято разделять на правовые, организационные и технические. Правовые методы устанавливаются государственными органами и включают различные нормативно-правовые акты, регулирующие деятельность по работе с персональными данными. Организационные меры устанавливают для сотрудников компании четкие правила и регламенты работы с конфиденциальной информацией. К техническим методам защиты относятся физические, аппаратные и программные средства, позволяющие защитить персональные данные от несанкционированного доступа [8; 9].
Целью данной работы является автоматизация организационных методов защиты, в частности процессов информирования и обучения персонала правилам обращения с персональными данными и предотвращения утечки данных, с помощью программных средств для мессенджера Telegram. На его платформе разработан чат-бот, который служит инструментальной средой для автоматизации процесса обучения в системе защиты персональных данных.
Telegram-боты обладают целым рядом преимуществ, которые делают их популярными и удобными инструментами для различных задач (табл.).
Преимущества инструментального средства Telegram-бот
Преимущество |
Характеристика |
Удобство использования |
Интерфейс мессенджера позволяет легко и быстро настраивать и управлять сценарием, не требуя навыков программирования |
Автоматизация задач |
Инструментарий бота реализует широкий спектр решаемых задач, связанных с автоматизацией отправки/получения сообщений, рассылки информации, уведомлений, создания опросов и др. |
Быстрый доступ к информации |
Обработка запросов осуществляется в режиме реального времени, благодаря этому обмен данными происходит достаточно быстро |
Низкая стоимость |
Создание и поддержка Telegram-ботов не требует привлечения высококвалифицированных программистов, занимает меньшее время на разработку приложения, тем самым значительно снижая затраты на автоматизацию задач |
Безопасность данных |
Технологии защиты данных мессенджера гарантируют высокий уровень конфиденциальности информации |
Интеграция с другими сервисами |
Инструментальные возможности Telegram-ботов позволяют использовать их сторонними приложениями и сервисами |
Универсальность |
Чат-боты широко используются для поддержки пользователей в различных сферах, таких как маркетинг, продажи, образование, медицина, финансы, консалтинг, логистика и др. |
Проект разработки Telegram-бота включал нескольких этапов. Вначале были определены цель проекта, требования к функционалу бота, проведен анализ аналогичных продуктов и программных сервисов. В качестве инструментальной программной среды была выбрана платформа Robochat, она имеет удобный и понятный интерфейс, ее базовый функционал предоставляется бесплатно. Далее были разработаны сценарии бота, реализующие поставленные задачи проекта. После успешного прохождения тестирования и отладки Telegram-бот был внедрен в эксплуатацию. Кроме того, необходимо обеспечить поддержку работоспособности бота.
Результаты исследования и их обсуждение
Функционал бота включает следующие сервисы по защите персональных данных: сообщение о проблеме; проверка входящего сообщения; связь с дежурным специалистом; обучение персонала (рис. 1).
Обучение в свою очередь состоит из трёх сценариев: теория, тесты, кейсы. Блок «Теория» разбит на три раздела: общая информация; методы защиты персональных данных; нормативно-правовые акты (НПА).
Система Telegram-бота включает в себя множество взаимосвязанных сценариев, что позволяет упростить процесс разработки и навигации.
На первом этапе разработки бота необходимо указать ключевые слова для перехода к боту, поприветствовать пользователя, реализовать защиту от набора несуществующих команд и разработать главное меню. Сценарий основного меню бота представлен на рисунке 2. Экранная форма начального этапа приветствия и меню представлена на рисунке 3.
Сотрудники компании должны быть осведомлены о возможных угрозах, с которыми они могут столкнуться в Сети. Это включает в себя знания о социальной инженерии, фишинге, вредоносном программном обеспечении и других методах атаки. Пользователи должны быть обучены распознавать подозрительные письма, ссылки или запросы, а также знать, как сообщать о подобных инцидентах.
Команды бота «Сообщить о проблеме», «Проверка почтового сообщения» и «Связь с дежурным специалистом» позволяют направить информацию о предполагаемых угрозах (рис. 4) или оперативно связаться со специалистом информационной безопасности. Информация о входящем сообщении или проблеме будет переслана администратору бота, ответственному лицу или в группу экспертов информационной безопасности в зависимости от настроек бота.
Важным является и реализация проверки почтового обращения, которая актуальна в случае поступления сотруднику на почту письма с подозрительной ссылкой.
Вместе с развитием технологий появляются новые угрозы и методы атаки. Пользователи должны быть осведомлены о последних трендах в области кибербезопасности и обучены новым методам защиты. Это поможет им быть готовыми к новым угрозам и эффективно реагировать на них.
Рис. 1. Схема работы Telegram-бота
Рис. 2. Сценарий основного меню бота
Рис. 3. Экранная форма меню бота
Рис. 4. Информирование пользователем о проблеме
Важно отметить, что обучение и осведомленность должны быть непрерывными процессами. Организация должна предоставлять регулярные обучающие программы и информационные материалы, чтобы поддерживать высокий уровень осведомленности среди пользователей.
Кроме того, необходимо устанавливать политики и процедуры, которые обеспечивают безопасное обращение с конфиденциальной информацией, и регулярно проверять их соблюдение.
На основании вышеизложенного в раздел «Обучение» включены три сценария: теория, тесты, кейсы. Блок «Теория» предлагает пользователю изучить нормативно-правовые акты и методы защиты персональных данных, в дальнейшем оценивает их усвоение с помощью тестовых или кейс-заданий.
В рамках сценария «Тесты» действия пользователя будут играть роль счётчика, который перед первым вопросом обнуляет количество заработанных баллов, а далее при верном ответе добавляет их. Проверка ответа на правильность осуществляется через привязку к кнопке действия на добавление балла. По итогам выбора кнопки с тем или иным вариантом ответа тестируемому будет сообщен результат правильности данного варианта. Реализация перехода к тестовому вопросу и его проверки представлена на рисунке 5.
По итогам тестирования пользователь получает определенное количество баллов. Если результат тестирования неудовлетворительный, пользователю предлагается пройти его повторно. Раздел «Кейсы» предназначен для того, чтобы тестируемый сотрудник на примере различных ситуаций смог проверить свои знания. Процесс реализации данного сценария аналогичен сценарию «Тесты».
Рис. 5. Фрагмент сценария реализации тестового вопроса пользователю
Заключение
В условиях стремительного роста объема генерируемых данных защита конфиденциальности и безопасности данных приобретает первостепенное значение. Организациям необходимо применять многоуровневый подход к обеспечению безопасности, постоянно обновлять технологии защиты и соблюдать соответствующие нормативные требования по защите данных. Уделяя должное внимание защите конфиденциальности и безопасности данных, организации снижают риски имиджевых и финансовых потерь.
Внутренняя угроза защиты данных является приоритетной, и в большинстве своем она исходит от сотрудников, которые не понимают значимость мероприятий по защите конфиденциальной информации, не знают или пренебрегают регламентами кибербезопасности. Именно поэтому необходимо регулярное информирование сотрудников и их обучение работе с конфиденциальными данными.
В целом можно сказать, что реализация корпоративной системы защиты персональных данных путем создания Telegram-бота является хорошим решением для обучения сотрудников – бот прост для понимания, интерактивен и достаточно надежен. Функциональность бота может быть усовершенствована с помощью добавления новых разделов, дополнения имеющихся тестов, кейсов, справочной и нормативно-правовой информации.