Навчання з обізнаності щодо безпеки для підрядників і вендорів
Охопіть кожного зовнішнього працівника, який має доступ до ваших даних, систем чи клієнтів. Призначення на кожне залучення, пакети доказів відповідно до BAA та доставка SCORM у LMS вендора або в нашу окрему хмару.
Автор Dmytro Koziatynskyi Перевірено
Чому навчання підрядників і вендорів повинно бути в обсязі
Більшість корпоративних інцидентів безпеки за останні пʼять років були повʼязані з третьою стороною. Підрядники, технічні фахівці MSP, оператори BPO-кол-центрів, фрілансери та консультанти часто мають доступ до тих самих даних і систем, що й штатні співробітники, але вони перебувають поза HR-онбордингом і стандартним списком призначень навчання. Аудитори це помічають.
HIPAA Business Associate Agreements, FTC Safeguards Rule, ISO 27001 Annex A.5.20 щодо відносин з постачальниками та NIST 800-171 control 3.2 однаково вимагають навчання з безпеки на рівні робочої сили для не-співробітників, які мають доступ до захищених даних. Зобовʼязання лежить на вас, а не на вендорі, і підписання BAA не передає його.
RansomLeak проводить ті самі інтерактивні симуляції для підрядників і вендорів, що й для вашої прямої робочої сили. Призначення обмежені обсягом кожного залучення, мають термін дії, привʼязаний до контракту, та формують пакети доказів, які власник відносин може передати безпосередньо аудитору або команді управління ризиками третіх сторін.
Як це працює
Визначте групи зовнішньої робочої сили
Складіть карту кожної категорії не-співробітників, які мають доступ до даних, систем чи приміщень. Типові списки включають технічних фахівців MSP, операторів BPO-кол-центрів, контрактних розробників, маркетингових фрілансерів, аудиторські фірми, а також вендорів біомедичного обладнання чи обслуговування. Кожна група отримує власний шаблон призначення.
Обмежте обсяг за відносинами з третьою стороною
Скоротіть навчальну програму до того, що потрібно конкретному залученню. Платіжному BPO потрібні фішинг, BEC та робота з PII. Контрактному розробнику потрібні теми, суміжні з безпечним кодуванням, плюс гігієна облікових даних і OAuth. Пропустіть те, що не релевантне контракту.
Доставка через SCORM у LMS вендора або в окрему хмару
Експортуйте SCORM 1.2 або 2004 пакети у власну LMS вендора для партнерів зі зрілою функцією навчання й розвитку. Для менших вендорів та індивідуальних підрядників наша окрема хмара забезпечує SSO, MFA та пряму реєстрацію без жодної LMS на їхньому боці.
Призначення з обмеженим терміном, привʼязані до початку залучення
Кожне призначення має дедлайн виконання, привʼязаний до дати початку контракту, з нагадуваннями підряднику та власнику відносин. Призначення, термін дії яких закінчується, автоматично запускають оновлення під час продовження контракту.
Доставка пакета доказів власнику відносин
Коли підрядник завершує навчання, власник відносин у вашій компанії отримує пакет доказів за конкретне залучення: записи про виконання, оцінки, час виконання та карту охоплення тем. Пакет потрапляє у файл вендора поряд з BAA або DPA.
Що ви отримуєте
Записи про виконання для кожного підрядника
Кожен зовнішній працівник має іменний запис про виконання, привʼязаний до конкретного залучення, з можливістю експорту у PDF, CSV та Excel. Записи зберігаються після завершення контракту, тому аудит через роки все одно бачитиме повний слід.
Пакети доказів для власників відносин з вендорами
Внутрішній власник кожних відносин з вендором отримує самообслуговуваний пакет доказів після завершення. Жодних затримок з боку центральної команди безпеки, коли закупівлі чи юристи запитують файл.
Записи відповідно до BAA та DPA
Записи відповідають мові навчання робочої сили в HIPAA Business Associate Agreements, GDPR Data Processing Agreements та клаузулі про кваліфікований персонал у FTC Safeguards Rule. Один артефакт задовольняє всі три.
Відстеження термінів для оновлення
Дашборди показують, у яких підрядників навчання закінчується протягом наступних 30, 60 та 90 днів. Оновлення спрацьовують автоматично, коли контракти продовжуються, з нагадуваннями власнику відносин.
Паритет охоплення зі співробітниками
Показники фішингу та відсотки виконання для зовнішньої робочої сили потрапляють у ті самі дашборди, що й для співробітників, тому звіт ради з кібербезпеки показує повну картину, а не лише підмножину, яка випадково знаходиться у вашій HRIS.
Підібрані вправи для сценарію підрядників і вендорів
Послідовність вправ, яку ми рекомендуємо для цього сценарію, з каталогу 100+.
Виявлення фішингових листів
Зовнішні працівники часто мають вищі показники кліків на фішинг, ніж співробітники, тому що вони перебувають поза email-захисними шлюзами. Це найефективніша стартова вправа.
Спробувати вправуКомпрометація ділової електронної пошти
Вендори та підрядники з фінансовим або інвойсинг-доступом є прямими цілями BEC-шахрайства. Втрати від банківських переказів через скомпрометованих вендорів є найбільшою категорією BEC.
Спробувати вправуРобота з документами PII
BPO-партнери, аудиторські фірми та контрактні рецензенти працюють з чутливими документами. Ця вправа відпрацьовує редагування й мінімальне розкриття до того, як файли покинуть ваше середовище.
Спробувати вправуБезпечний обмін файлами
Підрядники за замовчуванням використовують той інструмент обміну, до якого звикли. Практика спрямовує їх до ваших затверджених каналів і подалі від особистого Dropbox чи Gmail-вкладень.
Спробувати вправуНалаштування та гігієна MFA
Більшість інцидентів через третіх сторін у 2024 та 2025 роках були повʼязані з акаунтом підрядника без MFA або зі слабкими звичками щодо push-повідомлень. Закриває найбільший прогалину в доступі зовнішніх працівників.
Спробувати вправуОбовʼязки робочої сили з безпеки
Встановлює базові спільні очікування. Зовнішні працівники залишають залучення, розуміючи, що лежить на них, а що на вашій команді безпеки, що зменшує неоднозначність під час інцидентів.
Спробувати вправуЗагрози, які охоплює цей сценарій
Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.
Що таке навчання з обізнаності щодо безпеки для підрядників і вендорів?
Навчання з обізнаності щодо безпеки для підрядників і вендорів є програмою освіти робочої сили, яка поширює ту саму навчальну програму з безпеки, що застосовується до співробітників, на не-співробітничий персонал з доступом до даних, систем чи приміщень компанії. Зазвичай охоплені групи включають підрядників, субпідрядників, технічних фахівців постачальників керованих послуг, агентів аутсорсингу бізнес-процесів, фрілансерів та консалтингові фірми.
Зобовʼязання походить зі сторони контролера даних у відносинах. HIPAA Business Associate Agreements, FTC Safeguards Rule, ISO 27001 Annex A.5.20 та NIST 800-171 control 3.2 однаково вимагають обізнаності з безпеки для не-співробітників, які працюють із захищеною інформацією. Підписання вендорської угоди не передає обовʼязок з навчання вендору.
RansomLeak проводить навчання підрядників і вендорів через інтерактивні 3D-симуляції, обмежені обсягом кожного залучення та привʼязані за часом до контракту. SCORM-пакети експортуються у власну LMS вендора, або зовнішні працівники реєструються безпосередньо на нашій окремій хмарній платформі. Кожне завершення формує пакет доказів, який внутрішній власник відносин подає поряд з BAA, DPA або записом про ризик вендора.
Часті запитання
Що питають security-команди перед вибором цього сценарію.
Чому навчати підрядників і вендорів замість того, щоб довіряти їхнім власним програмам?
Як ви призначаєте навчання підрядникам, у яких немає корпоративного email?
Чи може підрядник завершити навчання до того, як отримає доступ до систем?
Як це задовольняє пункт про навчання у BAA або DPA?
Що робити, якщо підрядник відмовляється завершити навчання?
Чи працює та сама бібліотека вправ і для співробітників, і для підрядників?
Як довго записи про виконання залишаються доступними після завершення контракту?
Дотичні матеріали
Запустити цей сценарій із вашою командою
Запишіться на 30-хвилинну демонстрацію. Розкажіть, що ви запускаєте. Ми визначимо шаблон призначень і графік розгортання.