Интересное

Учебная тревога. Как повысить киберграмотность в компании

15 марта 2023

5 мин

Поделиться в соцсетях

Одной из главных причин успешности кибератак является невысокий уровень осведомлённости людей о таких угрозах и способах защиты от них. Злоумышленники этим активно пользуются. По данным BI.ZONE, 68% специалистов по продажам в РФ попадаются на уловки мошенников в сети, а число фишинговых атак на бизнес в стране в 2022 году выросло в 3 раза (данные исследования приводило РБК). Человеческий фактор может представлять серьёзную угрозу для устойчивости компании. Как снизить риски, рассказываем в статье.

Чем опасна для бизнеса низкая киберграмотность сотрудников

Ненадёжный пароль к корпоративной учётной записи или ложный звонок сотруднику от «специалиста ИТ-службы» может открыть мошенникам доступ в системы компании. Для бизнеса такой инцидент может обернуться нежелательными или даже критическими последствиями, такими как:

утечка пользовательских и корпоративных данных;

хищение интеллектуальной собственности;

утрата доступа к критически важной информации;

нарушение работоспособности ИТ-инфраструктуры;

потеря репутации и штрафы;

полная остановка работы.

Поэтому усилия по выстраиванию надёжной киберзащиты могут оказаться напрасными, если не позаботиться о сотрудниках и их уровне знаний в этой сфере. Так, компания может использовать множество технических средств защиты, но не внедрить парольную политику. В результате сотрудники пользуются паролями, которые легко взломать.

Или же в организации может быть свод корпоративных правил кибербезопасности, но он сформулирован слишком сложным, формальным языком. Как итог, сотрудники не будут им пользоваться, расценивая как излишнюю бюрократию.

Кроме того, компания может перейти на совершенно новое программное обеспечение (ПО), но не позаботиться о том, чтобы обучить сотрудников с ним работать. В результате они просто не знают, как использовать этот софт безопасно. Чтобы сохранить устойчивость, необходимо помнить о влиянии человеческого фактора на безопасность и принимать меры по снижению риска.

Все ли сотрудники одинаково уязвимы к кибератакам

В зависимости от рода деятельности, уровень киберграмотности сотрудников компании может быть разным.

Наиболее уязвимые сотрудники по отделам, %, 2022 год

Источник: аналитика платформы BI.ZONE Security Fitness

Чаще всего опасные для устойчивости компании действия совершают сотрудники, не работающие в ИТ-сфере. Но даже они могут открыть вредоносное письмо — настолько хорошо злоумышленники могут его продумать. Бывает, что киберпреступники на протяжении длительного времени следят за деятельностью конкретного человека, готовят целенаправленную атаку на него и особым образом формулируют фишинговое письмо. Поэтому важно повышать уровень киберграмотности всех без исключения сотрудников в компании, подстраивая обучение под каждый отдел с учётом специфических угроз.

Как понять, в каком случае кибератака на сотрудников принесёт наибольшие потери?

Ответ на этот вопрос поможет разобраться, какая схема обучения лучше всего подойдёт каждому подразделению. Для решения задачи можно использовать анализ воздействия на бизнес (business impact analysis). Он охватывает всю картину потенциальных угроз как внутри, так и за периметром компании и помогает оценить возможные последствия инцидентов, например материальный ущерб, ухудшение качества услуг или снижение позиций на рынке.

Как проведение BIA поможет снизить влияние человеческого фактора?

Выявление основных процессов и критических операций, которые попадают в зону риска из-за человеческой ошибки.

Определение масштаба последствий в случае инцидента.

Сегментация сотрудников, задействованных в этих процессах, на целевые группы по роду деятельности и механикам возможной атаки на них.

Создание плана мероприятий по регулярному обучению и инструктажу каждой группы.

По результатам BIA можно определиться с необходимым объёмом программ для сотрудников, частотой обучения и тестирования. Например, работникам службы кибербезопасности дополнительное обучение может не потребоваться, а сотрудникам финансового отдела, наоборот, понадобятся инструктажи и киберучения с моделированием фишинговых атак. Или, к примеру, системных администраторов, имеющих полный доступ к корпоративным данным, необходимо будет контролировать ежеквартально, а пользователей, которые не работают с критически важными ИТ‑активами, — достаточно раз в год.

Как построить эффективную систему обучения

После проведения BIA, когда компания оценила возможный ущерб, определила, каким группам сотрудников и как нужно работать над повышением киберосведомлённости, можно планировать программы обучения.

В зависимости от цели они делятся на несколько видов.

Внутренние инструктажи для целевых групп (логисты, экономисты, бухгалтеры), когда цель — показать команде последствия киберинцидентов для компании. В результате сотрудники понимают, как атака повлияет на бизнес, и стараются не стать причиной инцидента.

Обучающие курсы и тренинги для целевых групп, когда цель — рассказать о методах предотвращения последствий. В результате каждая команда получает практические знания о наиболее серьёзных с точки зрения ущерба методах атак на них.

Тесты, фишинговые рассылки на регулярной основе, учебные атаки, когда цель — контролировать знания. В результате компания поймёт эффективность обучения и сможет планировать следующие мероприятия.

Что важно объяснить сотруднику при обучении:

масштаб потенциального ущерба для компании из‐за его ошибки;

методы злоумышленников и основные варианты атаки на его подразделение;

порядок действий в случае кибератаки.

Что ещё нужно учесть при обучении сотрудников?

Поддерживать актуальность обучающих материалов и тестов, чтобы своевременно информировать сотрудников о новых киберугрозах.

Создать специальный корпоративный канал связи (чат, почту, телефон) для срочной передачи информации о подозрениях на инцидент и возможности задать вопрос специалисту по кибербезопасности.

Обучать сотрудников порядку первичных действий при подозрении на киберинцидент, например: не перезагружать компьютер, сделать скриншоты для службы безопасности, немедленно связаться с ИТ-специалистом.

Проводить регулярные имитированные атаки на всю компанию, чтобы оценить реальный уровень готовности к киберинциденту. Для их организации можно использовать готовые ИТ‐решения из области security awareness, например BI.ZONE Security Fitness, в котором предусмотрены учебные курсы и тренировочные атаки.

По статистике компании BI.ZONE, регулярное обучение в 9 раз повышает устойчивость сотрудников к фишингу. Наиболее удобный способ получения информации — почтовые рассылки. Ещё больше повысить эффективность обучения помогает введение ответственности за несоблюдение правил кибербезопасности.

Как платёжная система победила фишинговые атаки

Проблема

Электронная платёжная система столкнулась с фишинговыми письмами в адрес сотрудников. Внутренняя рассылка с описанием признаков таких атак и алгоритма ответных действий не помогла, многие по разным причинам (из любопытства, по невнимательности) всё равно продолжали открывать письма.

Решение

Приглашённые эксперты классифицировали сотрудников по уровню доступа к критически важным данным и навыкам безопасной работы с ними (финансы и бухгалтерия, ИТ и кибербезопасность, операционисты, работники с низким уровнем риска). Для каждого подразделения был составлен план обучения и тренировочных атак с учётом уровня подготовки и специфики каждой группы. Также на базе готового решения было внедрено непрерывное повышение осведомлённости: регулярное обучение, учебные атаки и доработки системы мотивации.

Результаты

Число работников, подверженных фишингу, снизилось на 30% за полгода. Благодаря внедрению в компании программы мотивации команда стала тщательнее соблюдать требования правил кибербезопасности.

В 9 раз

регулярные тренинги повышают
устойчивость сотрудников к фишингу

По статистике компании BI.ZONE, регулярное обучение в 9 раз повышает устойчивость сотрудников к фишингу. Наиболее удобный способ получения информации — почтовые рассылки. Ещё больше повысить эффективность обучения помогает введение ответственности за несоблюдение правил кибербезопасности.

В 9 раз

регулярные тренинги повышают
устойчивость сотрудников к фишингу

Как платёжная система победила фишинговые атаки

Проблема

Электронная платёжная система столкнулась с фишинговыми письмами в адрес сотрудников. Внутренняя рассылка с описанием признаков таких атак и алгоритма ответных действий не помогла, многие по разным причинам (из любопытства, по невнимательности) всё равно продолжали открывать письма.

Решение

Приглашённые эксперты классифицировали сотрудников по уровню доступа к критически важным данным и навыкам безопасной работы с ними (финансы и бухгалтерия, ИТ и кибербезопасность, операционисты, работники с низким уровнем риска). Для каждого подразделения был составлен план обучения и тренировочных атак с учётом уровня подготовки и специфики каждой группы. Также на базе готового решения было внедрено непрерывное повышение осведомлённости: регулярное обучение, учебные атаки и доработки системы мотивации.

Результаты

Число работников, подверженных фишингу, снизилось на 30% за полгода. Благодаря внедрению в компании программы мотивации команда стала тщательнее соблюдать требования правил кибербезопасности.

Ещё раз о главном

Число кибератак и их сложность постоянно растут, при этом человеческий фактор остаётся слабым звеном в защите организаций. Поэтому компаниям необходимо непрерывно обучать сотрудников безопасной работе в цифровой среде. При этом такие мероприятия должны быть комплексными и затрагивать каждого человека в компании, вплоть до топ-менеджеров. Учебный процесс можно организовать силами собственной ИТ-службы, с помощью готовых решений или привлечь для этого внешнюю команду экспертов. Такие специалисты проведут инструктажи, смоделируют нападение злоумышленников, соберут аналитику и дадут практические рекомендации, как повысить устойчивость сотрудников перед цифровыми угрозами.


Самые важные кейсы лидеров бизнеса, мнения ведущих экспертов и тренды в отраслях экономики теперь всегда под рукой — подпишитесь на наш Telegram-канал.

Поделиться в соцсетях

Статья была вам полезна?

Да

Нет