Интересное
Одной из главных причин успешности кибератак является невысокий уровень осведомлённости людей о таких угрозах и способах защиты от них. Злоумышленники этим активно пользуются. По данным BI.ZONE, 68% специалистов по продажам в РФ попадаются на уловки мошенников в сети, а число фишинговых атак на бизнес в стране в 2022 году выросло в 3 раза (данные исследования приводило РБК). Человеческий фактор может представлять серьёзную угрозу для устойчивости компании. Как снизить риски, рассказываем в статье.
Ненадёжный пароль к корпоративной учётной записи или ложный звонок сотруднику от «специалиста ИТ-службы» может открыть мошенникам доступ в системы компании. Для бизнеса такой инцидент может обернуться нежелательными или даже критическими последствиями, такими как:
Поэтому усилия по выстраиванию надёжной киберзащиты могут оказаться напрасными, если не позаботиться о сотрудниках и их уровне знаний в этой сфере. Так, компания может использовать множество технических средств защиты, но не внедрить парольную политику. В результате сотрудники пользуются паролями, которые легко взломать.
Или же в организации может быть свод корпоративных правил кибербезопасности, но он сформулирован слишком сложным, формальным языком. Как итог, сотрудники не будут им пользоваться, расценивая как излишнюю бюрократию.
Кроме того, компания может перейти на совершенно новое программное обеспечение (ПО), но не позаботиться о том, чтобы обучить сотрудников с ним работать. В результате они просто не знают, как использовать этот софт безопасно. Чтобы сохранить устойчивость, необходимо помнить о влиянии человеческого фактора на безопасность и принимать меры по снижению риска.
В зависимости от рода деятельности, уровень киберграмотности сотрудников компании может быть разным.
Наиболее уязвимые сотрудники по отделам, %, 2022 год
Чаще всего опасные для устойчивости компании действия совершают сотрудники, не работающие в ИТ-сфере. Но даже они могут открыть вредоносное письмо — настолько хорошо злоумышленники могут его продумать. Бывает, что киберпреступники на протяжении длительного времени следят за деятельностью конкретного человека, готовят целенаправленную атаку на него и особым образом формулируют фишинговое письмо. Поэтому важно повышать уровень киберграмотности всех без исключения сотрудников в компании, подстраивая обучение под каждый отдел с учётом специфических угроз.
Ответ на этот вопрос поможет разобраться, какая схема обучения лучше всего подойдёт каждому подразделению. Для решения задачи можно использовать анализ воздействия на бизнес (business impact analysis). Он охватывает всю картину потенциальных угроз как внутри, так и за периметром компании и помогает оценить возможные последствия инцидентов, например материальный ущерб, ухудшение качества услуг или снижение позиций на рынке.
Как проведение BIA поможет снизить влияние человеческого фактора?
По результатам BIA можно определиться с необходимым объёмом программ для сотрудников, частотой обучения и тестирования. Например, работникам службы кибербезопасности дополнительное обучение может не потребоваться, а сотрудникам финансового отдела, наоборот, понадобятся инструктажи и киберучения с моделированием фишинговых атак. Или, к примеру, системных администраторов, имеющих полный доступ к корпоративным данным, необходимо будет контролировать ежеквартально, а пользователей, которые не работают с критически важными ИТ‑активами, — достаточно раз в год.
После проведения BIA, когда компания оценила возможный ущерб, определила, каким группам сотрудников и как нужно работать над повышением киберосведомлённости, можно планировать программы обучения.
В зависимости от цели они делятся на несколько видов.
Что важно объяснить сотруднику при обучении:
Что ещё нужно учесть при обучении сотрудников?
По статистике компании BI.ZONE, регулярное обучение в 9 раз повышает устойчивость сотрудников к фишингу. Наиболее удобный способ получения информации — почтовые рассылки. Ещё больше повысить эффективность обучения помогает введение ответственности за несоблюдение правил кибербезопасности.
Как платёжная система победила фишинговые атаки
Проблема
Электронная платёжная система столкнулась с фишинговыми письмами в адрес сотрудников. Внутренняя рассылка с описанием признаков таких атак и алгоритма ответных действий не помогла, многие по разным причинам (из любопытства, по невнимательности) всё равно продолжали открывать письма.
Решение
Приглашённые эксперты классифицировали сотрудников по уровню доступа к критически важным данным и навыкам безопасной работы с ними (финансы и бухгалтерия, ИТ и кибербезопасность, операционисты, работники с низким уровнем риска). Для каждого подразделения был составлен план обучения и тренировочных атак с учётом уровня подготовки и специфики каждой группы. Также на базе готового решения было внедрено непрерывное повышение осведомлённости: регулярное обучение, учебные атаки и доработки системы мотивации.
Результаты
Число работников, подверженных фишингу, снизилось на 30% за полгода. Благодаря внедрению в компании программы мотивации команда стала тщательнее соблюдать требования правил кибербезопасности.
В 9 раз
регулярные тренинги повышают
устойчивость сотрудников к фишингу
По статистике компании BI.ZONE, регулярное обучение в 9 раз повышает устойчивость сотрудников к фишингу. Наиболее удобный способ получения информации — почтовые рассылки. Ещё больше повысить эффективность обучения помогает введение ответственности за несоблюдение правил кибербезопасности.
В 9 раз
регулярные тренинги повышают
устойчивость сотрудников к фишингу
Как платёжная система победила фишинговые атаки
Проблема
Электронная платёжная система столкнулась с фишинговыми письмами в адрес сотрудников. Внутренняя рассылка с описанием признаков таких атак и алгоритма ответных действий не помогла, многие по разным причинам (из любопытства, по невнимательности) всё равно продолжали открывать письма.
Решение
Приглашённые эксперты классифицировали сотрудников по уровню доступа к критически важным данным и навыкам безопасной работы с ними (финансы и бухгалтерия, ИТ и кибербезопасность, операционисты, работники с низким уровнем риска). Для каждого подразделения был составлен план обучения и тренировочных атак с учётом уровня подготовки и специфики каждой группы. Также на базе готового решения было внедрено непрерывное повышение осведомлённости: регулярное обучение, учебные атаки и доработки системы мотивации.
Результаты
Число работников, подверженных фишингу, снизилось на 30% за полгода. Благодаря внедрению в компании программы мотивации команда стала тщательнее соблюдать требования правил кибербезопасности.
Число кибератак и их сложность постоянно растут, при этом человеческий фактор остаётся слабым звеном в защите организаций. Поэтому компаниям необходимо непрерывно обучать сотрудников безопасной работе в цифровой среде. При этом такие мероприятия должны быть комплексными и затрагивать каждого человека в компании, вплоть до топ-менеджеров. Учебный процесс можно организовать силами собственной ИТ-службы, с помощью готовых решений или привлечь для этого внешнюю команду экспертов. Такие специалисты проведут инструктажи, смоделируют нападение злоумышленников, соберут аналитику и дадут практические рекомендации, как повысить устойчивость сотрудников перед цифровыми угрозами.
Напишите нам и менеджеры свяжутся с вами