Руководители предприятий понимают важность повышения осведомленности сотрудников по вопросам информационной безопасности. К сожалению, часто дело ограничивается формальной организацией учебного процесса. При этом практика реальных организаций показывает, что тренировка персонала на реальных атаках, даже в учебном окружении, даёт куда лучший результат. Рассмотрим более детально этот эффект на основе статистических данных.
- Введение
- Обучающих курсов недостаточно для повышения защищённости сотрудников
- Уязвимость бухгалтерии к кибератакам сильно преувеличена
- Тренировать навыки сотрудников с помощью атак нужно раз в месяц или чаще
- Моментальная обратная связь существенно повышает эффективность тренировки навыков
- Выводы
Введение
Большая часть современных цифровых атак начинается с атаки на людей. В ход идут психологическое воздействие и социальная инженерия, использование которых заставляет жертв атаки выполнить нужное преступникам действие: перейти по ссылке, открыть вложение или ввести данные от учётной записи на сайте мошенников. Технические средства защиты почти всегда используются, но редко помогают против таких атак.
Первой реакцией ИБ-специалистов и HR-службы становятся покупка обучающих курсов по информационной безопасности и последующее массовое обучение всех сотрудников, начинают которое с самых уязвимых отделов. Однако эффективность такого подхода в большинстве случаев оставляет желать лучшего, вызывая у ответственных специалистов множество вопросов, например:
- Почему после обучения сотрудники продолжают попадаться на уловки мошенников?
- Как выявить самое слабое звено среди подразделений компании?
- Как часто нужно повторять обучение?
- Как добиться того, чтобы сотрудники применяли полученные знания в реальной работе и не создавали инциденты?
Чтобы ответить на эти и многие другие вопросы, компания «Антифишинг» изучила анонимные данные о 100 тысячах имитированных атак на выборке в 20 тысяч сотрудников из 48 организаций. Атаки были выполнены в платформе «Антифишинг», которая помогает непрерывно обучать сотрудников и тренировать их навыки по информационной безопасности. В процессе эксплуатации платформа собирает статистику по обучению сотрудников, их действиям во время имитированных атак и наличию программных уязвимостей, которые могут способствовать успеху реальной цифровой атаки.
Анализ полученных данных составил основу отчёта о защищённости сотрудников за 2020 год. Сведения и выводы из этого отчёта будут полезны как руководителям и специалистам по информационной безопасности, так и менеджерам, ответственным за обучение персонала и корпоративную культуру.
Ниже мы собрали наиболее интересные на наш взгляд факты и выводы из отчёта.
Скачать полную версию отчёта можно на сайте «Антифишинга».
Обучающих курсов недостаточно для повышения защищённости сотрудников
Повышение осведомлённости, состоящее только из обучающих курсов, практически не влияет на поведение сотрудников.
Рисунок 1. Изменение поведения пользователей, проходивших только обучающие курсы
Изучая этот вопрос, мы в течение года наблюдали за группой сотрудников, которые проходили исключительно обучение, но не тренировку навыков. Оказалось, что через год, в течение которого сотрудники проходили несколько обучающих курсов, поведение изменилось в положительную сторону лишь у 9 % сотрудников.
Также не удалось выявить корреляции между декларируемым качеством курсов, их дизайном, геймификацией и реальными действиями сотрудников во время имитированных атак.
Рисунок 2. Изменение поведения пользователей, проходивших обучающие курсы и тренировку навыков через имитированные атаки
Прохождения сотрудниками курсов недостаточно для защиты организации от современных атак. Необходимо формировать навыки, закрепляя полученные знания с помощью тренировок. При добавлении к обучению тренировки навыков в виде регулярных имитированных атак эффективность повышается в 5 раз, с 9 % до 49 %.
Уязвимость бухгалтерии к кибератакам сильно преувеличена
Проведённый опрос ИБ-специалистов показывает, что самыми уязвимыми категориями сотрудников принято считать бухгалтерию, отдел продаж и административный персонал.
Рисунок 3. Самые «небезопасные» сотрудники с точки зрения ИБ-специалистов
В действительности самое небезопасное поведение демонстрируют представители «творческих» профессий, а также стажёры и ИТ-специалисты.
Рисунок 4. Распределение безопасных и небезопасных действий среди подразделений
Тренировать навыки сотрудников с помощью атак нужно раз в месяц или чаще
Статистика показывает, что поведение сотрудников при атаках, проводимых реже чем раз в месяц, не становится безопаснее. Более того, при повышении сложности атаки наблюдается значительное ухудшение показателей.
Редкие рассылки не позволяют сформировать навыки. Их можно рассматривать лишь в качестве средства проверки изменений в поведении пользователей за период.
Важно проводить имитированные атаки регулярно, поддерживая максимальное разнообразие психологических манипулятивных приёмов в самих атаках, чтобы действительно формировать и закреплять навыки и «насмотренность» сотрудников в части ИБ.
Моментальная обратная связь существенно повышает эффективность тренировки навыков
Важным элементом, который определяет эффективность тренировки навыков сотрудников, является использование финальных страниц при рассылке имитированных атак.
Рисунок 5. Пример мгновенной обратной связи после того, как сотрудник разрешил доступ к камере и микрофону на имитированном фишинговом сайте
Финальная страница открывается в браузере или непосредственно в документе у сотрудника сразу после совершения им небезопасного действия.
Финальная страница выполняет следующие задачи:
- даёт пользователю моментальную обратную связь, уведомляя о том, что он совершил небезопасное действие и к чему это могло привести;
- обучает пользователя, поясняя, что он сделал не так и как ему следует поступать в подобных ситуациях в следующий раз;
- мотивирует сотрудника сообщать о подозрительных письмах или обнаруженных атаках, стимулируя внутренние коммуникации и проактивное, безопасное поведение.
В случае когда финальные страницы не используют в имитированных атаках, эффективность тренировок снижается, количество небезопасных действий у сотрудников растёт с 13 % до 45 %, пока не «вскрывается» информация об атаках, после чего наблюдается резкий рост безопасного поведения с 55 % до 96 %. Это подтверждает необходимость моментальной обратной связи при тренировке навыков, поскольку позволяет заметно быстрее достигнуть целевого уровня безопасного поведения у сотрудников.
Выводы
В 2020 году большинству организаций и их сотрудников пришлось перейти на новый для себя формат работы — онлайн, удалённо, вне офиса.
Пока службы безопасности были заняты подготовкой защищённых каналов связи и другой инфраструктуры, мошенники атаковали людей: число киберпреступлений в первом полугодии 2020 года выросло на 91,7 %, а основным вектором атак стала социальная инженерия.
Чтобы защитить свою организацию в новых условиях, недостаточно применять лучшие средства защиты и ограничиваться традиционным повышением осведомлённости в вопросах информационной безопасности.
Собранные в процессе исследования данные показывают, что только комплексный подход, в рамках которого к обучению добавляется непрерывная тренировка навыков с помощью имитированных атак, позволяет заметно улучшить защищённость организации — с 9 до 49 %.
Для ИБ-специалистов могли стать неожиданностью выводы о большей в среднем защищённости сотрудников бухгалтерии и отделов продаж по сравнению с творческими профессиями и ИТ-специалистами, однако понимание этого факта чрезвычайно важно при оценке рисков и построении стратегии защиты компании.
Для специалистов, которые отвечают за обучение и формирование навыков, полезными будут сведения об эффективности использования платформы «Антифишинг» и особенностях её использования для различных категорий сотрудников.
Скачать полную версию отчёта можно на сайте «Антифишинга».