Работодателю проще повысить осведомленность сотрудника о кибербезопасности, чем самому человеку

Киберугрозы стремительно стали частью повседневной жизни как для людей, так и для предприятий. Успевать за постоянно развивающейся сферой киберпреступности становится всё труднее, и с каждым днём число жертв мошеннических звонков и фишинговых писем лишь растёт. Из прошлогоднего отчета Telia Company о кибербезопасности также следует, что именно человек с низким уровнем осведомлённости стал одной из главных угроз для безопасности компаний, и целых 52% руководителей признали, что их сотрудники недостаточно осведомлены о рисках. Тот же отчёт предполагает, что именно работодатель должен изменять привычное поведение работников. Согласно отчету Verizon о случаях утечки данных, целых 68% всех киберинцидентов связаны с человеческим фактором.

«Киберпреступность развивается пугающе быстро. Немалую роль в этом играет и стремительное развитие искусственного интеллекта, из-за чего человек с низким уровнем осведомлённости становится всё большей угрозой как для себя самого, так и для своего работодателя», — сказал архитектор решений в сфере кибербезопасности Telia Кристьян Альяс. Он добавил, что снизить риск стать жертвой киберпреступников помогает регулярное обновление знаний работников в этой области. Одним из наиболее эффективных методов здесь являются гибкие микрокурсы, содержание которых всегда актуально и адаптировано под распространённые схемы мошенничества.

К выводу о том, что именно работодателю проще повысить осведомлённость работников о киберугрозах, пришёл и исполнительный директор Центра вспомогательных средств ITAK Индрек Катушин. По его словам, сотрудник может быть прекрасным специалистом в своей области, но от него нельзя ожидать, что он будет и экспертом по киберугрозам.

«ITAK — компания, которая обрабатывает достаточно большой объём чувствительных персональных данных. Поэтому мы со своим ИТ-партнёром сделали всё возможное, чтобы избежать рисков, — рассказал Катушин. — Впрочем, самым большим риском всё же остаётся человеческий фактор. У нас работает множество отличных специалистов по обслуживанию, которые умеют помочь клиенту с его проблемами, но, будем честны, они не всегда хорошо разбираются в ИТ».

После того как Катушин сам столкнулся с мошеннической схемой Omniva и в то же время произошла утечка данных в Apotheka, было принято решение протестировать уровень осведомлённости сотрудников. От имени офис-менеджера было отправлено тестовое письмо. Выяснилось, что, не подозревая подвоха, по ссылке из классического фишингового письма кликнули многие сотрудники.

«Позже мы объяснили, зачем провели этот эксперимент. Поскольку многие никогда ранее с подобным не сталкивались, они поняли, насколько это действительно опасно», — пояснила офис-менеджер ITAK Мари Каттаго. После теста было решено попробовать киберкурс от Telia, где знания можно получать небольшими порциями. Например, есть короткие интерактивные видео о фишинговых письмах — как посмотреть, кто именно является отправителем, как проверить адрес, на какие ссылки можно нажимать и как определить, куда ссылка на самом деле ведёт и так далее. В конце каждого видео — контрольные вопросы. Темы регулярно пополняются, и при желании можно пересматривать материалы для освежения памяти.

По словам Катушина, такой способ обучения идеален, поскольку сотрудник может проходить его в собственном темпе и в рабочее время. Регулярный просмотр обучающих видео и немедленное применение новых знаний на практике даёт лучший результат, чем, скажем, участие в многочасовом курсе раз в год. «Кибербезопасность по сути является фактором гигиены, но она не станет таковой, если прослушать один курс один раз», — отметил он.

По словам Каттаго, на сегодняшний день около 70 сотрудников ITAK прошли уже пять киберкурсов, и обратная связь была весьма положительной. Например, работники отмечали, что теперь они лучше различают поддельные адреса, лучше понимают суть киберугроз и стали внимательнее к потенциальным опасностям.

«Средний возраст наших сотрудников — 52 года. Именно люди такого возраста чаще всего становятся жертвами мошенников, если раньше с подобным не сталкивались. Молодёжи об этом рассказывают уже в школе, и они в целом более осведомлены», — сказал Катушин. Он подчеркнул, что цель киберкурсов — не только защитить чувствительные данные ITAK, но и продемонстрировать сотрудникам, что о них действительно заботятся.

«Разумеется, проводя обучение, мы защищаем и предприятие, но на самом деле эти знания важны не только в рабочем контексте, а всё больше — и в повседневной жизни. Скажем, чтобы человек умел отличить, действительно ли письмо или сообщение пришло из банка или же от мошенников», — пояснил Катушин. — «Это как часть предлагаемого сотрудникам мотивационного пакета — мы не только требуем от них выполнения служебных обязанностей, но и хотим показать, что нам важно, чтобы у них всё было хорошо и в личной жизни».