Ущерб от киберпреступлений ежегодно обходится мировой экономике в миллиарды долларов. Их масштабы и сложность постоянно растут, и наиболее частой причиной заражения становятся ошибки сотрудников. Так считают 52% опрошенных «Лабораторией Касперского» организаций по всему миру (всего в исследовании участвовали 6614 респондента из 29 стран). Позже еще одно исследование под названием «Цифровой бардак» показало, что персонал далеко не всегда соблюдает меры цифровой безопасности. Так, 60% работников в разных компаниях хранят на своих рабочих устройствах конфиденциальные данные (в том числе финансовую информацию, базы e-mail). А треть признались, что делились логином и паролем от рабочего компьютера с коллегами.
Сотрудники могут скомпрометировать корпоративные данные не только по злому умыслу, но и невольно: по халатности или просто из-за недостаточной цифровой грамотности. Именно в силу незнания, невнимательности или случайных ошибок люди переходят по фишинговым ссылкам, используют небезопасные корпоративные пароли, самостоятельно пытаются бороться с вирусами-шифровальщиками. Все это ставит под угрозу кибербезопасность организации.
В России средний ущерб от успешной кибератаки для крупных организаций в «Лаборатории Касперского» оценивают в сумму свыше 14 млн руб. Для компании среднего или малого бизнеса цена вопроса составляет около 4,3 млн руб. Существенные цифры, чтобы обратить внимание на проблему.
Дорогие ошибки
Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов приводит пример с кражей в одном крупном банке: «Миллионы долларов были украдены после того, как один из сотрудников открыл фишинговое письмо с вирусом. Через его компьютер злоумышленники получили доступ к финансовым потокам компании. Выявить зараженное устройство было крайне затруднительно, а на время поисков бизнес был практически парализован. В итоге помимо украденных средств компания фиксировала еще и упущенную выручку за этот период».
Киберпреступники могут добраться не только до корпоративных счетов, но и до денег частных клиентов. Подобная история случилась с одним из крупных розничных магазинов. «В компании в целом была достаточно качественно организована система информационной безопасности, однако у клиентов начали пропадать деньги с банковских карт. Как выяснилось при расследовании инцидента, заражение началось с офисного компьютера секретаря, — рассказывает Сергей Голованов. — Сотрудники службы безопасности не отслеживали ситуацию с возможными угрозами — в том числе не следили, ведется ли подбор паролей. Но даже самые сложные и устойчивые к взлому пароли можно подобрать за несколько месяцев. Именно это и произошло: злоумышленники похищали данные банковских карт и выкладывали их в интернет для продажи на форумах».
Еще один пример, с которым столкнулась «Лаборатория Касперского», касается утечки информации в телеком-компании. После интеграции в ее инфраструктуру нового небольшого игрока была украдена база данных. В сети только что приобретенной компании «жил» вирус, который и позволил проникнуть на серверы оператора, где хранились конфиденциальные данные.
Во всех этих случаях, обращают внимание эксперты «Лаборатории Касперского», одной из причин инцидентов стал невысокий уровень цифровой грамотности персонала.
Привычка вместо зазубривания
Для минимизации ущерба от атак интернет-злоумышленников многие компании уже стремятся прививать в своей экосистеме культуру безопасного обращения с конфиденциальной информацией. По данным FS-ISAC (The Financial Services Information Sharing and Analysis Center), 35% директоров по информационной безопасности (ИБ) указали обучение персонала в качестве приоритетной задачи для повышения уровня защищенности от кибератак. Это стремление привело к тому, что рынок ИБ-тренингов устойчиво растет по всему миру почти на 50% в год. По данным «Лаборатории Касперского», в 2018 году крупные компании увеличили свои расходы на этот вид корпоративного обучения более чем на 40%, а малый и средний бизнес — более чем на 60%. Насколько эффективны эти вложения в конечном итоге — если киберпреступления параллельно только множатся? Как гарантировать, что сотрудники действительно прошли программу обучения до конца и сохранили в памяти все полученные знания?
По мнению представителя программы Kaspersky Security Awareness Елены Молчановой, важно, чтобы тренинги по информационной безопасности не просто обучали и повышали осведомленность об онлайн-опасностях, но, в первую очередь, развивали навыки безопасного поведения. Вариантов действий у киберпреступников масса, и предусмотреть в инструкции все сценарии атак просто невозможно. «Главная цель ИБ-тренингов — не вводить запреты и ограничения, а формировать устойчивые привычки для обеспечения надежной безопасности сотрудников и всей компании в цифровой среде», — считает Елена Молчанова.
Школа выживания в цифровых джунглях
Для формирования и закрепления навыков безопасного цифрового поведения используются традиционные принципы регулярного повторения пройденного материала и постепенного наращивания его сложности. По этой логике построена и программа онлайн-обучения на базе платформы Kaspersky Automated Security Awareness Platform (ASAP). По словам Елены Молчановой, этот онлайн-инструмент учит сотрудников принимать более безопасные решения в любой, даже неизвестной заранее, ситуации.
Программа позволяет обучать сотрудников только тем темам, которые им необходимы и до нужного уровня, в зависимости от рабочих обязанностей и профиля риска. Благодаря полной автоматизации исходя из этих данных выстраивается индивидуальный график обучения, и программа будет «подтягивать» сотрудников до заданного целевого уровня. Например, рядовым сотрудникам необходимы лишь базовые умения, которые позволяют справляться с массовыми (как правило, достаточно простыми и недорогими для организации) атаками. Однако менеджерам и руководителям нужно уметь обезопасить данные целого департамента, а значит необходимы знания на продвинутом уровне. Соответственно, программа для каждой группы построит свой график, будет рассылать приглашения, напоминания и рекомендации в зависимости от прогресса обучения.
Каждый урок на Kaspersky ASAP длится не более десяти минут, чтобы не отвлекать от рабочих процессов надолго и не терять внимание слушателей, как часто происходит на стандартных длинных занятиях. В этот временной интервал входит интерактивный модуль, напоминание по почте с основными положениями пройденного, а также упражнения на закрепление и проверку (тест или имитация фишинговой атаки). Упражнения практически применимы к повседневной работе сотрудника. Пока одно из них не будет завершено, нельзя перейти на следующий этап тренинга. Такая структура позволяет наиболее эффективно запоминать и, самое главное, использовать полученные знания. Один пройденный урок формирует минимум один новый навык. Всего за полный курс их можно отработать 350. В результате обучения сотрудники смогут действовать по нужному алгоритму— заметить признаки опасности и не допустить киберпреступления. А руководство может оценить прогресс и результат обучающихся благодаря мониторингу и аналитическим отчетам.
Основные темы курсов Kaspersky ASAP
- Веб-сайты, ссылки и интернет.
- Безопасность электронной почты и защита от фишинга.
- Пароли и учетные записи.
- Безопасное использование соцсетей и мессенджеров.
- Безопасность компьютеров.
- Защита мобильных устройств.
