Фишинг – компьютерная чума XXI века, в беспрерывной войне с которой победу пока одерживают отнюдь не компании. И не мудрено: простая и быстрая атака, не требующая особых материально-технических средств с завидной регулярностью проходит сквозь все системы защиты и лишь единицы могут эффективно противостоять подобному воздействию. В итоге, компании несут убыток, теряют терабайты информации и приостанавливают свою деятельность на часы, дни, а иногда даже недели, а хакеры потирают руки, ведь они, как всегда, в выигрыше.
В прошлой статье речь шла о технических средствах, помогающих отразить фишинговую атаку. В продолжение материала речь пойдет о самой сложной части противодействия злоумышленникам – обучению персонала.
Сложно переоценить важность «человеческого фактора» в системе противостояния киберугрозам. Как ни странно, цель всевозможных регулярных тренингов и обучений – не повышение квалификации персонала. Главная задача – повышение уровня безопасности компании за счет комплексной модификации поведения сотрудников. Поэтому простыми лекциями, состоящими из клише и штампов в духе «вражеский хакер не дремлет» и «кликать по ссылкам плохо, не надо так» не обойтись. Выработка правильных реакций и действий в кризисных ситуациях, закрепленных на уровне инстинктов, подразумевает серьезный основательный подход.
1. Моделирование реальных ситуаций
Прочитав лекцию о киберугрозах и фишинге, проведя контрольное тестирование-опрос руководитель с высокой степенью вероятности не добьется ничего, кроме впустую потраченного времени. Учиться необходимо на практике. Самый лучший способ закрепления правильного поведения – моделирование реальной ситуации и анализ правильных действий и совершенных ошибок.
Для проведения подобных мероприятий не обязательно тормозить работу всей компании, достаточно выбрать несколько фокус-групп из разных департаментов. В следующий раз участниками эксперимента станут их коллеги или работники, неверно отреагировавшие на угрозу.
Далее, необходимо подготовить минимальную базу для атаки: подходящую электронную почту и письмо с вредоносным вложением или ссылкой. Не стоит пренебрегать излюбленным хакерским приемом – социальной инженерией. Для правдоподобности стоит изучить профили «жертв» в социальных сетях и снабдить послание определенными личными данными.
Письмо-приманка может быть как «деловым», замаскированным под уведомление из банка или государственных органов, так и личным, содержащим информацию о скидках на билеты любимой футбольной команды.
Если сотрудник «клюнул» на приманку, стоит отправить ему сообщение с информацией о том, что же только что произошло. Например, необдуманные действия привели к заражению системы компании или краже паролей.
Следующий этап – дебрифинг, проще говоря «разбор полетов», сбор и анализ статистических данных: сколько работников из фокус-группы действовали неверно; экстраполяция статистики на всю компанию; разработка методичек и инструкций.
2. Помощь отдела маркетинга
Практически в каждой организации есть специально обученные люди, в задачи которых входит общение с аудиторией. Это отдел маркетинга. Не стоит пренебрегать их возможностями. Привлечение маркетологов к обучению персонала внутри компании дает максимальный эффект. Они смогут разработать стратегии общения с коллективом, основанные на разнообразных вариантах доведения информации, таких как: вебинары, внутрикорпоративные рассылки, методички, должностные инструкции или визуализированные буклеты.
Несмотря на трудоемкость процесса, не стоит пренебрегать всеми возможностями. Как утверждают ведущие эксперты по информационной безопасности, все инвестиции в защиту данных окупаются ровно за одну атаку. И компании, своевременно не подготовившиеся к такому развитию событий, могут это легко подтвердить.
3. Поощрение правильных действий
Американский и европейский бизнес пришел к выводу, что самым действенным средством обучения является материальное стимулирование. Сотрудников, адекватно прореагировавших в процессе симуляции фишинговой атаки, стоит поощрить премией.
Не лишним будет предусмотреть всевозможные поощрения для работников, обнаруживших реальную угрозу. Подобный подход позволяет добиться серьезного отношения к возможным рискам и дает отличный стимул сотрудникам внимательно изучать материалы по кибербезопасности.