Богдан Пісміченко, Лабораторія Касперського Компанії, яким вдається створити культуру безпеки

Наші дослідження та дослідження інших галузей неодноразово показували, що більшість випадків кібербезпеки в компанії спричинені діями співробітників - понад 80%, згідно з нашими даними. Якщо хтось відкриває фішинговий електронний лист, не змінює свій пароль періодично або не встановлює сумнівні програми на своєму телефоні, кібератаки - здебільшого, мимоволі, - широко відкритою мережею.

касперського

Ще більш тривожним є той факт, що порушення даних не означає лише фінансові втрати та шкоду репутації компанії. Це також має конкретні наслідки серед співробітників, які викривали дані компанії або клієнтів: минулого року в третині випадків були люди, які втратили роботу. Більшість з них не були пов'язані з ІТ-сферою.

Тому ми вважаємо, що, крім ефективного рішення безпеки, адаптованого до профілю компанії, дуже важливо усвідомлювати важливість кіберзагроз серед працівників. Як загальне правило, обізнаність повинна бути постійним зусиллям для просвітництва працівників про політику безпеки компанії та кіберзагрози, а також про способи їх захисту. Методи соціальної інженерії продовжують мати дуже високий рівень успіху, тому представники компаній повинні приділяти їм пильну увагу.

Залежно від розміру та специфіки компанії, ми використовуємо кілька методів навчання в галузі кібербезпеки: віч-на-віч, з інструктором - для ІТ-команд організації та в Інтернеті - для інших співробітників або комбінацію двох методів. Тренери спираються на багато історій та прикладів зі свого досвіду, і в той же час хочуть знати, якою є перспектива учасників: вони стикалися з проблемами, як реагували, що вони хочуть знати. Таким чином, навчальні заняття стають інтерактивними та цікавими.

Продукти лінійки Kaspersky Security Awareness пропонують необхідну підтримку компаніям, які хочуть покращити свою оборону, знижуючи майже до нуля ризики в одній з найбільш вразливих областей - працівників. На основі найефективніших методів: ігрової діяльності, практичного підходу та періодичного повторення, для закріплення знань вони можуть застосовуватися на всіх рівнях організації.

Наші платформи для навчання персоналу в Інтернеті побудовані таким чином, що вони не вписуються в типовий нудний тренінг, на який всі перевіряють свою електронну пошту, і не можуть дочекатися закінчення. Існує 25 модулів, що охоплюють все, що потрібно знати людині, яка не працює в ІТ-відділі. Наприклад, модулі містять інформацію про захист мобільних пристроїв, електронну пошту, захист паролем, GDPR або захист від вимог. Тести проводяться у декілька етапів, і працівники можуть бути здивовані отриманням електронного листа з фішингом. Якщо вони потраплять у пастку, їм повідомлять, що цього разу це був лише тест, але наступного разу це може становити реальну небезпеку, що вплине на всю мережу компанії.

Секрет успіху програми ІТ-безпеки полягає у послідовності та оцінці. Так само, як під час дієти чи спортивної діяльності, нічого не змінюється ні за ніч, ні після зусиль, що тривають два-три тижні: для помітних результатів необхідна зміна способу життя. У випадку з компаніями необхідне переосмислення кібербезпеки: можливо, це не щось, з чим можна мати справу раз на рік і мати бажані результати, але це постійні зусилля. Щодо оцінки, є два аспекти: спочатку оцінка знань працівників, потім програма з кібербезпеки: чи є елементи, які пройшли краще за інших, що спрацювало, що можна покращити? Компанії, яким вдається створити культуру кібербезпеки, де співробітники відчувають відповідальність за свої дії та застосовують, в довгостроковій перспективі, перероблені практики перемагають.