Богдан Писмиченко, Лаборатория на Касперски Компании, които успяват да създадат култура на сигурност
Нашите изследвания и тези на други в бранша многократно показват, че повечето инциденти в областта на киберсигурността в дадена компания са причинени от действия на служителите - над 80%, според нашите данни. Независимо дали някой отваря фишинг имейл, не променя периодично паролата си или инсталира съмнителни приложения на телефона си, оставя кибернападателите - по-голямата част от времето, без да иска - широко отворен шлюз към мрежата.
Още по-тревожен е фактът, че нарушаването на данни не означава само финансови загуби и увреждане на репутацията на компанията. Това има и конкретни ефекти сред служителите, които са разкрили данните на компанията или клиентите: миналата година в една трета от случаите имаше хора, загубили работата си. Повечето от тях не са свързани с ИТ сферата.
Ето защо ние вярваме, че освен ефективно решение за сигурност, адаптирано към профила на компанията, е много важно да осъзнаем значението на кибер заплахите сред служителите. Като общо правило информираността трябва да бъде постоянно усилие за обучение на служителите относно политиките за сигурност на компанията и кибер заплахите, заедно с начините за тяхната защита. Техниките за социално инженерство продължават да имат много висока степен на успех, така че представителите на компаниите трябва да им обръщат голямо внимание.
В зависимост от размера и спецификата на компанията, ние използваме няколко метода за обучение в областта на киберсигурността: лице в лице, с инструктор - за ИТ екипите на организацията и онлайн - за други служители или комбинация от двата метода. Обучителите разчитат на много истории и примери от своя опит и в същото време искат да знаят каква е перспективата на участниците: те са се сблъсквали с проблеми, как са реагирали, какво искат да знаят. Така тренировъчните сесии стават интерактивни и интересни.
Продуктите от гамата на Kaspersky Security Awareness предлагат необходимата подкрепа за компаниите, които искат да подобрят защитата си, намалявайки до нула рисковете в една от най-уязвимите области, тази на служителите. Въз основа на най-ефективните методи: игра, практичен подход и периодично повторение, за фиксиране на знания, те могат да се прилагат на всички нива на организацията.
Нашите платформи за онлайн обучение на персонала на компанията са изградени така, че да не се вписват в типичното скучно обучение, за което всеки проверява имейла си и няма търпение да завърши. Има 25 модула, обхващащи всичко, което човек, който не работи в ИТ отдела, би трябвало да знае. Например модулите включват информация за защита на мобилни устройства, имейл, защита с парола, GDPR или защита срещу рансъмуер. Тестовете се извършват на няколко етапа и служителите могат да бъдат изненадани да получат имейл с „фишинг“. Ако попаднат в капана, ще бъдат уведомени, че този път това е просто тест, но следващия път може да бъде реална опасност, засягаща цялата мрежа на компанията.
Тайната на успеха на една програма за ИТ сигурност е последователността и оценката. Точно както при диета или при спортни постижения, нищо не се променя за една нощ или след усилие от две или три седмици: за забележими резултати е необходима промяна в начина на живот. В случая с компаниите е необходимо преосмисляне на киберсигурността: може да не е нещо, с което да се занимавате веднъж годишно и да имате желаните резултати, но това е непрекъснато усилие. Що се отнася до оценката, има два аспекта: първо, оценката на знанията на служителите, след това на програмата за киберсигурност: има ли елементи, които са преминали по-добре от другите, какво е работило, какво може да се подобри? Компаниите, които успяват да създадат култура на киберсигурност, където служителите се чувстват отговорни за своите действия и прилагат, в дългосрочен план усвоените практики са победители.