Каждый 8 сотрудник открывает фишинговое письмо. В QIWI решили эту проблему

Особенности фишинговых атак в том, что они нацелены не на оборудование, операционные системы или программы, а на человека. В их основе лежат приемы психологического воздействия, а также учитываются потребности пользователя, его личностные черты и демографические характеристики. В итоге атака получается максимально персонализированной, что увеличивает ее шансы на успех.

Смоделируем типичную ситуацию. Рядовой сотрудник получает письмо с заголовком «Zoom: Ошибка Запланированной Встречи» или «Изменения в условиях ДМС» — это реальные примеры писем, на которые пользователи часто попадались в конце 2020, согласно отчету KnowBe4. Переход по ссылке или открытие вложенного файла ведет к потере данных или началу более сложной атаки на инфраструктуру, и все это из-за невнимательности отдельного человека.

Как ни странно, но наиболее подвержены фишингу сотрудники IT и техподдержки российских компаний — об этом говорит наше недавнее исследование. У них создается ложное ощущение защищенности знаниями, что ведет к снижению бдительности и увеличению рисков. Тем временем опыт показывает, что устойчивый навык распознавания угрозы формируется только на основе регулярных практических тренингов.

Как обучить сотрудников киберграмотности

В QIWI начали повышать уровень осведомленности сотрудников о фишинге, чтобы сократить количество возможных инцидентов. Как рассказала глава корпоративного отдела ИБ Екатерина Пухарева, кроме «теоретических» информационных программ практиковались тестовые фишинговые рассылки раз в год.

Но этого оказалось недостаточно. Год — слишком долгий срок, за который пользователи успевали все забыть. Как результат, те же самые сотрудники попадались на тренировочные письма от ИБ снова. Хотя в QIWI не сталкивались с серьезным уроном от атак, топ-менеджмент считает принципиально важным повышать осведомленность в коллективе, чтобы превентивно снизить риск человеческого фактора и непреднамеренной реакции сотрудников на такие рассылки.

Сначала сотрудник проходит все тренинги и знакомится с необходимыми документами. После этого ему приходит фишинговое письмо и назначаются курсы по информационной безопасности. Система позволяет использовать планировщик задач, а также добавлять метки (например, метка «новый сотрудник», которая создается автоматически при добавлении сотрудника с систему).

Кроме этого ежеквартально проводится массовая тестовая рассылка фишинговых писем. Причем письма создаются с учетом тематик, актуальных именно для заказчика.

Пройти курсы «для галочки» и просто пролистать не получится: прохождение материала подробно отслеживается в системе. Компания видит разные метрики: сколько времени человек потратил на курс в целом, сколько заняли ответы на вопросы и так далее. Если сотрудник считает, что ему недостает каких-то знаний, то может самостоятельно пройти релевантные курсы по безопасности напрямую в системе «Антифишинга». Стандартный функционал системы был специально доработан с учетом требований QIWI.

Важный итог обучения и тренировки навыков: количество обращений сотрудников в отдел информационной безопасности о возможных угрозах уже выросло на четверть. Это большой прорыв, так как по статистике Kratikal только 3% пользователей могут распознать небанальное фишинговое письмо. Кроме того сотрудники стали реже переходить по фишинговым ссылкам и вводить логины и пароли на фишинговых сайтах.

Второй, не самый очевидный результат, — рост уровня доверия в коллективе. Курсы и практические тренировки помогли повысить лояльность сотрудников к отделу информационной безопасности.

Как достичь максимума

1. Повышайте осведомленность о проблеме. Рассказывайте сотрудникам о реальных кейсах и сценариях атак. Можно посвятить этому отдельную рубрику в корпоративных медиа.
2. Проводите регулярные практические занятия для всех: от рядового сотрудника до гендиректора. Тех, кто попался на атаку, отправляйте на повторное обучение. Никаких исключений даже для топов. Можно попробовать геймификацию: награждайте самых бдительных цифровыми бейджами или званием корпоративного «чемпиона».
3. Налаживайте контакт между отделом информационной безопасности и сотрудниками. Так людям будет комфортнее и привычнее обращаться к сотрудникам ИБ, а в один момент это поможет спасти вашу компанию от реальной атаки.
4. Фиксируйте результаты. Они пригодятся в дальнейшей аналитике, которая позволит выстроить полноценную картину защищенности сотрудников и готовности компании к кибератакам.