Фишинг остается самым эффективным и популярным приемом кибермошенничества. По статистике Keepnet, жертвой становится каждый восьмой сотрудник. Суммы ущерба могут быть значительными. Например, Nikkei только один инцидент обошелся в $29 млн, когда мошенник притворился топ-менеджером компании.
Сергей Волдохин, директор компании «Антифишинг», на примере QIWI рассказал, как научить сотрудников распознавать любые атаки с целью хищения данных и правильно на них реагировать.
Особенности фишинговых атак в том, что они нацелены не на оборудование, операционные системы или программы, а на человека. В их основе лежат приемы психологического воздействия, а также учитываются потребности пользователя, его личностные черты и демографические характеристики. В итоге атака получается максимально персонализированной, что увеличивает ее шансы на успех.
Смоделируем типичную ситуацию. Рядовой сотрудник получает письмо с заголовком «Zoom: Ошибка Запланированной Встречи» или «Изменения в условиях ДМС» — это реальные примеры писем, на которые пользователи часто попадались в конце 2020, согласно отчету KnowBe4. Переход по ссылке или открытие вложенного файла ведет к потере данных или началу более сложной атаки на инфраструктуру, и все это из-за невнимательности отдельного человека.
Как ни странно, но наиболее подвержены фишингу сотрудники IT и техподдержки российских компаний — об этом говорит наше недавнее исследование. У них создается ложное ощущение защищенности знаниями, что ведет к снижению бдительности и увеличению рисков. Тем временем опыт показывает, что устойчивый навык распознавания угрозы формируется только на основе регулярных практических тренингов.
Как обучить сотрудников киберграмотности
В QIWI начали повышать уровень осведомленности сотрудников о фишинге, чтобы сократить количество возможных инцидентов. Как рассказала глава корпоративного отдела ИБ Екатерина Пухарева, кроме «теоретических» информационных программ практиковались тестовые фишинговые рассылки раз в год.
Но этого оказалось недостаточно. Год — слишком долгий срок, за который пользователи успевали все забыть. Как результат, те же самые сотрудники попадались на тренировочные письма от ИБ снова. Хотя в QIWI не сталкивались с серьезным уроном от атак, топ-менеджмент считает принципиально важным повышать осведомленность в коллективе, чтобы превентивно снизить риск человеческого фактора и непреднамеренной реакции сотрудников на такие рассылки.
Сначала сотрудник проходит все тренинги и знакомится с необходимыми документами. После этого ему приходит фишинговое письмо и назначаются курсы по информационной безопасности. Система позволяет использовать планировщик задач, а также добавлять метки (например, метка «новый сотрудник», которая создается автоматически при добавлении сотрудника с систему).
Кроме этого ежеквартально проводится массовая тестовая рассылка фишинговых писем. Причем письма создаются с учетом тематик, актуальных именно для заказчика.
После атаки в компании детально анализируют результаты: количество пользователей, которые открыли письмо, прошли по ссылке, ввели свои данные в форму, скачали вложение, сообщили о письме в отдел информационной безопасности. Тем, кто «попался» на тестовые письма, повторно назначаются обучающие курсы. Это позволяет освежить знания и минимизировать риск повторения подобных ситуаций в будущем.
Пройти курсы «для галочки» и просто пролистать не получится: прохождение материала подробно отслеживается в системе. Компания видит разные метрики: сколько времени человек потратил на курс в целом, сколько заняли ответы на вопросы и так далее. Если сотрудник считает, что ему недостает каких-то знаний, то может самостоятельно пройти релевантные курсы по безопасности напрямую в системе «Антифишинга». Стандартный функционал системы был специально доработан с учетом требований QIWI.
Важный итог обучения и тренировки навыков: количество обращений сотрудников в отдел информационной безопасности о возможных угрозах уже выросло на четверть. Это большой прорыв, так как по статистике Kratikal только 3% пользователей могут распознать небанальное фишинговое письмо. Кроме того сотрудники стали реже переходить по фишинговым ссылкам и вводить логины и пароли на фишинговых сайтах.
Второй, не самый очевидный результат, — рост уровня доверия в коллективе. Курсы и практические тренировки помогли повысить лояльность сотрудников к отделу информационной безопасности.
Как достичь максимума
- Повышайте осведомленность о проблеме. Рассказывайте сотрудникам о реальных кейсах и сценариях атак. Можно посвятить этому отдельную рубрику в корпоративных медиа.
- Проводите регулярные практические занятия для всех: от рядового сотрудника до гендиректора. Тех, кто попался на атаку, отправляйте на повторное обучение. Никаких исключений даже для топов. Можно попробовать геймификацию: награждайте самых бдительных цифровыми бейджами или званием корпоративного «чемпиона».
- Налаживайте контакт между отделом информационной безопасности и сотрудниками. Так людям будет комфортнее и привычнее обращаться к сотрудникам ИБ, а в один момент это поможет спасти вашу компанию от реальной атаки.
- Фиксируйте результаты. Они пригодятся в дальнейшей аналитике, которая позволит выстроить полноценную картину защищенности сотрудников и готовности компании к кибератакам.
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Старт работы на Wildberries»
- 1 Безопасность мобильных приложений: главные угрозы и способы защиты данных
- 2 В России разработали ИИ-модуль для поиска преступников в Telegram
- 3 Графический ключ — один из самых ненадежных способов блокировки смартфона
- 4 Безопасное управление данными сотрудников: сбор и хранение персональных сведений
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025