Осваиваем навыки кибербезопасности
Представители отрасли компьютерной безопасности уверены: наиболее серьезную угрозу для современных информационных систем представляют не вирусы и прочие программы-зловреды, а пресловутый человеческий фактор. Своими неосторожными, а порой и умышленными действиями сотрудники крупных (и не только) компаний способны свести на нет даже самую продвинутую систему защиты. Примеры, красноречиво иллюстрирующие данный тезис, встречаются повсеместно и объясняются, как правило, в сослагательном наклонении: «если бы Иванов не открыл подозрительное вложение в мэйле…», «если бы Петров не использовал ненадежный пароль…», «если бы Сидоров не…».
По результатам исследования «Лаборатории Касперского» на тему «Информационная безопасность бизнеса», затронувшего около 7 тыс. IT-специалистов из 29 стран, включая Россию, этот тезис подтвердился: 52% компаний по всему миру считают наибольшей угрозой системе корпоративной безопасности самих сотрудников, поскольку их действия могут скомпрометировать корпоративные данные. В силу низкой цифровой грамотности, а зачастую обычной халатности они проходят по фишинговым ссылкам, используют небезопасные корпоративные пароли, самостоятельно пытаются бороться с вирусами-шифровальщиками и т. д. Между тем ошибка одного сотрудника даже в секторе малого или среднего бизнеса обходится весьма недешево – средний ущерб от успешной атаки составляет 4,3 млн рублей!
Традиционно с проявлениями безграмотности в компаниях борются, организуя тренинги и лекции о кибербезопасности силами ИТ-отдела, а в лучшем случае приглашая сторонних консультантов. Но эффективность подобных мер крайне низка: работники воспринимают их как нечто избыточное и забывают обо всем услышанном чуть ли не сразу после выхода из лекционной комнаты.
Проанализировав ситуацию, специалисты «Лаборатории Касперского» предложили принципиально новый подход: решение Kaspersky Automated Security Awareness Platform (ASAP), построенное на комбинации видеороликов и интерактивного модуля, оптимизировано под особенности человеческой памяти. Так, изначально производится оценка уровня знаний и навыков сотрудника, и только после его полного усвоения предыдущего уровня преподносится более сложная часть. Чтобы не перегружать обучаемого информацией, длительность урока ограничена 10 минутами, после чего предлагается выполнить упражнения на закрепление полученных знаний – пройти тест или имитацию фишинговой атаки.
Формально считается, что, пройдя такой курс, человек осваивает около 350 навыков, но на деле программа вырабатывает умение адекватно реагировать на любую, в том числе нештатную ситуацию. Эту особенность продукта ASAP подчеркивает Вячеслав Борилин, руководитель программы Kaspersky Cybersecurity Awareness: «Новая платформа – это эффективный онлайн-инструмент, который учит сотрудников принимать более безопасные решения в любой, даже неизвестной заранее ситуации».
Но не начнут ли сотрудники уклоняться от прохождения тренингов, подставляя заведомо известные ответы и манкируя обучением? Безусловно, полностью исключить такого нельзя, но есть нюанс: система интерактивна и предлагает руководителю широкий набор функций по контролю результатов, а также систему прогнозирования эффективности обучения. Кроме того, в программе задействован соревновательный принцип: сравнивая свои результаты друг с другом, сотрудники получают стимул к дальнейшему совершенствованию, а наиболее продвинувшихся в учебе руководство компании может поощрять более «материальными» способами.
Смотреть все статьи по теме "Информационная безопасность"