Олег Свєт
Chief Delivery Officer
Щоб захистити свою організацію від кібератак, потрібно створити культуру, у якій будуть цінувати безпеку та розуміти, як важливо усвідомлювати свої дії.
Багато керівників забезпечують свої компанії інструментами та системами для захисту внутрішньої мережі. Проте їм складно перевіряти, чи дійсно працівники дотримуються політики кібербезпеки та використовують для цього найкращі методи.
Через недотримання норм з кібербезпеки, компанія може стати вразливою до ризиків, особливо, коли співробітники випадково переходять за підозрілими посиланнями або завантажують неліцензійне програмне забезпечення, що може завдати шкоди.
У цій статті Computools досліджує, чому звичайні програми з підвищення рівня обізнаності інформаційної безпеки не виправдовують очікувань та ділиться практичними кроками, які ви можете зробити для розвитку культури кібербезпеки серед працівників.
СТАТИСТИКА ВИПАДКІВ У СФЕРІ КІБЕРБЕЗПЕКИ
Відповідно до останнього звіту Data Breach Investigations Report, 82% підтверджених порушень конфіденційності даних у компаніях були спричинені людським фактором.
Цей показник свідчить про те, що багатьох проблем з безпекою на роботі можна було б уникнути за допомогою заходів, які спрямовані на усунення людського фактора чи навмисних дій.
CNBC також підкреслив, що неуважність співробітників є головною причиною витоку даних.
До дій, які спричиняють проблеми з кібербезпекою, належать: неспроможність захистити пристрої, вибір простих паролів, нехтування оновленнями програмного забезпечення.
Звичайно, витік даних через людську помилку або збої у роботі системи призведе до менших втрат, аніж через хакерську атаку. Однак недооцінювати вплив недбалості працівників — не варто.
Звіт IBM за 2023 рік щодо збитків від витоку даних, для якого було опитано понад 550 організацій, що постраждали від розкриття інформації, показав, що середня вартість порушень через випадкові людські помилки досягла 4,45 мільйона доларів США, що означає зростання на 15% за останні три роки.
Багато хто міг би подумати, що така недбала поведінка є наслідком недостатньої освіченості у галузі кібербезпеки.
Проте нещодавнє опитування Gartner продемонструвало, що співробітники свідомо йдуть на ризиковані дії, як-от відкриття електронних листів від невідомих відправників на робочих девайсах.
Тож ми можемо припустити, що проблема полягає не лише у компетентності, яку прагнуть розвинути сучасні програми з вивчення питань безпеки, а й у людській поведінці.
Сьогодні компанії розуміють, що задля зниження ризиків кібербезпеки, які виникають через прості помилки співробітників, недостатньо лише освітніх заходів.
Компанії, які серйозно ставляться до ймовірних ризиків у кібербезпеці через людський фактор, мають вжити додаткових заходів.
4 НАЙПОШИРЕНІШІ ПОМИЛКИ У КІБЕРБЕЗПЕЦІ, ЯКИХ ПРИПУСКАЮТЬСЯ СПІВРОБІТНИКИ
Компанія Gartner провела опитування 1310 співробітників різноманітних компаній та склала перелік найпоширеніших помилок.
1. НЕХТУВАННЯ ПРАВИЛАМИ БЕЗПЕКИ
Близько 69% респондентів визнали, що навмисно ігнорували інструкції з безпеки протягом останніх 12 місяців.
Така поведінка створює безпосередні ризики для безпеки даних й інших систем та вказує на ширшу проблему, повʼязану зі ставленням співробітників до політики інформаційної безпеки.
Коли працівники нехтують інструкціями з безпеки, вони збільшують шанси стати жертвами кібератак, як-от фішинг або витік даних.
До того ж ця тенденція вказує на необхідність переглянути компанії свої комунікаційні стратегії та підхід до навчання з кібербезпеки.
Неспроможність виправити цю прогалину може призвести до серйозних наслідків, зокрема фінансових втрат, репутаційної шкоди та юридичної відповідальності.
2. ВРАЗЛИВІСТЬ ДО ФІШИНГУ
Фішинг все ще становить серйозну загрозу: 65% співробітників з опитування визнали, що відкривають на робочих пристроях електронні листи, посилання чи вкладені файли з невідомих джерел.
З часом фішингові шахрайства, коли зловмисники вдають себе надійними компаніями за допомогою електронних листів чи текстових повідомлень, стали дуже витонченими.
Вони вводять в оману жертв та змушують завантажувати шкідливе програмне забезпечення або переходити на підроблені сайти. Іноді ці спроби фішингу схожі на абсолютно законну діяльність, наприклад, якщо кіберзлочинці імітують розсилку вакансій в ІТ та використовують справжні логотипи компаній й схожі адреси електронної пошти.
До сплеску онлайн-шахрайства призвела й пандемія COVID-19, коли зловмисники використовували довіру людей та видавали себе за некомерційні організації чи заклади охорони здоровʼя.
3. ЗЛОВЖИВАННЯ РОБОЧИМИ РЕСУРСАМИ
Показові 63% працівників використовують свої робочі пристрої чи облікові записи для особистої діяльності.
Окрім того, що таке зловживання є нецільовим використанням робочих ресурсів, ці дії збільшують ризики виникнення зовнішніх загроз через сайти та завантаження файлів чи програм, які не стосуються роботи.
До того ж поєднання особистої та робочої діяльності на одному пристрої чи обліковому записі прибирає межу між особистими та професійними даними. Це ускладнює забезпечення конфіденційності даних та дотримання нормативних вимог.
Відсутність поділу збільшує ймовірність виникнення інцидентів, які повʼязані з порушенням кібербезпеки: витік даних або несанкціонований доступ до конфіденційної інформації.
4. ПОГАНИЙ ЗАХИСТ ПАРОЛІВ
Не менше занепокоєння викликає й те, що 63% співробітників зберігають паролі безпосередньо у браузерах та не використовують для цього додаткові інструменти, як-от менеджери паролів.
Прості або передбачувані паролі можуть бути легко зламані, особливо ті, що створюються з використанням особистої інформації чи шаблонним поєднанням клавіш на клавіатурі.
Звички зберігати паролі у вигляді тексту, публічно демонструвати їх чи використовувати незахищені менеджери паролів збільшують ризики для даних компанії.
СТРАТЕГІЇ ДЛЯ ФОРМУВАННЯ КУЛЬТУРИ КІБЕРБЕЗПЕКИ СЕРЕД СПІВРОБІТНИКІВ
Традиційні методи реалізації навчальних програм, які стосуються підвищення рівня обізнаності у питаннях кібербезпеки, вже не є ефективними.
Невдовзі особливу увагу будуть приділяти зміні поведінки працівників, а не стандартно наголошувати на дотриманні вимог.
Потрібно приймати стратегії, у яких людина буде центральною особистістю, та заохочувати її розуміти ризики й приймати безпечні рішення.
1. ПЕРЕГЛЯНЬТЕ ІНІЦІАТИВИ З ОРГАНІЗАЦІЇ БЕЗПЕКИ
Змістіть акцент з простого дотримання мінімальних вимог. Прагніть переробити ініціативи: визначте пріоритети та покращуйте культуру й поведінку співробітників.
Впроваджуйте стратегії та системи оцінювання, які будуть трансформувати організаційну культуру у питаннях безпеки.
Необхідні кроки:
• Встановіть відповідність базовим показникам
Включіть навчальні модулі та інтегруйте їх в Learning Management System (LMS) – віртуальну платформу, яка забезпечить структуроване та доступне навчання.
Далі виміряйте ефективність цих навчальних програм: відстежуйте темпи, з якими працівники завершують навчання.
• Стимулюйте бажану поведінку співробітників
Використовуйте імітацію фішингового шахрайства для того, щоб оцінювати реакцію співробітників на потенційні загрози та корегувати навчання.
Відстежуйте етапи покращення серед працівників. Для цього аналізуйте, як часто співробітники відкривають імітовані фішингові листи.
• Трансформуйте організаційну культуру з інформаційної безпеки
Застосуйте методи автоматизації та інтеграції даних, щоб оптимізувати процеси виявлення та звітності.
Оцініть прогрес у превентивних заходах безпеки: порівняйте кількість фактичних атак та кількість тих, про які повідомили працівники.
2. ЗАСТОСУВАННЯ ФРЕЙМВОРКУ PIPE
Використовуйте PIPE (Practices, Influences, Platforms, and Enablers) Framework, щоб розробити та запровадити програму з інформаційної безпеки, яка допоможе зменшити можливі ризики.
Фреймворк розроблено спеціально для Chief Information Security Officer (CISO), щоб розвивати надійну культуру безпеки у своїх компаніях.
Необхідні кроки:
• Отримайте підтримку керівника
Щоб перетворити компанію на організацію з високим рівнем інформаційної безпеки, заручіться підтримкою вищого керівництва.
• Визначте, як має виглядати успішний результат
Чітко уявіть, що ви хочете отримати від цього процесу. Переконайтеся, що для досягнення цих цілей є необхідні знання та ресурси.
• Відстежуйте та звітуйте
Регулярно вимірюйте ефективність програми та повідомляйте про її переваги, щоб заручитися постійною підтримкою.
3. ПІД ЧАС РОЗРОБКИ ЗАХОДІВ З КІБЕРБЕЗПЕКИ ВРАХОВУЙТЕ ПРИНЦИПИ UX-ДИЗАЙНУ
Щоб зменшити напругу, яка часто виникає у працівників через профілактичні заходи з кібербезпеки, вам потрібно вийти за межі виключно операційного погляду на цю систему.
Запроваджуйте принципи UX-дизайну, щоб створити підхід, який буде орієнтований на людей та полегшити взаємодію між дотриманням протоколів безпеки та щоденними робочими обовʼязками, яка часто викликає суперечки.
Необхідні кроки:
• Визначте проблемні місця
Застосуйте методи, щоб точно визначити, де і які заходи безпеки викликають збої.
Це можуть бути опитування, зворотний зв’язок або аналіз даних, щоб зрозуміти вплив впроваджених заходів на повсякденну роботу.
• Оцініть та приберіть застарілі інструменти контролю
Регулярно перевіряйте заходи кібербезпеки, щоб виявити будь-які застарілі або неефективні та вчасно зменшити зайве навантаження.
• Розвивайте UX-мислення у командах, що працюють у департаменті кібербезпеки
Заохочуйте команди враховувати та оцінювати, який вплив буде мати розробка на кінцевих користувачів.
• Запроваджуйте зручні параметри “guided bypass”
Розробіть механізми, які дозволяють безпечно, тимчасово обходити певні елементи контролю, коли вони перешкоджають виконанню критично важливих робочих завдань. Ці шляхи мають бути контрольованими та безпечними.
• Цей підхід може призвести до відчутних покращень, зокрема:
– Збільшення кількості повідомлень про інциденти у сфері безпеки та спроби фішингу
– Зменшення використання заборонених технологій та інструментів
– Зростання зацікавленості співробітників та їх участь у тренінгах з кібербезпеки
4. СТВОРЮЙТЕ НАВЧАЛЬНІ ПРОГРАМИ З КІБЕРБЕЗПЕКИ ДЛЯ КОНКРЕТНИХ СИТУАЦІЙ
Підлаштуйте навчання з кібербезпеки під реальні обставини: додайте практичні вправи, що відображають ситуації, з якими співробітники можуть зіштовхнутися під час виконання конкретних обовʼязків.
Необхідні кроки:
• Розробляйте індивідуальні сценарії
Створіть сценарії тренінгів й запитання, які безпосередньо стосуються реальних проблем, з якими співробітники можуть зіштовхнутися на своїх посадах.
Цей метод допомагає надати їм знання та розвинути ті навички, які необхідні для подолання можливих загроз.
• Пропонуйте кілька рішень
У реальному світі рішення, що повʼязані з безпекою даних, рідко бувають однозначними. Ваш тренінг має давати можливість для розвитку кількох правильних сценаріїв. Це відображає складність реальних ситуацій, які можуть траплятися.
• Запроваджуйте інтерактивні навчальні шляхи
Використовуйте для навчальної програми інтерактивний метод «виберіть свою власну пригоду». Такий підхід дозволяє динамічно адаптувати програму під кожного співробітника та пропонувати персоналізований та приємний шлях навчання.
Кожне рішення веде до різних сценаріїв, допомагає працівникам зрозуміти наслідки їхніх дій та формує безпечну поведінку.
ВИСНОВОК
Помилки співробітників створюють значні ризики для кібербезпеки, можуть впливати на появу вразливих місць та призводити до витоку даних. Такими помилками є використання слабких паролів, обмін конфіденційною інформацією, нехтування оновленнями програмного забезпечення.
Попри те, що ці дії можуть здатися незначними, компанії мають інвестувати у навчальні програми, щоб розвивати у співробітників культуру кібербезпеки та наголошувати на критичній важливості дотримання правил безпеки.
Заходи з кібербезпеки можуть допомогти усунути конкретні вразливості та захистити важливі дані від загроз, що можуть еволюціонувати.
Якщо ви шукаєте роботу в ІТ-компанії та, як і ми, визнаєте важливість дотримання правил для безпеки збереження конфіденційної інформації, запрошуємо вас стати частиною Computools.
Заповніть цю форму та очікуйте повідомлення від наших рекрутерів.
