Управление киберграмотностью сотрудников

Для многих специалистов в области информационных технологий безопасность ассоциируется, прежде всего, с применением технических решений — таких, как антивирусные программы и брандмауэры. Однако даже самые продвинутые инструменты могут оказаться бесполезными, если сами сотрудники начинают разглашать важные сведения, к которым они имеют доступ в рамках своих обязанностей. Это может происходить либо намеренно (через инсайдеров), либо в результате успешных попыток социальной инженерии. В этой статье мы рассмотрим второй случай, когда злоумышленники манипулируют людьми для получения нужной информации. Обсудим ключевые механизмы защиты от социальной инженерии и базовые принципы обучения сотрудников правилам кибербезопасности.

Управление киберграмотностью сотрудников

Для более глубокого погружения в вопросы кибербезопасности рекомендуем подписаться на наш ТГ-канал "Прометей - ИБграмотность". Здесь мы регулярно публикуем полезные советы, новейшие методы защиты и примеры реальных инцидентов, с которыми могут столкнуться сотрудники в повседневной работе. Присоединяйтесь к проекту "Прометей", чтобы обучить своих сотрудников основам информационной безопасности, и защитите свой бизнес от угроз.

Обучение кибербезопасности

Обучение вопросам безопасности — это структурированный процесс, в ходе которого сотрудники получают знания о передовых методах защиты от киберугроз, что помогает им ориентироваться в многообразии угроз, как на рабочем месте, так и в личной жизни. Повышение киберграмотности может включать:

  • Информационные программы о распространённых угрозах;

  • Симуляции фишинга и другие интерактивные методы для показа реальных сценариев угроз;

  • Поддержание культуры ответственности за соблюдение правил безопасности;

  • Показатели, демонстрирующие успех программы — от процента обнаруженных фишинговых атак до опросов, отражающих культуру безопасности.

Эффективная программа по повышению осведомлённости в вопросах безопасности критически важна для каждой организации. Но одноразовое обучение недостаточно: нужно регулярно оценивать результативность программы. Сотрудники должны чётко понимать важность соблюдения требований безопасности и последствия их нарушения. Эти шаги помогают организации надёжнее защищаться от угроз и снижать вероятность утечек данных.

Картинка из Яндекс.Картинки
Картинка из Яндекс.Картинки

Обучение можно разделить на четыре этапа:

1. Определение текущего уровня знаний сотрудников и их подхода к безопасности;

2. Разработка программы повышения грамотности — от её содержания до периодичности и ключевых показателей;

3. Внедрение программы среди персонала;

4. Оценка её эффективности и корректировка, если это необходимо.

Основные угрозы социальной инженерии

Перед тем как переходить к теме киберобучения, стоит рассмотреть главные угрозы, с которыми мы сталкиваемся.

Для начала, это уже привычные звонки от «служб безопасности банка» и других вымышленных лиц. В ИТ-среде злоумышленники тоже используют схожие методы. Хотя они реже напрямую звонят жертвам, всё же такая тактика встречается. Теперь же мессенджеры стали основным каналом связи с целями.

Обычный случай: сотруднику в мессенджере пишет якобы кто-то из руководства компании (имя и аватар совпадают) и заявляет о каком-то инциденте, после чего сотруднику якобы позвонит «советник по безопасности». Этот человек рисует ужасающие картины и требует немедленных действий (перевода денег, передачи данных и прочее), иначе якобы последуют тяжёлые последствия

Ещё одна распространённая угроза — фишинг. Этот метод подразумевает действия, при которых злоумышленники выдают себя за представителей компаний или знакомых, обманом побуждая людей к раскрытию личных или финансовых данных. Крайне важно внимательно проверять адреса отправителей, ссылки и вложения на предмет подозрительных признаков.

Пример: сотруднику приходит письмо от имени ИТ-службы с просьбой протестировать новый портал. Переходя по ссылке и вводя свои данные, человек может оказаться на фальшивом сайте, замаскированном под корпоративный портал. В результате злоумышленники получают доступ к данным сотрудника.

Картинка из Яндекс.Картинки
Картинка из Яндекс.Картинки

Вредоносное ПО — это вирусы, черви, трояны, программы-вымогатели и шпионское ПО. Сотрудники должны знать, как оно распространяется (через вложения в электронной почте, заражённое ПО, вредоносные сайты) и как себя защитить — надёжными антивирусными решениями, брандмауэрами и безопасными привычками при просмотре веб-страниц.

Пароли также требуют особого внимания. Необходимо объяснить важность надёжных, уникальных паролей для всех учётных записей и придерживаться рекомендаций компании. Важно, чтобы сотрудники не использовали одинаковые пароли для личных и рабочих учётных записей. Также следует обучить их основам многофакторной аутентификации (MFA) и отказу от передачи паролей.

Съёмные носители — ещё один канал угроз. USB-накопители, внешние жёсткие диски и SD-карты представляют определённые риски. Например, найденная у офиса флешка может быть заражена вредоносным ПО, специально предназначенным для атаки на сеть. Рекомендуется использовать только надёжные устройства, проверять их на вирусы и избегать хранения конфиденциальной информации на таких носителях.

Стратегии повышения осведомлённости о безопасности

Для повышения осведомлённости о безопасности следует организовать целенаправленные мероприятия. Поскольку большинство сотрудников не имеют глубокой подготовки по вопросам безопасности, процесс обучения должен быть простым и наглядным. Например, материалы в формате лонгридов с видеофрагментами помогут пользователям удобнее находить время для обучения. Однако следует также внедрить структуру, которая будет напоминать сотрудникам о важности этих знаний.

Регулярное тестирование знаний, тренировки с отправкой фальшивых фишинговых писем и повторное обучение сотрудников, которые допустили ошибки, помогут значительно повысить уровень защиты.

Картинка из Яндекс.Картинки
Картинка из Яндекс.Картинки

Повышение осведомлённости сотрудников в области кибербезопасности позволяет существенно усилить защиту корпоративных данных и снизить вероятность утечек, вызванных человеческим фактором.

Бесплатная программа повышения осведомленности по информационной безопасности для сотрудников — это ваш шанс защитить бизнес от киберугроз и укрепить свою позицию на рынке. Проект "Прометей" предлагает актуальные знания, экспертные советы и практическое применение — все, что нужно для успешной защиты данных вашей компании.

Не упустите возможность повысить уровень безопасности своего бизнеса и начните обучение уже сегодня!

1212
22
22
35 комментариев

Спасибо, переслал маме

2
Ответить

Ну вот разве что можно родителям посоветовать или каким то новичкам, те кто с ПК уже давно имеет дело все это знают не из первых рук.

2
Ответить

Слава, спасибо.

2
Ответить

Когда-то давно читал пародию на Криминальное чтиво. Там было "Сучка за компом зловредней любого вируса", простите))

Я так в жизни не говорю, но иногда вспоминаю

2
Ответить

По факту так и есть, и кстати да, женщины наиболее уязвимая часть в плане безопасности системы, они более доверчивы и более эмоциональные. С другой стороны знаю нескольких женщин которым свой телефон лучше не давать даже на несколько секунд

2
Ответить

супер аналогия :)

1
Ответить

Есть ли реально средства борьбы с грамотным фишингом?

2
Ответить