Предлагаем вашему вниманию перевод статьи члена советов Forbes Стивена Баера
«Attack The Root Cause Of Cyber Threats, One Employee At A Time».
Сотрудники, вынужденные работать из дома без личного доступа к информации, минимального вмешательства человека и ограниченной ИТ-поддержки, сейчас выведены из равновесия. Они не имеют другого выбора, кроме как использовать незащищенные домашние сети и личные устройства, часто используемые другими членами семьи. Обремененные новыми уровнями стресса, вызванными пандемией, и повышенным давлением, требующим выполнения работы, они не осознают риск кибербезопасности при поиске, загрузке и совместном использовании контента, включая интеллектуальную собственность компании. Отвлекающие факторы, связанные с работой на дому, также могут подорвать важные привычки, критически важные для кибербезопасности, — использование надежных паролей, поддержание цифровой гигиены, обслуживание компьютеров и обновление мобильного программного обеспечения.
В то время как более 70% компаний, опрошенных Malwarebytes, высоко оценили свою готовность перевести сотрудников на работу из дома, почти половина из них признались, что не проводят тренинги по кибербезопасности относительно потенциальных угроз. И все же исследование за исследованием показывают, что подавляющее большинство нарушений кибербезопасности имеет одну общую переменную: человеческий фактор. Будь-то не установка обновлений безопасности программного обеспечения, незнание рисков общедоступных сетей Wi-Fi или передача конфиденциальной информации через фишинговые письма. Ни сложные антивирусные программы, ни фильтры спама или программы обнаружения не могут защитить от человеческой ошибки.
Риск может обойтись дорого. Согласно отчету IBM Security за 2020 год «Стоимость утечки данных», наличие удаленной рабочей силы увеличивает среднюю общую стоимость взлома данных на 137 000 долларов США. При этом, общие средние глобальные затраты в 2020 году составят 3,86 миллиона долларов США. Группы хакеров-вымогателей становятся все более агрессивными и жадными. Средний спрос на платежи за цифровое вымогательство подскочил в первом квартале этого года до 220 298 долларов, что на 43% больше, чем в предыдущем квартале, как сообщается в «Ежеквартальном отчете о программах-вымогателях» Coveware. Угрозу усугубляет неуклонный рост числа атак программ-вымогателей, которые включали угрозу публикации украденных данных — 77% в первом квартале этого года, что на 10% больше, чем в последнем квартале 2020 года.
Руководители информационной безопасности (CISO), которые когда-то считались дежурными кризисными менеджерами, теперь несут ответственность за создание устойчивых организаций. Именно они — защитники людей, активов, инфраструктуры и технологий — возглавляют трансформацию рабочего места после пандемии, которое по-прежнему будет представлять собой сочетание локальных и удаленных сотрудников. Чтобы уравнять правила игры против злоумышленников понадобятся: правильные технологические решения, соблюдение требований сотрудниками, а также организационная политика и методика.
В борьбе с киберугрозами лучшая защита — нападение. Руководители наиболее защищенных компаний признают, что простых быстрых исправлений для минимизации ошибок, связанных с человеческим фактором, недостаточно, как и отдельных, хорошо продуманных регламентов, основанных на доверии. Настоящий результат дает создание и поддержание культуры хорошо информированных, саморегулирующихся и мотивированных сотрудников на всех уровнях организации, которые наделены полномочиями ежедневно играть роли воинов в борьбе с кибератаками.
В основе эффективного обучения сотрудников кибербезопасности должны быть три ключевых элемента:
1. Создание и поддержание базы знаний о кибербезопасности. Такие термины, как спам, фишинг, вредоносное ПО, программы-вымогатели и социальная инженерия, должны стать частью обихода компании. Держите сотрудников в курсе того, как эта проблема развивается как в вашей организации, так и во всем мире.
2. Научитесь отслеживать причину и следствие. Сотрудники должны полностью понимать финансовые, операционные и репутационные издержки этих угроз для организации. Оттачивайте навыки принятия решений и устанавливайте четкую связь между их поведением и результатом.
3. Обеспечьте постоянное «безопасное место» для совершения ошибок. Обучение должно быть интерактивным и иммерсивным. Необходимо предоставить сотрудникам безопасную среду для проверки своих знаний без опасения за последствия ошибки. Лучше их обманом заставить загрузить вредоносное ПО в ходе тренировочного упражнения на основе безопасного сценария, а не в реальной жизни.
Я видел, как многие компании строили основы обучения кибербезопасности с помощью игр, симуляторов и интерактивных видео:
- Программа Microsoft «Security Adventure» требует от сотрудников совместной работы над расследованием кибератаки на их компанию.
- В программе IBM «Операции по кибербезопасности: Терминал» сотрудники выполняют несколько ролей, таких как ИТ-аналитик, генеральный менеджер и главный специалист по информационной безопасности. Во всех случаях сотрудники должны устранять подозрительные ситуации.
- «Игра угроз» от PWC имитирует скорость и сложность реального киберпреступления и учит сотрудников защите своей компании.
Для обеспечения оптимального успеха компаниям лучше всего сосредоточиться на задачах: запоминания, суждения и стратегии.
Пандемия хоть и вызвала рост киберугроз и нарушила работу, но тем самым ускорила важнейшее развитие долгосрочных стратегий кибербезопасности, одновременно повысив осведомленность о частотности человеческих ошибок. Инвестиции в обучение и подготовку сотрудников в области кибербезопасности больше не могут оставаться на втором плане. Чем раньше сотрудники станут вооруженными и опасными бойцами в войне за кибербезопасность, тем быстрее мы увидим изменение в том, кому принадлежит власть.