В средствах массовой информации часто упоминается, но редко исследуется основная причина нарушений кибербезопасности, а именно ошибка сотрудников.
Совместное исследование профессора Стэнфордского университета Джеффа Хэнкока и охранной фирмы Tessian показало, что колоссальные 88% инцидентов с утечкой данных вызваны ошибками сотрудников. Аналогичное исследование, проведенное IBM Security, оценивает этот показатель в 95%.
В конечном счете, уменьшение человеческих ошибок должно осуществляться с двух сторон — сокращение уязвимостей и обучение пользователей. Чем меньше уязвимостей для ошибки, тем меньше пользователей будут тестировать. И чем больше у них знаний, тем меньше вероятность того, что они совершат ошибку, даже когда столкнутся с уязвимостью.
Большинство компаний проделали довольно хорошую работу по сокращению уязвимостей, обычно вкладывая время и деньги в укрепление своей киберзащиты и поддержку технологий. Как правило, у них есть длинный список антивирусных решений, исправлений программного обеспечения и операционной системы, виртуальных частных сетей и сканирования уязвимостей на разных устройствах. Шифрование также становится обычным явлением.
Однако на фронте образования в области кибербезопасности большинство предприятий работают не очень хорошо. Сотрудники, как правило, проходят один или два дня обучения при приеме на работу, а затем раз в год проходят какую-то подготовку. Этого недостаточно, поскольку многие сотрудники забывают, по крайней мере, часть того, чему они научились, через несколько месяцев. Более того, всем сотрудникам нужна дополнительная помощь с кибербезопасностью, потому что она постоянно меняется. По данным Ассоциации передовых вычислительных систем компании должны проводить тренинги по кибербезопасности каждые четыре-шесть месяцев, желательно с использованием интерактивных примеров и видео.
К сожалению, на данном этапе слишком много сотрудников остаются недостаточно информированными о кибербезопасности, отчасти потому, что руководители и менеджеры по безопасности уделяют больше внимания накоплению технологий. В частности, многие компании отдают предпочтение широкому набору сложных инструментов кибербезопасности, хотя это может быть контрпродуктивно. По данным IBM Security, группы безопасности перегружены предупреждениями и растущим числом инструментов, которыми они должны управлять. По оценкам Big Blue, предприятия используют как можно больше различных продуктов безопасности от примерно 40 поставщиков, что по сути сводится к построению четкой картины из кусочков 80 отдельных головоломок.
Еще одним признаком того, что руководители службы безопасности могут ошибаться в своих приоритетах, является продолжающееся нежелание многих компаний последовательно принимать планы реагирования на инциденты во всех своих организациях. Другое исследование, проведенное IBM Security при содействии Ponemon Institute, показало, что целых 74% специалистов по безопасности и ИТ, опрошенных на 11 мировых рынках, не считают это необходимым. Это кажется ошибкой, учитывая, что такие планы предназначены для ускорения реагирования на организационные нарушения, чтобы смягчить ущерб для репутации и затраты на очистку.
Обычно, когда возникают проблемы с кибербезопасностью, компании полагаются на помощь своего отдела безопасности. Однако такой подход слишком узок. Для формирования культуры подлинной безопасности все сотрудники компании также должны быть серьезно настроены на то, чтобы быть в курсе киберугроз. Процесс создания такой культуры облегчается, когда лидеры могут влиять на членов своей команды.
Вот еще несколько советов от компании:
- Улучшить управление паролями. «123456» остается удивительно популярным паролем и верным путем к катастрофе. Используйте более сложные пароли, часто меняйте их и всегда ограничивайте каждый из них одной учетной записью. Лучшим решением, вероятно, является использование приложений для управления паролями, которые позволяют пользователям создавать и хранить надежные пароли без необходимости их запоминать;
- Помните, что киберпреступники всегда ищут новые возможности использования программного обеспечения. Когда такие эксплойты обнаруживаются, разработчики программного обеспечения, как правило, быстро устраняют уязвимость и рассылают исправления пользователям до того, как киберпреступники смогут скомпрометировать других пользователей. Но их нередко приходится загружать отдельным пользователям компьютеров, которые часто это откладывают и открывают дверь для взлома. Одним из таких примеров была атака программы-вымогателя WannaCry в 2017 году, нацеленная на программное обеспечение Microsoft Windows. Microsoft распространила патч за несколько месяцев до того, как произошли атаки, но многие пользователи отложили загрузку, что способствовало заражению более 200 000 компьютеров по всему миру;
- Взрывной рост числа удаленных работников и гибридных рабочих мест требует от компаний более творческого подхода к донесению информации о важности безопасности. Когда сотрудники в основном находились в офисе, было легко распространить это сообщение с помощью плакатов и других средств коммуникации на рабочем месте. Чтобы обеспечить безопасное гибридное рабочее место эти напоминания теперь необходимо передавать на домашние компьютеры сотрудников. И компаниям было бы разумно использовать геймификацию для повышения осведомленности о безопасности, потому что игры хорошо справляются с удержанием внимания пользователей;
- Учебные занятия должны проводиться чуткими и дружелюбными учителями/тренерами. Они также должны быть открыты для вопросов, даже если они кажутся очень простыми. Многие люди, например, не сразу осознают негативные последствия повторного использования пароля, утверждая, что к их учетной записи не привязана важная информация. Им нужно красиво сказать, что это может быть правдой, но, тем не менее, проблематично, если тот же пароль используется в других учетных записях, которые связывают личную информацию.
В конечном счете, компании должны проводить обучение кибербезопасности больше и лучше. Если выясняется, что сотрудники продолжают совершать слишком много ошибок, они должны выяснить, почему. Они могут обнаружить, что отсутствие мотивации является основной причиной. В любом случае, компании должны работать еще усерднее с этими людьми. Серьезная поддержка сотрудников — лучший способ смягчить нарушения.
Автор перевода: Екатерина Касливцева
