Доказательство: сотрудники APAC предпочитают удобство и скорость кибербезопасности

Директора по информационной безопасности знают, что передовой опыт управления информационной безопасностью сводится не только к технологиям, но и к людям. Без сотрудников и сильной культуры безопасности на вашей стороне внедрение технологий не остановит субъектов угроз, которые продолжают проникать в организации.

Похоже, что сотрудники Азиатско-Тихоокеанского региона не понимают этого сообщения. Компания по кибербезопасности Proofpoint недавно опросила 7500 сотрудников и 1050 специалистов по безопасности в 15 странах, включая Австралию, Японию, Южную Корею и Сингапур. Компания обнаружила, что в Азиатско-Тихоокеанском регионе многие сотрудники признаются в поведении, которое увеличивает риск компрометации (например, доступ к нежелательным веб-сайтам), несмотря на то, что они знают, что делают рискованно.

Многие сотрудники в качестве причин называют удобство и необходимость скорости. Большая часть также все еще не уверена в своих обязанностях в области безопасности или считает, что это чья-то работа, несмотря на инвестиции, направленные на образование и повышение осведомленности в области кибербезопасности во всем регионе.

Сколько сотрудников предпринимают рискованные действия?

По данным отчета Proofpoint State of the Phish, 63% сотрудников в четырех опрошенных странах Азиатско-Тихоокеанского региона рискуют безопасностью. Еще больше тревожит этот вывод тот факт, что огромная часть из них (98%) знала, что то, что они делали, было рискованным, но все равно делала это.

SEE: Будьте в курсе главных тенденций в области кибербезопасности в Австралии.

Однако японские сотрудники подвергаются наименьшему риску кибербезопасности. Более половины (53%) респондентов из Японии говорят, что никогда не предпринимают рискованных действий, по сравнению с 29% в среднем по миру. Proofpoint предположил, что культурные ценности Японии и внимание к дисциплине могут быть причиной относительно лучших показателей Японии в области поведения в области безопасности.

Сотрудники Азиатско-Тихоокеанского региона берут на себя меньше рисков, чем сотрудники на мировых рынках.

Сотрудники Азиатско-Тихоокеанского региона менее склонны идти на риск по сравнению со средними показателями по всему миру, но с большей вероятностью будут делать это, когда знают, что не следует этого делать. Глобальная статистика Proofpoint показывает, что 71% пользователей по всему миру совершают рискованные действия, а 95% сотрудников по всему миру, совершающих рискованные действия, осознают, на какой риск они идут.

Какие рискованные действия предпринимают сотрудники?

Компания Proofpoint обнаружила, что четыре из пяти основных рисков, упомянутых специалистами по безопасности, являются обычным поведением среди пользователей. Например, главный риск, на который указали киберпрофессионалы, — доступ к нежелательному веб-сайту — оказался четвертым по распространенности рискованным поведением среди сотрудников. (Рисунок А). Proofpoint предположил, что сотрудники могут не понимать, что это рискованно.

Самым распространенным рискованным поведением, которое признали опрошенные сотрудники в регионе, было использование рабочего устройства в личных целях. И это несмотря на то, что это может повысить уязвимость к фишингу. Например, сотрудники могут получать фишинговые электронные письма, которые они получают в свой личный аккаунт, и доверять им, что ставит под угрозу безопасность.

Сотрудники также активно повторно использовали или делились паролями, подключали свои рабочие устройства без использования VPN в общественных местах и ​​отвечали на электронные письма и SMS-сообщения от незнакомых людей.

Почему сотрудники совершают рискованные действия?

Сотрудники раскрыли основные причины, по которым они занимаются рискованным поведением в области кибербезопасности:

54% пошли на риск, потому что так было удобнее. 38% сделали это, чтобы сэкономить время на работе. У 23% поведение было обусловлено срочными сроками.

Также были обнаружены менее распространенные причины, по которым сотрудники рисковали с кибербезопасностью:

19% пошли на риск, чтобы сэкономить деньги. 19% пошли на компромисс, чтобы достичь поставленных целей. 11% пытались достичь целевого показателя доходов от бизнеса.

ПРЕМИУМ: защитите свою организацию с помощью политики информационной безопасности.

Сотрудники не уверены в своей ответственности за безопасность

Сотрудники из Азиатско-Тихоокеанского региона чаще всего среди опрошенных сотрудников по всему миру говорили, что они не уверены в своей личной ответственности за кибербезопасность. Компания Proofpoint обнаружила, что 57% опрошенных сотрудников в регионе заявили, что не уверены в своих обязанностях, по сравнению с 54% во всем мире.

Опрос также показал, что команды ИТ-безопасности слишком самоуверенны в уровне осведомленности сотрудников об ответственности. Хотя 84% опрошенных специалистов по ИТ-безопасности заявили, что их сотрудники считают, что они несут ответственность за безопасность, только 39% самих сотрудников заявили, что считают это частью своих обязанностей (рис. B).

Что могут сделать организации Азиатско-Тихоокеанского региона для решения проблемы сотрудников?

Нет сомнений в том, что киберпрофессионалам в Азиатско-Тихоокеанском регионе необходимо, чтобы сотрудники четко понимали свои обязанности, когда дело касается кибербезопасности. В конце концов, Азиатско-Тихоокеанский регион был назван «эпицентром» роста киберпреступности в 2023 году, когда в первом квартале 2023 года здесь наблюдался самый высокий годовой прирост еженедельных кибератак.

Упростите соблюдение лучших практик кибербезопасности

Опрос Proofpoint ясно показывает, что сотрудники идут на риск там, где им удобнее или экономят время. Специалисты по кибербезопасности смогут снизить этот риск только в том случае, если они постараются максимально упростить соблюдение правил безопасности и устранить любые препятствия, с которыми могут столкнуться сотрудники на пути к правильным поступкам.

ПРЕМИУМ: рассмотрите возможность использования шаблонов электронной почты для предупреждений безопасности.

Например, это может включать в себя работу с ИТ-командами для обеспечения чего-то такого простого, как упрощенный доступ к эффективной службе ИТ-поддержки. Это обеспечит упрощенный доступ к VPN, позволит избежать подключения к незащищенным сетям и решит проблемы с учетными записями или паролями, чтобы устранить соблазн поделиться паролями.

«Работайте с заинтересованными сторонами бизнеса и уделяйте приоритетное внимание простоте использования при реализации политик безопасности», — говорится в опросе Proofpoint. «Пользователи будут менее склонны обходить системы, если безопасность будет соответствовать их целям. И они с большей вероятностью будут использовать элемент управления, если он интуитивно понятен и не требует никакого обучения».

Обучение для повышения осведомленности и культуры кибербезопасности

Образование и повышение осведомленности будут продолжать играть решающую роль. Если сотрудники в регионе во многих случаях все еще не уверены в своей роли в управлении информационной безопасностью, имеет смысл только увеличить инвестиции в предоставление привлекательных учебных ресурсов по кибербезопасности, которые могут способствовать повышению понимания угроз.

Сюда могут входить учебные ресурсы, посвященные основным рискам для специалистов по кибербезопасности. Сотрудники могли бы быть лучше информированы о таких практиках, как нажатие на ссылки или загрузка вложений, которые могут увеличить риск фишинга или вредоносного ПО, а также получать поддержку с помощью инструментов, которые помечают электронные письма как поступающие из-за пределов организации.

Конечным этапом является создание сильной культуры кибербезопасности. Организации, добившиеся успеха в привлечении сотрудников к вопросам кибербезопасности, часто привлекают сотрудников к помощи организации в выявлении проблем. Например, Slack или канал связи с сообщениями о фишинге могут выступать в качестве средства сообщения о фишинге, здоровой конкуренции и вознаграждения персонала.