Осведомленность — это непонимание: недостающее звено в кампаниях по повышению осведомленности о кибербезопасности
5 ноября 2022 г.В последнее десятилетие кибербезопасность неуклонно проникала в мировое сознание. То, что раньше относилось к техническим специалистам, теперь является тем, о чем средний человек слышит ежемесячно, когда в новостях появляется какая-то новая утечка или кибератака. Только за последние два года мы видели бесчисленное количество школы полностью остановились в результате атак программ-вымогателей, серьезного инцидента с безопасностью в Twitter, что привело к компрометации учетных записей высокопоставленных пользователей и закрытию на неделю крупного 70% взломов являются результатом социальной инженерии.
Остро осознавая уязвимость своих сотрудников, компании увеличили свои инвестиции в обучение кибербезопасности. Однако такая тренировка не кажется столь эффективной, как хотелось бы. Несмотря на то, что 85% сотрудников в США и Великобритании участвуют в обучении, треть из них не осознают важность кибербезопасности, а 30% не верят, что они лично влияют на кибербезопасность своей компании. Очевидно, что кампании по кибербезопасности не работают. Вопрос на миллион долларов: почему?
В то время как многие винят скучное обучение, увлекательные и геймифицированные кампании, похоже, не имеют существенного значения. Как человек, который был на обеих сторонах кампаний по повышению осведомленности — человек, ответственный за разработку кампании работодателя, и сотрудник, необходимый для прохождения обучения, — я твердо верю, что мы не даем людям причины для беспокойства. о кибербезопасности. Эти тренинги сосредоточены на распознавании рисков безопасности, соблюдении политик компании и внедрении методов кибербезопасности. Хотя это все необходимые пункты, тренинги не охватывают почему методы кибербезопасности важны, по крайней мере, не выходят за рамки расплывчатых «это может дать злоумышленникам путь в вашу организацию» или «вас взломают». ». Чтобы правила имели какой-либо эффект, последствия должны быть ясны.
Конечно, те из нас, кто работает в индустрии кибербезопасности, хорошо знакомы с последствиями плохой практики обеспечения безопасности. Открытие вредоносного файла может привести к удаленному выполнению кода, что позволит злоумышленнику развернуть программу-вымогатель и поставить компанию на колени. Вход на фишинговый сайт дает злоумышленникам ваши учетные данные, которые затем можно использовать для доступа к данным компании для продажи. Для нас риски очевидны. Когда мы говорим детям смотреть по сторонам, прежде чем переходить улицу, мы предполагаем, что причина очевидна — вы можете пропустить встречную машину и попасть под колеса. Однако человеку без необходимого контекста это указание кажется произвольным.
Есть те, кто не решается явно указать контекст, чтобы не напугать конечных пользователей, но, честно говоря, пользователи должны быть напуганы. Кибератаки страшны не только в том случае, если вы отвечаете за реагирование на инциденты, но и в том случае, если вы приходите на работу утром и видите, что не можете выполнять свою работу. Не говоря уже о том, что влияние инцидента, связанного с безопасностью, может выйти за рамки вашей трудовой жизни. Если злоумышленники получат доступ к записям отдела кадров, можно с уверенностью предположить, что формы, заполненные вами при приеме на работу, проверяются на наличие вашего имени, адреса и номера социального страхования. Очень быстро случай взлома компании может стать отдельной проблемой кражи личных данных. И если вы спросите любую жертву кражи личных данных, они обязательно скажут вам, что это очень страшно. К сожалению, эти реальные последствия редко, если вообще когда-либо, демонстрируются на тренингах.
Я нахожу это нежелание прояснять последствия кибератаки весьма сбивающим с толку, поскольку оно противоречит большей части любой другой части жизни. Позаботьтесь о физической безопасности: многие из нас запирают двери, когда нас нет дома, чтобы защититься от ограбления. Однако те, кто живет в тихих или безопасных районах, не боятся грабителей, могут слабее относиться к безопасности своего дома. Без знания риска и разумного страха меры безопасности, как физические, так и цифровые, ничего не значат.
Другие кампании по повышению осведомленности знают, как важно показывать последствия.
Кампании по вождению в нетрезвом виде обычно рассказывают трагические истории о пьяных водителях, как и кампании, призывающие водителей не писать текстовые сообщения за рулем. Никто не станет спорить, что эти кампании внушают необоснованный страх — причинить боль (или, что еще хуже, убить) кому-то из-за того, что вы действовали безрассудно, очень страшно. Страх можно использовать в качестве манипулятивной тактики продаж, но когда точный риск объясняется и люди понимают, что у них есть шкура в игре, у них появляется врожденное желание защитить себя.
До тех пор, пока в обучении кибербезопасности не будет применяться метод обучения пользователей тому, что именно методы кибербезопасности предотвращают и как на них влияют атаки, социальная инженерия будет оставаться наиболее распространенным вектором атак для взломов компаний.
Оригинал