Бизнес высокой ИБ-культуры: как прокачать киберграмотность персонала?

Сотрудники часто становятся слабым звеном в защите конфиденциальной информации компании. Исследование «СёрчИнформ» показало, что 20% компаний России в 2023 году фиксировали случаи, когда хакеры пытались атаковать организацию через сотрудников. При этом только 18% компаний оценивают уровень киберграмотности своих сотрудников как хороший. Листая очередные новости об успешно реализованной атаке на компанию, можно сделать вывод: если бы не ошибка сотрудника, открывшего фишинговое письмо или случайно загрузившего вредонос, компания не потеряла бы миллионы.

Обучение персонала основным правилам информационной безопасности помогает существенно снизить подобные риски. В этой статье расскажем о плюсах и минусах в различных подходах к обучению, об ошибках и эффективных методиках для повышения киберграмотности пользователей.

Форматы обучения сотрудников

Существует несколько форматов обучения цифровой грамотности, основные из них: инструктаж, наглядная демонстрация, игровая форма, киберучения. Каждый из форматов имеет преимущества и недостатки, о которых ниже. При выборе формата обучения сотрудников важно понимать, что информация усваивается по-разному, например, по Дейлу (американский педагог, разработавший конус опыта), через две неделе человек способен вспомнить лишь 10% прочитанной информации, но при этом 50% от увиденного и услышанного одновременно.

Инструктаж

Инструктаж – это форма обучения, направленная на знакомство сотрудника с нормами и правилами информационной безопасности. Суть обучения заключается в самостоятельном прочтении сотрудниками инструкции с базовыми правилами ИБ. Это распространенный и простой в реализации подход, поэтому большинство компаний используют именно такой формат. В 2022 году, по данным исследования «СёрчИнформ», 60% компаний составляли письменные регламенты, которые сотрудники должны были самостоятельно изучать в офисе.

При этом инструктаж не самый результативный формат обучения. Проблема в том, что во время инструктажа сотрудник выступает в пассивной роли, ему нужно прочитать и «расписаться». Если не показывать персоналу, как полученную информацию можно применить на практике, то большая часть из них прочитает документ по диагонали для галочки и забудут его. Работники не смогут оценить последствия инцидентов, и тем более не поймут, как эта информация касается их работы.

Наглядная демонстрация

Наглядная демонстрация – это методы обучения, при которых усвоение материала зависит от применения наглядных и технических средств. К наглядной демонстрации, к примеру, относится вебинар, в рамках которого эксперт демонстрирует аудитории различные новости, показывает видеоролики и приводит примеры инцидентов ИБ с реальным ущербом. По сути, наглядная демонстрация – это прокачанный формат инструктажа. Разница лишь в том, как преподносится материал. В 2022 году наглядную демонстрацию для повышения уровня цифровой грамотности персонала использовали в 12% российских компаний.

Преимущество этого формата обучения в том, что благодаря примерам реальных инцидентов, информационная безопасность перестает быть для сотрудника абстрактной сферой. Недостаток формата в том, что сотрудник продолжает оставаться в пассивной роли, он все еще не вовлечен в обучение.

Игровая форма (тренинги и игры)

Обучение в игровой форме – полная противоположность классическим способам закрепления знаний. Игровая форма – активное обучение, направленное на приобретение практических умений и навыков. В игровые форматы обучения входят: тренинги, квесты, викторины, деловые игры, ролевые игры, настольные игры и др. Например, сотрудникам предлагают пройти текстовый квест или принять участие в викторине или браузерной игре. Тренинги по информационной безопасности включают следующие темы: фишинг, безопасное использование съемных носителей, безопасность паролей и физических устройств и др. 85% сотрудников проявляют большую вовлеченность, когда в процессе корпоративного обучения применяются элементы геймификации.

Преимущество формата в том, что сотрудник вовлечен в процесс обучения, он выступает в активной роли, он учится идентифицировать угрозы и сообщать о них. Это эффективный формат получения знаний по информационной безопасности. Недостаток формата в сложной реализации. Для организации обучения в игровой форме требуются финансовые вложения на привлечения специалистов, которые владеют этой технологией.

Киберучения

Киберучения – это тренировка сотрудников, главная задача которой определить их устойчивость к атакам с использованием методов социальной инженерии. Эксперты проводят мероприятия по моделированию атак. Например, сотруднику отправляется фишинговое письмо, проверяя его реакцию. Если сотрудник попался на фишинг, то следом получает оповещение и ссылку на обучение. В 2022 году киберучения проводились лишь в 19% российских компаний.

Киберучения можно использовать не только для повышения осведомленности сотрудников, но и для проверки результатов предыдущих обучений. Преимущество этого формата в том, что сотрудники не знают о проверке, поэтому руководство может оценить реальную реакцию коллектива на киберугрозы. Недостаток формата в том, что небольшой компании организовать киберучения собственными силами проблематично, в большинстве случаев требуется привлекать подрядчика. Также у киберучений не так много сценариев, если проводить их слишком часто, то сотрудники быстро научаться распознавать «проверочные» письма.

Как избежать ошибок при обучении?

У разных форматов обучения есть свои преимущества и недостатки, в частности, инструктаж сотрудники часто забывают, а киберучения нужно проводить с какой-то регулярной периодичностью. Ниже перечислены распространенные ошибки, которые также могут свести результат обучения к нулю.

1. Концентрироваться на одной теме

В последние годы теме социальной инженерии уделяют много внимания, атаки с ее помощью занимают первые строчки в рейтингах киберугроз. Отсюда появляется перекос в обучении. Но будет эффективнее уделить время разным формам уловок кибермошенников и комплексным вопросам ИБ. Для этого включите в обучающую программу следующие темы:

• пояснение принятых в компании регламентов (например, режим КТ);
• правила ИБ при удаленной работе и работе в командировках;
• разъяснение парольной политики компании;
• цифровая гигиена в интернете, цифровой след и проблема OSINT.

2. Фокусироваться на атрибутах атаки, а не на ее принципах

Одна из распространенных причин, почему сотрудники могут плохо усваивать материал – это обучение, построенное на распознавании конкретных признаков атаки, а не ее принципов. Например, зачастую используется один шаблон фишингового письма, на котором сотрудники обучаются, при этом им не объясняют детали и механику построения атаки с использованием фишинга. В конечном счете эта ошибка приведет к тому, что сотрудники будут хорошо проходить тесты от отдела ИБ, а реальную атаку не распознают.

Используйте разные примеры атак и сценариев, которые применяют злоумышленники, расскажите сотрудникам о разных признаках того или иного вида атаки (по ссылке пример, как можно доступно и при этом эффективно рассказать сотрудникам о фишинговых письмах).

3. С неправильной периодичностью проводить обучения

В обучении сотрудников ИБ-грамотности работает принцип разумной достаточности. Если учить персонал слишком часто, то обучение станет рутиной, разнообразные сценарии закончатся, бдительность притупится. Если учить слишком редко – знания «размоются», забудутся, не будет эффекта.

Согласно приказу ФСБ 282 ИБ-учения нужно проводить минимум раз в год. Это требование касается субъектов КИИ. Но и обычная компания может ориентироваться на такую регулярность, когда речь идет о масштабных ИБ-обучениях. 

Более рутинные мероприятия (например, антифишинговые рассылки, лекции по социнженерии с учетом новых тем и методов) нужно проводить чаще – примерно раз в 3-4 месяца. Также раз в 3-6 месяцев можно проводить точечное информирование сотрудников через рассылки об актуальных видах атак.

4. Не подводить итоги и результаты обучения

Для сотрудников обучение, которое не отслеживается руководством, приобретает формальный характер. Сотрудники не видят смысла учиться хорошо, если за ошибки ничего не будет.

Проводите проверку знаний сотрудников после каждого обучения. Еще на этапе обсуждения обучения с руководством компании обсудите и методы мотивации для «прилежных учеников», а также поговорите о санкциях для тех, кто саботирует учебу.

Например, можно вводить внутреннюю/корпоративную валюту, которую будут получать сотрудники за успешное прохождение обучения и сдачу тестов. Эту валюту сотрудники могли бы обменивать на корпоративные подарки.

Вывод

Придерживайтесь принципа системности в обучении, так вы повысите киберграмотность сотрудников и сократите количество инцидентов, связанных с человеческим фактором. Не ожидайте, что сотрудник после обучения будет разбираться в кибербезе на уровне специалиста по ИБ – определите минимальный уровень знаний, который должен остаться в голове работника.

Объясните сотрудникам, почему необходимо повышать уровень ИБ-грамотности. Проблема в том, что часто люди не верят в то, что инцидент произойдет с ними. Обучение должно убедить сотрудников в реальности проблемы. При проведении обучения нужно учитывать, что сотрудник будет охотнее усваивать материал, зная, что применит его на практике.

Если у вас в компании не хватает собственных ресурсов на проведение обучения, то привлекайте к обучению профильных экспертов или подрядчиков. Некоторые компании предлагают бесплатные курсы повышения ИБ-грамотности.