Как заставить обучение киберинформации работать: Пошаговое руководство в 2024 году

Многие из нас прошли обязательные лекции по кибербезопасности от HR, однако эти программы часто не обеспечивают эффективного обучения сотрудников, что делает организации уязвимыми для атак. Несмотря на преобладание длинных видеороликов и анкет с флажками в тренингах по безопасности, они, как правило, отвлекают сотрудников, которые могут не знать о киберрисках. Эффективная кибербезопасность выходит за рамки инструментов; организации должны интегрировать осведомленность в свою повседневную культуру, чтобы смягчить внутренние угрозы. Вот как создать успешную программу там, где другие потерпели неудачу.

Кому нравятся кибертренировки?

Поскольку количество фишинговых атак ежегодно увеличивается, инициативы, направленные на расширение возможностей сотрудников выступать в качестве передовой линии организации в борьбе с киберугрозами, набирают популярность.

Сотрудники часто работают на периферии сети, где уязвимости безопасности наиболее выражены. Таким образом, крайне важно обучать их меняющимся ландшафтам угроз и тому, как распознавать потенциальные нарушения и реагировать на них. Однако многие программы обучения дают сбои из-за неэффективных методов обучения и устаревшего содержания, что приводит к отсутствию вовлеченности среди пользователей. Несмотря на коллективные усилия и время, организационная безопасность остается под угрозой.

Структура, подход и содержание обучения киберинформации должны эффективно привлекать внимание среди отвлекающих факторов офисной жизни. Осознание этой проблемы и адаптация стратегий имеют важное значение для каждого специалиста по безопасности, поскольку неэффективное обучение представляет значительный риск для безопасности предприятия в условиях наших существующих рабочих обязанностей.

Ландшафт внутренних угроз в 2024 году

Люди представляют собой значительную уязвимость, известную как инсайдерская угроза, охватывающая риски, связанные с доступом к сетевым ресурсам различного персонала — сотрудников, менеджеров, партнеров и подрядчиков. Киберпреступники используют сложные методы для их эксплуатации, что приводит к дорогостоящим инцидентам. Согласно глобальному отчету Института Понемон о стоимости инсайдерских рисков, частота таких инцидентов ежегодно увеличивается, при этом затраты на устранение резко возрастают — с 15,4 миллиона долларов в 2022 году до 16,2 миллиона долларов в 2023 году.

ИИ усиливает угрозу

Дэвид Эмм, главный исследователь безопасности в группе глобальных исследований и анализа Касперского, отметил Techopedia, что ИИ несет некоторую ответственность за ситуацию.

По словам Эмма, киберпреступники теперь используют машинное обучение для воспроизведения надежного поведения и автоматизации атак, что усложняет обнаружение вредоносных действий.

Роберт О’Брайен, главный евангелист MetaCompliance, соглашается, заявляя, что появление ChatGPT предоставило хакерам беспрецедентные возможности.

Их быстрое внедрение и инновационное использование ИИ в своих схемах превзошли ожидания как правительства, так и промышленности. О’Брайен подчеркивает:

«Инструменты искусственного интеллекта значительно расширяют спектр угроз для большинства организаций, особенно если их интеграция не контролируется должным образом».

Тайлер Фаррар, директор по информационной безопасности компании Exabeam, добавляет, что искусственный интеллект умеет создавать убедительные и убедительные сообщения, из-за чего пользователям становится все сложнее различать мошеннические действия и тем самым повышаются показатели успеха.

Человеческий элемент

По мнению Эмма из «Лаборатории Касперского», наиболее серьезной проблемой остаются преднамеренные инсайдерские угрозы, когда доверенные сотрудники намеренно причиняют вред. Эмм подчеркивает:

«Компании изо всех сил пытаются контролировать это из-за нарушения доверия между компанией и сотрудником. Внедрение мер контроля доступа и ограничение действий теми, которые необходимы, могут помочь смягчить эти риски. Безразличие и недостаточная осведомленность сотрудников усугубляют эти проблемы, требуя упреждающих и адаптируемых действий. подход безопасности».

Эта проблема давняя. Осведомленность об инсайдерских угрозах стала острой, по крайней мере, с 2014 года, когда исследование Гарварда показало, что американские компании ежегодно сталкиваются с 80 миллионами кибератак с участием сотрудников или подрядчиков — цифра, которая сейчас, вероятно, занижена из-за занижения информации о нарушениях.

Проблема обучения осведомленности о кибербезопасности

Многие организации пытаются решить проблему кибербезопасности, собирая сотрудников в залах заседаний, представляя тревожные презентации PowerPoint и распространяя контрольные списки для своих рабочих станций. Однако, учитывая сложный и постоянный характер современных кибератак в сочетании с человеческим фактором, эти традиционные методы обучения часто не оправдывают ожиданий.

Девин Эртель, директор по информационной безопасности Menlo Security, подчеркивает:

«Злоумышленники используют апатию, любопытство и недостаточную осведомленность сотрудников о безопасности, чтобы обойти даже самые совершенные технические средства защиты».

Эртель отмечает, что «люди остаются самым слабым звеном», подчеркивая, что «более 75% фишинговых ссылок размещаются на доверенных веб-сайтах, что усложняет выявление вредоносного контента».

Крис Денби-Уайт, директор по безопасности компании Next DLP, выделяет несколько препятствий, с которыми сталкиваются программы обучения кибербезопасности:

• Конкурирующие рабочие приоритеты
• Абстрактная природа киберугроз по сравнению с физическими угрозами
• Неудобство протоколов безопасности
• «Усталость от безопасности» из-за постоянных предупреждений и обновлений системы безопасности

Упрощение обучения кибербезопасности для всех

Обучение кибербезопасности часто основано на техническом жаргоне, который может оттолкнуть нетехнических сотрудников и сделать содержание подавляющим или неуместным, что затрудняет понимание. Кроме того, существует тенденция к «предвзятости неуязвимости», когда люди недооценивают свою уязвимость или чувствуют себя защищенными брандмауэрами компании, что способствует формированию мышления «со мной этого не случится».

Серьезная проблема связана с самими командами безопасности, которые часто возглавляют инициативы по обучению, но могут не иметь возможности эффективно общаться с нетехнической аудиторией. Лэнс Спитцнер из SANS Security Awareness подчеркивает, что многие программы терпят неудачу, потому что они не соответствуют тому, как люди думают или действуют.

Чтобы решить эту проблему, компаниям следует уделить приоритетное внимание обеспечению доступности и актуальности обучения по безопасности для всех сотрудников, независимо от технического образования, с использованием языка и концепций, которые перекликаются с их повседневным опытом и проблемами.

Советы экспертов по интеграции киберинформации

По мнению экспертов, успешная программа обучения киберинформации требует выделенных ресурсов, времени и стратегического подхода. Вот ключевые факторы успеха:

Создавайте эффективные сообщения

Роберт О’Брайен из MetaCompliance подчеркивает, что осведомленность о безопасности должна отражать эффективные маркетинговые кампании организации, обеспечивая последовательные и актуальные сообщения по всем каналам связи.

Поощряйте взаимодействие и подкрепляйте

Крис Денби-Уайт из NextDLP рекомендует разработать интерактивное и понятное обучение, объясняющее причины, лежащие в основе методов обеспечения безопасности, а не только процедуры. Он также предлагает реализовать программы признания и вознаграждения, чтобы стимулировать усердие в области кибербезопасности.

Расширьте возможности служб безопасности

Лэнс Спитцнер из SANS подчеркивает важность наличия преданных своему делу членов команды безопасности, которые преуспевают в общении и обучении для эффективного изменения поведения.

Персонализируйте обучение с помощью микроуроков

Мика Аалто из Hoxhunt выступает за обучение, ориентированное на поведение, которое можно персонализировать в зависимости от индивидуального опыта и уровня навыков. Он предлагает сделать обучение приятным, использовать геймификацию для моделирования реальных угроз и поощрения активного участия.

Примите непрерывное обучение

Тайлер Фаррар, директор по информационной безопасности Exabeam, подчеркивает необходимость иммерсивного и постоянного обучения, включающего регулярные симуляции фишинга, персонализированные модули и интерактивный контент, такой как игровые упражнения и опыт виртуальной реальности.

Обеспечьте поддержку руководства

Стивен Ковски из SlashNext Email Security подчеркивает важность поддержки руководителей в формировании культуры заботы о безопасности и предоставлении увлекательных учебных модулей для конкретных ролей.

Разрабатывайте интересный контент

Proofpoint подчеркивает важность создания интересных, актуальных и легко усваиваемых учебных материалов, которые закрепляют принципы кибербезопасности и направляют сотрудников к безопасному поведению.

Интегрируя эти стратегии, организации могут эффективно повысить осведомленность сотрудников о кибербезопасности, снизить риски и укрепить общий уровень безопасности.

Успешный тренинг по киберинформации: упрощенный семиэтапный подход

Кришна Вишнубхотла, вице-президент по продуктовой стратегии Zimperium, обрисовывает простой, но эффективный шаблон для проведения обучения киберинформации:

Практический подход

Привлекайте сотрудников к интерактивным занятиям, в которых представлены сценарии из реальной жизни, чтобы обеспечить практическое обучение и устойчивый интерес.

Регулярные обновления

Держите сотрудников в курсе возникающих угроз и лучших практик посредством регулярных обновлений для поддержания осведомленности и готовности.

Сосредоточьтесь на мобильной безопасности

Просвещайте сотрудников о рисках, связанных с мобильными устройствами, подчеркивая важность использования надежных приложений и постоянного мониторинга угроз.

Ролевой контент

Адаптируйте содержание обучения для различных ролей в организации, устраняя конкретные риски кибербезопасности, относящиеся к каждой роли.

Непрерывная оценка

Регулярно оценивайте эффективность инициатив по обучению и предоставляйте сотрудникам обратную связь для совершенствования своих методов кибербезопасности.

Интеграция в повседневную практику

Внедрите методы кибербезопасности в повседневную жизнь и корпоративную культуру, чтобы стимулировать упреждающий подход к безопасности.

Участие руководства

Убедитесь, что руководители и члены совета директоров активно участвуют в программе обучения и одобряют ее, чтобы подчеркнуть ее значимость и способствовать развитию мышления, ориентированного на безопасность, во всей организации.