Как лучше учить сотрудников кибербезопасности

Опыт показал, что правила безопасности лучше всего запоминаются в игре
Алексей Таранин
Алексей Таранин

Эксперты по кибербезопасности часто замечают, что тренинги по компьютерной безопасности вызывают у сотрудников неприятные эмоции: большую часть времени на этих занятиях им пытаются внушить страх перед переходом по подозрительным ссылкам или использованием ненадежных паролей. Результат, как правило, плачевен. Несмотря на пройденное обучение, сотрудники продолжают совершать элементарные ошибки и подвергают компании рискам хакерских атак, которые могут обернуться серьезными убытками.

В результате многие организации решили сменить кнут на пряник. Одни объясняют сотрудникам правила безопасности, используя игры, конкурсы и призы. Другие применяют более традиционные методы обучения, но создают на занятиях комфортную атмосферу. Результаты исследований показывают, что новые подходы работают лучше.

Неправильный сигнал

«Попросите молодого коллегу сыграть с вами в ассоциации. Вы говорите «собака», он скажет «кошка». Но если вы скажете «кибербезопасность», вы услышите: «Простите, что я открыл то электронное письмо. Пожалуйста, не отправляйте меня на тренинг», – говорит Амадеус Стивенсон, технический директор компании Decoded, которая разрабатывает технологии обучения. По его мнению, традиционные тренинги по кибербезопасности посылают людям неверные сигналы, запугивая их, вместо того чтобы обучать.

Между тем успех такого обучения имеет ключевое значение для компании: многие эксперты по кибербезопасности говорят, что основная угроза исходит изнутри организации, от беспечных сотрудников.

Новые методы

Опасные письма

91% всех кибератак начинается с фишингового электронного письма с опасной ссылкой, на которую кликает кто-то из сотрудников, – таковы результаты исследования, опубликованного в декабре 2016 г. компанией PhishMe, которая специализируется на защите от мошенников, действующих через электронную почту

Среди компаний, которые уже переосмыслили обучение в сфере кибербезопасности, можно выделить Facebook. Раз в год компания проводит Hacktober – мероприятие, приуроченное к национальному месяцу профилактики киберпреступлений. В течение месяца Facebook тестирует своих сотрудников, моделируя фишинговые атаки, массовую рассылку спама и другие киберугрозы. Тех, кто успешно отражает атаки, награждают памятными сувенирами и другими призами.

Есть компании, где сотрудники, отвечающие за кибербезопасность, вычисляют, кто из топ-менеджеров представляет особую ценность для хакеров, а затем организуют обучение для этих руководителей и членов их семей на дому. Такой подход позволяет лучше донести информацию, уверен Ланс Спитцнер, один из директоров SANS Institute – организации, проводящей тренинги по безопасности.

Нужен позитив

Однако большинство работодателей до сих пор предлагают сотрудникам обычные тесты на знание правил кибербезопасности и толком ничему их не учит. В 2015 г. исследователи из некоммерческой отраслевой Ассоциации компьютерных технологий оставили 200 USB-накопителей в аэропортах и кофейнях по всей стране. Значительное число прохожих подобрали устройство и вставили его в свой компьютер. Так поступали даже и некоторые сотрудники IT-компаний, и сами эксперты по кибербезопасности.

Призы для отличников

В Salesforce.com и Adobe Systems тренинги по кибербезопасности проводят не эксперты, а обычные сотрудники. Работников, не имеющих специальных знаний в области кибербезопасности, сначала обучают лучшим способам защиты, а потом предлагают им помочь своим коллегам: провести для них тренинг, организовать конкурс, донести информацию о кибербезопасности языком, понятным людям, не имеющим технического образования. Тех, кто успешно проводит тренинги для коллег, награждают баллами, которые можно превратить в мили авиакомпаний, оплатить ими место на парковке, обменять на бесплатную одежду или на что-то забавное, например на мастер-класс по вскрытию замков, рассказывает Седова из Elevate Security.

Ситуацию могли бы изменить программы позитивной мотивации, говорит Маша Седова, ранее работавшая одним из директоров Salesforce, а затем основавшая собственную тренинговую фирму Elevate Security. Исследование, проведенное в 2014 г. сотрудниками лаборатории кибербезопасности при Университете Мэриленда, показало: студенты университетов легко учатся криптографической защите, методам идентификации и регулярному обновлению софта, играя в компьютерную игру Security Empire. Участники этой игры становятся владельцами компаний, которые испытывают финансовые проблемы и сталкиваются со сбоями в производстве, когда допускают ошибки в сфере кибербезопасности. В этой игре студенты соревнуются, пытаясь создать самую успешную компанию.

Некоторые игровые методики хорошо зарекомендовали себя даже в высокотехнологичных отраслях, где работают IT-специалисты, добавляет Мишель Квон, генеральный директор компании MKA Cyber, которая консультирует бизнес по вопросам безопасности. Особенно нравятся сотрудникам этих компаний игры, где люди состязаются друг с другом.

Перевела Надежда Беличенко