Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
2023-12-12
Около трети российских компаний считают важным проводить тренинги по повышению цифровой грамотности сотрудников
2023-12-22
Наш проект: Бесплатные антивирусы не спасут. 8 правил защиты корпоративных данных
2023-12-25
Российским компаниям потребовалась кибергигиена
2023-12-28
«Лаборатория Касперского» выяснила, какие категории сайтов и приложений наиболее интересны фишерам
2024-01-12
Исследование «Лаборатории Касперского»: 43% российских компаний собираются в 2024 году инвестировать в средства обнаружения киберугроз
2024-02-02
«Лаборатория Касперского» представила пошаговое руководство для компаний, столкнувшихся с утечками данных
2024-02-19
Школьникам расскажут про защиту от мошенничества с дипфейками, доксинга и кражи аккаунтов
2024-02-20
Эксперты «Лаборатории Касперского» отмечают рост числа и уровня сложности целевых атак программ-вымогателей
2024-03-01
«Лаборатория Касперского» запустила интерактивный симулятор атаки программ-вымогателей
2024-03-11
Каждый второй специалист по кибербезопасности в начале карьеры совершал ошибки на работе из-за недостатка нужных знаний
2024-03-12
Инсайдерские угрозы: злонамеренные действия сотрудников создают риски для кибербезопасности предприятий
2024-04-18
Компании лучше понимают, как защищать интернет вещей и технологии машинного обучения, чем цифровые двойники, AR и VR
2024-04-26
«Лаборатория Касперского»: злоумышленники продолжают использовать утёкший билдер шифровальщика LockBit для кибератак, в том числе в России
2024-04-27
«Лаборатория Касперского» зафиксировала всплеск фишинговых рассылок на крупные российские компании
2024-05-07
«Лаборатория Касперского»: злоумышленники стали в два раза чаще использовать в кибератаках уязвимости Linux
2024-05-08
Злоумышленники атакуют российские компании под предлогом урегулирования досудебных претензий
2024-05-16
В 2024 г. количество утекших паролей в России выросло в шесть раз
2024-05-27
Количество кибератак через Android-видеоигры удвоилось в 2004 году в России
2024-06-07
Злоумышленники атакуют российские компании под видом соискателей и проверяющих организаций
2024-06-10
«Лаборатория Касперского» назвала основные причины кибератак на контейнерные разработки
2024-06-13
«Касперский»: Только 20% российских компаний полностью защищены от кибератак
2024-07-08
CloudSorcerer: кибершпионаж из облаков
2024-07-31
Злоумышленники атакуют промышленные предприятия по всему миру под видом представителей крупной логистической компании
2024-08-09
Эксперты «Лаборатории Касперского» представили детали атак Head Mare на компании в России и Белоруссии
2024-08-14
«Лаборатория Касперского» предупреждает: атаки хактивистов Twelve продолжаются
2024-09-06
«Лаборатория Касперского» проанализировала развитие шифровальщика Mallox
2024-09-10
В России появился методический комплекс для обучения цифровой грамотности людей с синдромом Дауна
2024-09-16
Не всё то картинка, что скан: злоумышленники прячут фишинговые ссылки за изображениями
2024-09-25
«Лаборатория Касперского»: сотрудники российских компаний верят тренировочным фишинговым письмам от HR- и ИТ-отделов
2024-09-26
Каждый третий новосибирец излишне доверчив и может открыть фишинговые письма
2024-09-27
МегаФон и Лаборатория Касперского проверили служащих на доверчивость
2024-10-09
TechCrunch: «Лаборатория Касперского» закроет лондонский офис и сократит сотрудников в Великобритании
2024-10-17
«Лаборатория Касперского» зафиксировала всплеск вредоносных рассылок под видом запросов от потенциальных клиентов
2024-10-29
«Лаборатория Касперского» обнаружила новую волну кибератак с использованием фальшивых тестов CAPTCHA
2024-12-13
«Лаборатория Касперского» присоединилась к Альянсу в сфере искусственного интеллекта
2024-12-16
Опрос: меньше чем в половине компаний приняты меры, необходимые для борьбы с угрозами на основе ИИ
2024-12-17
Обучение сотрудников кибергигиене: необходимость или излишество?
2024-12-26
«Лаборатория Касперского» усовершенствовала решение для безопасности контейнерных сред
2025-02-07
«Лаборатория Касперского» представила свой прогноз по ландшафту киберугроз для промышленности в 2025 году
2025-02-13
«Касперский»: Российский телеком и промышленность атакуют мутанты опасных троянских программ
2025-02-20
«Лаборатория Касперского» запустила бесплатный онлайн-курс о безопасности в интернете
2025-02-24
«Лаборатория Касперского» запустила бесплатный онлайн‑курс о безопасности в интернете
2025-02-26
Безопасная разработка «Ред ОС» при поддержке продуктов «Лаборатории Касперского»: итоги 2024 года
2025-03-19
Каждая третья кибератака длилась в 2024 г. больше месяца
2025-03-21
Злоумышленники шифруют данные жертв, а затем публикуют их IP-адреса
2025-03-26
В России начали совершать целевые кибератаки на сотрудников СМИ
2025-04-17
Российский госсектор подвергается кибератакам: в ход пущен троянец удаленного доступа
2025-04-28
«Лаборатория Касперского»: треть россиян каждую неделю рассказывают о своем хобби в сети
2025-05-19
«Солар» поможет оценить готовность сотрудников компаний России к кибератакам
2025-05-26
«Лаборатории Касперского»: каждый второй россиянин с хобби, о котором он рассказывает в Сети, следит за количеством подписчиков
2025-06-15
Координационный центр доменов .RU/.РФ и «Лаборатория Касперского»: вышел комикс «Имбовая ошибка: как я чуть не слил всё»
Назад
rg.ru
2 года назад

Российским компаниям потребовалась кибергигиена

"Человеческий фактор по-прежнему играет значимую роль в том, будет ли кибератака успешной или нет. Именно поэтому злоумышленники неустанно обновляют свои тактики и инструменты, используя наиболее действенные приемы социальной инженерии", - объясняет Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness.

Один из ключевых методов профилактики подобных проблем - обучение навыкам информационной безопасности.

Входите, открыто: как люди впускают злоумышленников в корпоративные системы

Часто именно сотрудники оказываются наиболее легкой и доступной точкой входа в ИТ-инфраструктуру компании. Обычная корпоративная почта - один из самых распространенных векторов атак на бизнес. Инциденты во многих случаях начинаются с фишинга: злоумышленники рассылают фишинговые письма, выманивают логины и пароли сотрудников, получают доступ к инфраструктуре компании, а затем крадут данные. При этом инструменты атакующих становятся все более изощренными: к примеру, они добавляют html-вложения вместо ссылок, применяют QR-коды, упаковывают вредоносное содержимое в zip-архивы и pdf-файлы.

Технические средства защищают инфраструктуру компании, но всегда есть вероятность, что сотрудник самостоятельно "впустит" злоумышленника, ведь атакующие активно используют актуальную новостную повестку и методы социальной инженерии.

Например, недавно в "Лаборатории Касперского" обнаружили многоступенчатую схему телефонного мошенничества, в которой злоумышленники притворяются коллегами потенциальной жертвы. Сначала человеку приходит сообщение в мессенджере (чаще всего это Telegram) - оно может быть как от знакомого контакта, например, от коллеги, так и с неизвестного номера. Во втором случае адресанты обычно представляются сотрудниками той сферы, в которой работает потенциальная жертва. Таким образом мошенники стремятся вызвать больше доверия. Пользователя уведомляют о скором звонке по некому важному делу от представителей правоохранительных органов или регуляторов и обращают внимание, что эту беседу нельзя игнорировать. Вскоре с человеком действительно связываются якобы представители правоохранительных органов или регуляторов, настоятельно призывают к сотрудничеству, убеждают в социальной значимости взаимодействия, могут оказывать психологическое давление. Они готовят пользователя к следующему звонку - уже от поддельных сотрудников банка. Через некоторое время абоненту звонят ненастоящие представители финансовой организации, чтобы заставить его перевести свои деньги на определенную карту, а также взять кредит и, например, положить на счет через банкомат. В некоторых случаях злоумышленники - якобы для помощи - могут даже убедить человека купить отдельный телефон и SIM-карту и выключить личное устройство.

Чтобы избежать подобных инцидентов, сотрудники должны знать, какие существуют типы атак и что должно насторожить: правильно обращаться с паролями; распознавать поддельные сайты; знать, что, где и как можно скачивать; надежно хранить конфиденциальные данные; понимать, с кем можно делиться такой информацией - как внутри компании, так и за ее пределами; а также быть в курсе, что делать, если они допустили ошибку или подозревают, что произошел киберинцидент.

Компетенции не панацея

Ошибаются все: и сотрудники, далекие от ИТ, и профессионалы в этой сфере. Например, по данным исследования "Лаборатории Касперского", за последние два года в российских компаниях инциденты происходили в равной степени из-за непреднамеренных ошибок сотрудников не из ИТ-отделов и из ИТ-отделов - по 14,5% случаев; почти так же часто они происходили в результате ошибок менеджеров высшего звена - в 13% случаев.

Очевидно, что сотрудникам не хватает навыков в области цифровой грамотности, кибербезопасное поведение не доведено до автоматизма. Бизнесу необходимы эффективные средства для решения этой проблемы. Задача сложная, ведь нужно не просто повысить осведомленность сотрудников об онлайн-угрозах, а развить у них навыки безопасного поведения и сформировать устойчивые привычки.

Вариантов действий у злоумышленников очень много, и предусмотреть в инструкции все сценарии атак невозможно. Необходимо научить сотрудников принимать наиболее безопасные решения в любой ситуации.

Фото: iStock

Обучение цифровой грамотности необходимо

По данным исследования "Лаборатории Касперского", важной мерой для предотвращения киберинцидентов 41% респондентов считают специализированные тренинги для сотрудников ИТ-отделов, а 32% - тренинги для сотрудников не из ИТ-отделов.

Но как проводить обучение, чтобы сократить вероятность инцидентов из-за человеческого фактора?

Главная задача тренингов по цифровой грамотности - не просто давать знания, а менять поведение сотрудников, максимально снижая вероятность ошибок. Это длительный процесс: чтобы он был эффективным, он должен вестись на регулярной основе.

Вовлекать и обучать надо всех сотрудников, и руководители не исключение, тем более что ошибки последних могут стоить бизнесу особенно дорого. Конечно, для обучения топ-менеджеров должен применяться особый подход, нужно демонстрировать им, как именно кибербезопасность влияет на показатели бизнеса.

Курс будет эффективным, если разрабатывается с учетом современных образовательных подходов и является максимально практико-ориентированным. В таком случае обучение позволит не только повысить киберграмотность сотрудников, но и при регулярных повторениях и отработке полученных знаний на практике (например, симуляциях фишинговых атак) значительно сократить количество инцидентов, связанных с человеческим фактором, а значит и снизить расходы компаний на реагирование на инциденты, репутационные и прочие риски.

Где и как обучать сотрудников?

Для этого есть специализированный платформы. Например, "Лаборатория Касперского" уже несколько лет успешно развивает платформу для повышения цифровой грамотности. На ней прошли обучение свыше 1,5 миллионов работников более чем в 75 странах, в том числе специалисты, линейные руководители и топ-менеджеры.

В платформе Kaspersky Automated Security Awareness Platform (ASAP) реализован инновационный подход к организации тренингов по защите от киберугроз. Решение позволяет распределить сотрудников на группы в соответствии с их профилем риска и доступом к чувствительной информации, и для каждой группы определить целевой уровень обучения, необходимый формат и набор тем. Например, рядовым сотрудникам нужны лишь базовые умения, в то время как руководителю для работы с конфиденциальной информацией требуется знать, как обезопасить данные целого департамента.

Информация подается дробно, небольшими порциями, но регулярно и с помощью разных инструментов: тексты, инфографика, видео, тестирования, а также различные симуляции, чтобы закрепить навыки в реальных ситуациях.

Платформой могут воспользоваться и компании, которые предъявляют повышенные требования к информационной безопасности, в том числе из-за регуляторных ограничений, ведь решение доступно и по модели on-premise, то есть может быть установлено в инфраструктуру заказчика, на его серверы. Никто извне, в том числе и разработчик, доступа к нему не имеет. Решение может работать вообще без использования интернета, и в этом случае компании полностью контролируют свои конфиденциальные данные и инфраструктуру.

Жизненные сценарии

В ходе обучения в платформе Automated Security Awareness Platform используются в том числе типичные обстоятельства, которые могут возникнуть в течение рабочего дня. Например, сотрудник оказывается в ситуации, когда нужно выбрать наиболее безопасный способ отправить файл коллеге или поговорить о будущем проекте в людном месте.

"В каждом уроке есть примеры ситуаций из реальной жизни. Очень важно, чтобы сотрудники чувствовали, что это не абстрактные знания, а то, с чем они лично сталкиваются ежедневно. Тренинги обучают нескольким вполне осязаемым навыкам, которые можно начать применять уже после первого урока", - рассказывает Татьяна Шумайлова.

Цифровизация идет полным ходом, и выделение навыков цифровой безопасности в отдельное требование при устройстве на работу - вопрос времени. Регулярные тренинги жизненно необходимы для компаний любой величины, которые не хотят терять деньги и данные. Цель, которой они позволяют достичь, гораздо масштабнее, чем просто заставить людей соблюдать те или иные правила. Обучение цифровой грамотности позволяет сформировать осознанное отношение к данным, поменять мышление людей таким образом, чтобы они в целом аккуратно и внимательно относились ко всему, что связано с хранением, обработкой и передачей информации. Это поможет и им самим, и их работодателям, ведь благодаря сотрудникам можно значительно сократить риск успеха кибератак и утечек информации.

Назад