Людям свойственно доверять своему опыту. Такой подход позволяет принимать обоснованные и взвешенные решения, когда речь идёт о технических уязвимостях и средствах защиты от них. Опыт в сочетании с логикой быстро приносит нужный результат.
Однако при построении защиты компании важно учитывать не только технический, но и человеческий фактор, поскольку неправильные действия людей также могут нанести серьёзный ущерб. В отношении сотрудников среди ИБ-специалистов существует несколько крайне стойких заблуждений, которые мешают выстроить эффективные процессы безопасности.
В процессе исследований, которые на системной основе проводит ООО «Антифишинг», мы собрали статистические данные, которые развенчивают пять главных мифов о человеческом факторе в ИБ. В этой статье мы поделимся полученными результатами, чтобы помочь безопасникам грамотно и эффективно вести процессы повышения осведомлённости сотрудников, базируясь не на вере, а на научно обоснованных фактах.
1. Обучающих курсов достаточно для снижения риска человеческого фактора в ИБ
«Главное — это правильные обучающие курсы. Если они не помогают, значит, курсы недостаточно хорош: у них не тот дизайн, не хватает геймификации, материал слишком сложный».
Борьба за повышение эффективности информирования сотрудников превращается в «дегустацию» бесчисленного множества обучающих курсов в попытках выяснить, как же всё-таки преподнести информацию, чтобы сотрудники её усвоили, и как их мотивировать пройти ещё один по-модному оформленный курс о самом важном.
На самом деле
Повышение осведомлённости, состоящее только из обучающих курсов, практически не влияет на поведение сотрудников. Нам не удалось выявить корреляции между декларируемым качеством курсов, их дизайном, геймификацией и действиями сотрудников.
Изучая этот вопрос, мы в течение года наблюдали за группой сотрудников, которые проходили исключительно обучение, но не тренировку навыков. Оказалось, что через год, в течение которого сотрудники проходили несколько обучающих курсов, поведение изменилось в положительную сторону лишь у 9% сотрудников (рисунок 1).
Рисунок 1. Изменения поведения пользователей, проходивших только обучающие курсы.
Полученные результаты отражают закон забывания Г. Эббингауза, в соответствии с которым курсы обучения эффективны в течение трёх дней, а затем 90% материала забывается.
Прохождения курсов недостаточно. Необходимо формировать навыки, закрепляя полученные знания с помощью тренировок. При добавлении к обучению тренировки в виде рассылки имитированных атак эффективность информирования повышается в 5 раз, с 9 до 49% (рисунок 2).
Рисунок 2. Изменения поведения пользователей, проходивших обучающие курсы и тренировку навыков через имитированные атаки.
Что делать
Кроме курсов обучения, обязательно тренируйте навыки безопасной работы сотрудников, чтобы закрепить полученные ими знания и сделать их частью автоматического, «рефлексивного» поведения.
2. Бухгалтерия и административный персонал — самые легкомысленные сотрудники
Ещё одно стойкое заблуждение ИБ-сотрудников состоит в том, что бухгалтерия, менеджеры и административные сотрудники представляют наибольшую проблему с точки зрения безопасности. На рисунке 3 приведены данные опроса ведущих специалистов ИБ.
Рисунок 3. Самые «небезопасные» сотрудники с точки зрения ИБ-специалистов.
На самом деле
Согласно данным, полученным в результате 100 тыс. имитированных фишинговых атак, в которых приняли участие 20 тыс. сотрудников 48 компаний-клиентов «Антифишинг», наибольшее число небезопасных действий совершают представители «творческих» профессий, а также стажёры и ИТ-специалисты (рисунок 4).
Рисунок 4. Распределение безопасных и небезопасных действий среди подразделений.
Что делать
Оценивать реальную защищённость всех сотрудников, тренировать навыки по объективным результатам — рейтингу поведения каждого сотрудника, а не на основе «веры» в то, какой отдел более уязвим.
3. Рассылки раз в полгода помогут сформировать навыки ИБ у сотрудников
«Достаточно совершать рассылку имитированных атак раз в полгода, раз в год, чтобы формировать и поддерживать навыки ИБ у сотрудников».
На самом деле
Редкие атаки ничего не меняют. Статистика демонстрирует аморфный набор данных о поведении сотрудников без выраженной тенденции к повышению уровня безопасного поведения, как в случае с мифом № 1. Время от времени встречаются «резкие выбросы» в отрицательную сторону при повышении сложности атаки.
Редкие рассылки не позволяют сформировать навыки и являются инструментом проверки, изменений в поведении пользователей за период.
Важно проводить рассылку имитированных атак регулярно, поддерживая максимальное разнообразие психологических манипулятивных приёмов в самих атаках (см. Классификация Антифишинг), чтобы действительно формировать и закреплять навыки и насмотренность сотрудников в части ИБ.
Что делать
Проводить тренировку навыков с помощью имитированных атак раз в месяц или чаще.
4. Частота важнее содержания рассылок. Регулярные однотипные атаки помогут изменить поведение сотрудников
«Мы не видим смысла тренировать сотрудников против внешнего спама», «У нас невозможно подделать письмо от лица коллег», «У нас есть ежеквартальная корпоративная рассылка, её мы и будем регулярно имитировать», «Мы видим заметный прогресс — поведение людей действительно изменилось».
На самом деле
Когда специалисты ИБ не отслеживают содержание имитированных атак или зацикливаются на одном и том же виде рассылок, получается эффект спама. Сотрудники действительно быстро натренировываются, но только против одного вида атак. Устойчивость к одному виду манипулятивного воздействия делает самоуверенных сотрудников более уязвимыми к другим видам воздействия в атаках.
Хорошим примером этого является следующий кейс с естественной, не навязанной маркетингом динамикой безопасного поведения сотрудников (рисунок 5).
Рисунок 5. Распределение безопасных и небезопасных действий при частых однотипных атаках.
Естественная динамика обучения чему-либо — постепенный прогресс, с застреваниями и периодическими «откатами» (кривая процесса обучения А. Бандуры), а не ракета, устремлённая в космос, как обычно рисуют маркетологи.
На рисунке 5 отслеживается рост динамики эффективности навыков безопасного поведения. Однако периодически устойчивость сотрудников «проседает». Причина — в поддержании разнообразия и постепенном усложнении «обучающего материала», т. е. самих атак.
Более ярко эта тенденция видна при изучении «микродинамики» прогресса тренировки навыков у сотрудников в разрезе отдельных факторов, например источника атаки – внешний и корпоративный.
Далее представлены графики эффективности тренировки сотрудников по разным источникам атак (рисунки 6–7).
Рисунок 6. Эффективность тренировки по внешнему источнику.
Рисунок 7. Эффективность тренировки по корпоративному источнику.
Как видно из рисунков, эффективность тренировок по источнику более выражена. Тем не менее нельзя исключать, что, кроме источника атаки, были и другие векторы воздействия на сотрудников, которые тоже оказывали влияние на периодическую «неготовность» сотрудников противостоять им.
Что делать
Сделайте атаки более разнообразными, используйте в них разные психологические и технические векторы.
5. Пользователи не обучаемы. Текучка персонала неизбежно сломает весь процесс
Безопасники часто не могут подойти к вопросу человеческого фактора системно. Им кажется, что знания и навыки людей нельзя сформировать, а поведение нельзя изменить. Это заставляет их с грустью листать каталоги вендоров защитных решений, выбирая то, что точно должно сработать и не будет зависеть от людей и их эмоций.
На самом деле
Поведение людей улучшается даже при высоком уровне текучки персонала. Это видно из графиков в мифах № 1 (улучшение поведения однородной выборки) и № 4 (улучшение поведения разнородной выборки). Разумеется, высокий уровень текучки снижает положительную динамику безопасного поведения, однако она всё равно присутствует.
Что делать
Системно и регулярно тренировать навыки ИБ у сотрудников и контролировать результаты, выбирая самые эффективные типы атак.
Заключение
Факты и статистика — наши лучшие друзья. Поведение людей — значимая проблема, но её грамотное решение вполне по силам ИБ-специалистам. Главное при этом — использовать научный подход, вести процесс системно и методологически грамотно!
Больше полезных фактов будет доступно в годовом отчёте «Антифишинга» за 2020 год. Следите за анонсами в телеграм-канале «Антифишинга» и публикациях BIS-Journal.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных