Как прокачать киберграмотность персонала? Нестандартные подходы обучения

67% инцидентов информационной безопасности — неумышленные нарушения сотрудников. Чтобы снизить риски утечек данных и других внутренних нарушений, необходимо повышать киберграмотность персонала. Здесь на помощь приходят методики повышения цифровой культуры. Зачастую это абстрактная теория. Чтобы обучение не превратилось в банальную зубрежку без понимания, разберем неклассические, но не менее эффективные, методы обучения навыкам ИБ.  

Амбассадоры безопасности

Более 90% инцидентов так или иначе связаны с человеческим фактором. Неосмотрительные действия сотрудников могут привести к утечкам данных, остановке бизнес-процессов, финансовому ущербу. При этом, технические средства, к примеру, могут не сразу выявить атаку методом социальной инженерии (фейковые сообщения в мессенджерах от «гендира», вишинг и т.д). Тогда как ИБ-грамотность сотрудников может стать последним эшелоном защиты.  

Существует множество не особо эффективных форматов обучения: формальные курсы, не дающие практических навыков, инструктаж с последующим «распишитесь в журнале», памятки, написанные языком нормативных требований и пр. И, как показывает практика, пользователи, прошедшие такое обучение, по-прежнему не блокируют компьютер перед уходом, попадаются на фишинг, пересылают конфиденциальные данные на личную почту. Это все потому, что сотрудники не воспринимают реальность угрозы и не беспокоятся, что инциденты могут коснуться их лично.

Чтобы инвестиции в повышение киберграмотности не были бессмысленны, стоит рассмотреть, в том числе, и неклассические методы обучения основам ИБ. К примеру, ввести в каждом подразделении компании роль Security-buddy — так называемого наставника по безопасности (как это сделали в MTS RED).

Основная задача такого сотрудника — просвещение в сфере ИБ. Наставник будет объяснять правила информационной безопасности простым языком и стимулировать коллег их выполнять.

Кроме того, в симбиозе с техническими средствами защиты внедрение роли Security-buddy позволяет минимизировать риски кибератак и нивелировать один из главных факторов — человеческую ошибку. Например, кто-то из сотрудников передает файлы подрядчикам через внешнее облако. Если это неконфиденциальные данные, DLP-система не отреагирует. Но в будущем такая привычка может привести к утечкам. Поэтому безопаснее всего обмениваться информацией через корпоративное облако. И такие риски наставники могут предупредить на ранней стадии.

Кибербезопасность в играх

Традиционные лекции по основам ИБ, переполненные определениями, редко вызывают интерес и понимание у сотрудников. Повысить осведомленность в вопросах информационной безопасности также позволит внедрение в обучение элементов геймификации (игровой подход). Это может быть квиз, Wordle, «Своя игра» на тему ИБ и т.п.

К примеру, элементы геймификации могут быть и в обычном тесте, который состоит из 30 вопросов, где нужно выбрать один из вариантов ответа. Но! Тест сотрудники делают одновременно. По ходу теста за правильные ответы в случайном порядке выпадают различные «вредилки». И каждый участник в любой момент может их активировать. Например, при переходе к следующему вопросу у всех игроков (кроме вас) будет пауза 5 секунд. Или при переходе к вопросу изображение на экране переворачивается на 180 градусов на 10 секунд. Логика, как в игре Mario Kart, когда вы не просто играете в гонки на картинге, но и можете активно мешать другим участникам.

В целом, геймификация — это ачивки, лидерборды и т.п. Она помогает в обучении:

1. Повышать вовлеченность. Так сотрудники быстрее осваивают материал, применяют его на практике, тем самым улучшают защищенность компании.
2. Улучшать запоминания. Интерактивность и эмоции помогают усваивать сложные правила ИБ. Например, обучение парольной политике может проходит в формате квиза с уровнями и наградами.
3. Отрабатывать практические навыки. Симуляции позволяют применять знания в реалистических сценариях. Пример, сотрудники получают учебные фишинговые письма и должны их распознать, зарабатывая баллы. Если эти баллы можно обменять на что-то реальное (особая кружка, байка с уникальной надписью или еще что-то, не только мерч), это уже геймификация и материальная мотивация.
4. Снижать человеческий фактор. Обученные и мотивированные сотрудники меньше ошибаются и более внимательны.

Правила, которые не стоит игнорировать

Но даже если вы использовали вышеописанные методы в обучении ИБ и учли все аспекты цифровой грамотности, недочеты могут свести усилия к нулю. Где кроются ошибки:

Заучивание материала без понимания

Одна из главных проблем — пользователей учат понимать не принципы атаки, а распознавать частные случаи. Но злоумышленники совершенствуют атаки быстрее, чем службы ИБ актуализируют обучающие курсы. Поэтому здесь важно обращать внимание на «анатомию» атаки и ее мотивы. Например, в случае с фишинговыми письмами сотрудников следует тренировать распознавать мошенничество по следующим признакам:

1. Побуждение к действию. Пользователя активно подталкивают к действию, чтобы не было времени на размышления. Выглядит это так: «Срочно смените пароль, или ваш аккаунт заблокируют», «Перейдите по ссылке, чтобы…» и пр.
2. Неожиданность. Письмо приходит внезапно. Неожиданность идет в паре с побуждением к действию.
3. Отсутствует личное обращение. Это может говорить о том, что мошенник поленился или не смог найти ваше имя.
4. Непонятный ящик отправителя.
5. Грамматические ошибки, корявое оформление письма.
6. Отсутствие подписи к письму с должностью, телефоном и т.д.

Нерегулярность и бессистемность обучения

Масштабные учения по ИБ следует проводить раз в год. К примеру, когда «подрядчики» играют в хакеров, засылают фишинговые письма и пр. Рутинные мероприятия — тренинги, антифишинговые рассылки, лекции — раз в квартал. Что-то «экстремальнее» — по ситуации вне графика. Например, если пошла на компанию атака Fake boss. В этом случае не стоит ждать планового семинара, а сделать рассылку с предупреждением немедленно.

А вот частые обучения могут вредить. Сотрудники скатываются в механические реакции и бдительность притупляется.

Обучение без «последствий»

Перед обучением стоит договориться с руководством о мотивации для тех, кто хочет следовать правилам ИБ и показывает хорошие результаты. И предусмотреть санкции для тех сотрудников, кто учебу саботирует, относится к ней халатно.

Подходы без учета специфики аудитории

Чтобы обучить ИБ-грамотности сотрудников, не нужно быть педагогом. Поскольку обучение взрослых отличается. Здесь важно придерживаться следующих принципов:

• обучение должно базироваться на практике;
•  учиться тому, что связано с работой;
• обучение ориентировано на решение проблем, а не на приобретение знаний как таковых.

Заключение

Обучение сотрудников основам ИБ — это не панацея. Киберграмотность не гарантирует, что сотрудники не будут открывать вредоносные вложения, случайно сливать данные. Но цифровая грамотность позволит снизить количество инцидентов и избежать рисков для бизнеса. А знания из интересно разработанных курсов сотрудники будут применять не только в корпоративной, но и в частной жизни.