Эксперты «Лаборатории Касперского» поделились данными о цифровой грамотности россиян, которые были получены с помощью платформы Kaspersky Automated Security Awareness Platform с января по апрель 2022 года — за это время тестирование с помощью сервиса прошли более 8 800 человек. Анализ представленных данных показал, что почти три четверти опрошенных (72%) не смогли определить все признаки того, что аккаунт был взломан, более половины (53%) неправильно ответили на вопрос, где и как безопаснее всего хранить пароли, а 46% не сумели бы убедить знакомого, зачем ему нужно изменить пароль в случае взлома аккаунта, даже если тот давно не используется или не содержит конфиденциальной информации.
Безопасные сотрудники
В целом в компаниях уровень цифровой грамотности остается недостаточно высоким. Сотрудники склонны переоценивать свои компетенции в области информационной безопасности. Более трети обучающихся на платформе «Лаборатории Касперского» пользователей (34%) принимали неверные решения. Причем в 90% случаев они не сомневались в правильности выбранных ответов. Это было выявлено с помощью адаптивной методики общедоступного бесплатного курса «Безопасность во время пандемии в жизни и бизнесе», в котором учащихся при ответе на вопросы просили оценить степень своей уверенности в знаниях. Обнаружилось, что больше всего ошибок было допущено в категории вопросов, связанных с безопасным использованием интернет-браузеров (45%), преимуществами применения виртуальных машин (60%), а также корпоративных IT-ресурсов для работы из дома (52%), в частности почты, облачных хранилищ и т.д. Кроме того, затруднение вызвал вопрос о том, как правильно обновлять ПО: с ним не справилась половина участников, хотя практически все, кто допустил ошибку (92%), думали, что у них есть необходимый для этого навык.
Кроме того, каждая четвёртая компания из сектора малого и среднего бизнеса сталкивается с тем, что работающие в ней люди не соблюдают правила цифровой гигиены при ведении переписки по электронной почте, а каждая пятая (22%) — с тем, что сотрудники не всегда используют собственный отдельный логин и пароль для входа в системы. По данным «Лаборатории Касперского» почти в трети компаний (31%) возникают вопросы, как защищать корпоративные данные на личных устройствах сотрудников, 29% испытывают трудности с обеспечением безопасности в связи с тем, что на одного сотрудника приходится несколько рабочих устройств, а 27% называют проблемой недостаток цифровой грамотности среди сотрудников.
«Невнимательность сотрудников может дорого обойтись компании, вот почему важно обучать работников базовым правилам информационной безопасности, уделять внимание всем возможным слабым местам и уязвимостям, подробно рассказывать о том, какие сценарии и инструменты используются для кибератак, — настаивает представитель направления повышения цифровой грамотности Kaspersky Security Awareness Елена Молчанова. — Мы учли это при разработке нашей обучающей платформы Kaspersky Automated Security Awareness Platform, и она действительно даёт результат. Так, подавляющее большинство людей, обучавшихся на нашей платформе, начинают применять полученные навыки на практике и внимательнее относиться к ловушкам, которые расставляют злоумышленники».
Гражданская кибероборона
Если ваша компания стала целью целенаправленной атаки какой-нибудь кибергруппировки, то первоначальным вектором практически любой атаки являются фишинговые рассылки файлов с вредоносными вложениями и ссылками на хакерские ресурсы. В результате, безопасность информационной системы оказывается зависимой не столько от работы технических средств защиты, сколько от наблюдательности самих сотрудников, знания ими правил безопасного обращения с данными и умение следовать предписанной процедуре. При этом служба безопасности не должна относиться к простым сотрудникам как к помехе или даже «человеческому фактору». Более продуктивным является подход, когда ИБ наоборот пытается втянуть сотрудников в работу по защите собственной информационной системы, например, устраивая соревнование по выявлению спам-сообщений или ссылок на вредоносные файлы — наиболее наблюдательным выдаются ценные призы. Важно показать сотрудникам, что подразделение кибербезопасности не является карающим органом, но службой обеспечения коллективной безопасности и непрерывной работы.
