Как с помощью сотрудников превратить свой офис в «киберкрепость»
Количество попыток кибератак через сотрудников растет с каждым годом. В частности, в 2011 г. лишь около 18% фишинговых атак (через зараженные письма) были направлены на малые и средние предприятия, а теперь этот показатель вырос до 43%. Растет количество «творческих» атак, направленных на беспечных сотрудников. Например, в офисе оставляют зараженные флешки, рассчитывая, что кто-то подключит их к корпоративному ПК. Популярным способом взлома являются «интернет-знакомства», с помощью которых хакерам удается запускать вредоносное ПО на компьютере жертвы. Особое внимание хакеры уделяют сотрудникам, имеющим доступ к финансовым системам компаний, обманным путем вынуждая их отправлять деньги на поддельные счета. К сожалению, часто атаки разрушают бизнес, особенно малый. По данным Национального альянса кибербезопасности США (NCSA), примерно 60% малых и средних компаний после кибератаки работают не более шести месяцев, а потом вынуждены прекращать деятельность. Часто это происходит просто потому, что кто-то из сотрудников не посчитал важным вопрос информационной безопасности.
Полезные рекомендации
Обучение сотрудников основам кибербезопасности необходимо, иначе дорогостоящие инвестиции в технологии киберзащиты могут оказаться бесполезными. Поэтому при работе с кадрами следует соблюдать ряд простых правил, которые помогут сделать обучение эффективным.
Не стоит запугивать сотрудников, иначе они откажутся использовать цифровые технологии, опасаясь потерять работу из-за хакеров. Необходимо объяснять важность ИТ для развития бизнеса и этого ценного ресурса компании.
Обучение должно быть наглядным: с использованием видеороликов, статей, рисунков и инфографики. Не стоит делать ошибку «тотального инструктажа», то есть пытаться вместить все аспекты кибербезопасности в одну длинную утомительную лекцию. Лучше подготовить серию коротких выступлений-бесед, которые хорошо запомнятся и позволят участникам общаться и выявить потенциальные бреши в информационной безопасности.
Главным итогом обучения должен стать сформированный набор правильных привычек при работе с данными. Следить за безопасностью информации и следовать правилам должны все сотрудники, включая высшее руководство, которое не должно считать себя свободным от «обременительных мелочей».
Иногда полезно проводить тренировки, например, оставляя в офисе «подозрительные» флешки для того, чтобы выяснить, кто способен подключить их к служебному ПК. Желательными являются регулярные проверки киберзащиты с участием внешних специалистов.
По итогам подобных мероприятий не следует устраивать публичных наказаний с выговорами и штрафами. Нужно лишь показать, как легко нарушается безопасность данных, и к чему это может привести. Главным стимулом обычно является понимание того, что кибератака способна уничтожить репутацию и бизнес компании, а значит, лишит людей работы.В конечном счете, внимание к нюансам кибербезопасности является общим делом всех сотрудников компании, как поддержание порядка на рабочем месте или исполнение своих прямых служебных обязанностей.
Совет эксперта
Системный инженер Fortinet Андрей Терехов полагает, что действия по киберзащите могут быть эффективными, только если они коллективные. Аналогией являются общества с низким уровнем преступности, где каждый гражданин ощущает свою ответственность за выявление и предотвращение правонарушений.
«Большинство кибератак так или иначе основаны на человеческом факторе: невнимательности, нежелании выполнять установленные процедуры, излишнем доверии, непонимании причинно-следственных связей и принципов функционирования средств информатизации. Таким образом, проблема кибербезопасности обусловлена не только техническими, но и человеческими факторами, — отметил Андрей Терехов. — Поэтому следует информировать всех сотрудников организации о возможных проблемах и последствиях, разъяснять важность киберзащиты. Проще говоря, нужно повышать культуру работы с информационными технологиями и делать каждого сотрудника организации звеном единой системы защиты».