Хотите превратить своих сотрудников в осознанных защитников информации? В этой статье мы поделимся проверенными методами обучения киберграмотности, которые помогут повысить уровень безопасности вашей компании. Откройте для себя практические советы и стратегии, которые вы сможете сразу же применить на практике, – читайте дальше!
Введение
Исследования Аналитического центра НАФИ показывают, что базовым уровнем цифровой грамотности обладают 63% россиян. И, несмотря на это, утечки данных и кибератаки продолжают расти. По данным Cybersecurity Ventures, ущерб от киберпреступности к 2025 году может достичь 10,5 триллионов долларов в год. Одним из способов их минимизации является не столько применение технических решений (например, антивирусных программ, брандмауэра), сколько обучение сотрудников основам информационной безопасности. И как справедливо отметил
председатель совета НАУМИР Эльман Мехтиев, «если раньше информационная безопасность была уделом непризнанных ИТ-гениев, то теперь это удел всех нас».
Сегодня поговорим о том, почему важно повышать киберграмотность сотрудников и какие инструменты эффективно справляются с этой задачей.
Важность киберграмотности для бизнеса
В условиях быстрого развития цифровых технологий и киберугроз, а также сложной геополитической ситуации в мире киберграмотность играет ключевую роль в формировании корпоративной культуры и безопасной рабочей среды.
Выделим основные причины, почему важно обращать внимание на обучение по информационной безопасности:
1. Около 90% успешных атак происходят из-за человеческого фактора: кто-то перешёл по вредоносной ссылке с электронного письма, кто-то установил лёгкий пароль, кто-то сохранил их на листочке перед компьютером, кто-то не обновил корпоративное программное обеспечение, кто-то вставил в компьютер флешку, заражённую вирусом, кто-то использовал личные устройства для выполнения служебных задач и т. п. И так все усилия по защите обесцениваются. Повышение же киберграмотности может уменьшить количество таких инцидентов и существенно повысить эффективность затрат на информационную безопасность.
2. ИБ-подкованность помогает избежать репутационных потерь и значительных убытков. Аналитики ГК InfoWatch утверждают, что представители среднего и крупного бизнеса оценивают собственный ущерб от одного инцидента утечки данных в более чем 41 млн рублей. Эта сумма складывается из расходов на проведение аудита кибербезопасности и оценку рисков, обучение персонала после утечки информации (каждая оценивается в 5 млн рублей) и недополученной прибыли из-за сорванных сделок.
Кроме этого, согласно исследованию Центра компетенций группы компаний «Гарда», в 2024 году 69% респондентов заявили, что откажутся от услуг компании, допустившей утечку персональных данных, а это также негативно скажется на финансовых показателях компании.
3. Обученные сотрудники быстрее реагируют на киберугрозы благодаря правильному пониманию угроз и механизмов защиты. Это позволяет сэкономить до 50% времени, затрачиваемого на устранение последствий кибератак. Доказано, что сотрудники после обучения на 70% чаще правильно распознают вредоносные вложения и ссылки.
4. Организации, активно инвестирующие в киберграмотность, демонстрируют своим клиентам и партнёрам, что они придают большое значение безопасности данных. По данным IBM, 70% потребителей готовы работать с компаниями, предлагающими высокие стандарты безопасности. Как отметил на SOC Forum 2024 генеральный директор ГК «Солар» Игорь Ляпунов, «большое количество крупных компаний начали кибербез называть своим бизнес-преимуществом», «конкурентным дифференциатором, источником для развития бизнеса, удержания клиентов, повышения их лояльности, и вообще говоря, источником доходов».
5. Внедрение киберграмотности в корпоративную культуру способствует формированию культуры безопасности внутри организации.
Эффективные стратегии для повышения киберграмотности сотрудников
Начнём с того, что обучать информационной безопасности надо всех сотрудников, будь то ИБ-специалист, бухгалтер, маркетолог или юрист. К сожалению, самый внимательный работник может потерять бдительность и повестись на тщательно продуманное вредоносное письмо. С развитием искусственного интеллекта и технологий дипфейка риск попасться на уловки злоумышленников возрастает в разы. Даже человек без технического опыта в пару кликов может подменить личность с помощью нейросетей, взяв ваши фотографии из социальных сетей и записав лишь один звонок к вам. Поэтому критически важно повышать уровень киберграмотности всех сотрудников, желательно адаптируя его под особенности каждого отдела.
Рассмотрим основные стратегии для повышения киберграмотности сотрудников:
1. Постоянное обучение и тренинги. Это могут быть как живые мероприятия, так и онлайн-курсы. Регулярность их проведения и объём программ для каждого отдела можно определить, проанализировав воздействие на бизнес и ответив на вопрос «В каких случаях кибератака на сотрудников приведёт к наибольшим потерям?».
Так, системным администраторам, экономистам и другим специалистам, имеющим доступ к важной корпоративной информации, желательно ежеквартально проходить инструктажи и киберучения. Рядовым пользователям достаточно будет и раз в год.
Учтите, чтобы обучающие материалы и тесты оставались актуальными, надо постоянно следить за ИБ-повесткой или использовать готовые ИТ‐решения, в которых предусмотрены учебные курсы и тренировочные атаки.
Что важно при обучении сотрудников:
− донести до коллег мысль, что каждый сотрудник несёт ответственность за соблюдение информационной безопасности;
− показать, какой ущерб может принести организации его ошибка;
− изучить основные типы кибератак, а самое главное – способы защиты от них. Цель − не просто информировать сотрудников, а научить их выявлять кибератаки и правильно реагировать на них.
2. Симуляция атак. Теорию надо закреплять на практике. Этот способ помогает сотрудникам освоить порядок первичных действий при киберинциденте, а руководителям – оценить подготовку сотрудников. При выявлении «опасных» сотрудников, которые не усвоили материал или совершили небезопасные действия, стоит отправить их на повторное обучение. Например, можно рассылать тестовые фишинговые письма.
3. Создание культуры безопасности начинается с маленьких, но очень важных шагов:
− введите в корпоративную практику регулярные обсуждения на темы кибербезопасности;
− поощряйте сотрудников оперативно сообщать о подозрительных активностях;
− разработайте и предоставьте доступ к ресурсам, таким как справочники по безопасности, видеоуроки и инфографика о лучших практиках. Поскольку уровень киберграмотности не у всех достаточно высокий, материалы должны быть написаны простым и доступным языком;
− обновите политики безопасности и сделайте их доступными для всех сотрудников;
− разместите на стендах брошюры, листовки и буклеты с рекомендациями по защите информации;
− организуйте встречи с представителями правоохранительных органов. Убедитесь, что они понимают важность соблюдения этих правил.
4. Геймификация обучения. Сделать процесс обучения менее стрессовым и формальным, повысить вовлечённость сотрудников (особенно зумеров) и запоминаемость материалов можно с помощью игр и викторин. Элементы соревнования также побуждают сотрудников стремиться к достижению лучших результатов, а награды ещё и мотивируют их активно участвовать в обучении.
5. Наставничество. Тоже эффективный способ повышения киберграмотности, единственный минус этого подхода – он не массовый, поэтому не подходит крупным компаниям.
В чём сложность?
Обучение сотрудников и поддержание их квалификации в сфере информационной безопасности – актуальная задача для многих организаций. Недавнее исследование «Лаборатории Касперского» продемонстрировало масштаб этой проблемы: почти в каждой второй компании (45%) возникают трудности с обучением персонала.
При повышении киберграмотности сотрудников одной из главных сложностей становится определение ответственных за эту задачу в организации. Часто назначают специалистов ИТ- или ИБ-отделов, однако им может не хватать кадровых ресурсов или опыта в обучении и взаимодействии с персоналом. Поэтому важно учитывать, что это требует выделения ресурсов и вовлечения различных подразделений, включая HR и специалистов по обучению.
Существует ещё одна серьёзная проблема: многие проходят обучающие тренинги один раз и затем забывают о них. Однако киберугрозы постоянно эволюционируют, поэтому одноразовое обучение не может обеспечить должный уровень осведомлённости и защиты. Киберграмотность требует регулярной практики и обновления знаний. Без этого сотрудники рискуют быстро забыть важные навыки и знания, что может привести к уязвимостям в безопасности компании.
Какие инструменты используем мы?
В НПЦ «Кейсистемс – Безопасность» реализуется комплексный подход к повышению киберграмотности. Многие будущие сотрудники компании начинают знакомство с основами информационной безопасности уже с профориентационных мероприятий, которые включают в себя: экскурсии по компании, встречи с практикующими специалистами, участие в стажировках и практиках и др.
Заслуживает внимания тот факт, что сотрудники компании преподают в Чувашском государственном университете имени И.Н. Ульянова на факультете «Информатики и вычислительной техники» по направлению «Информационная безопасность автоматизированных систем». Их ключевым преимуществом является возможность делиться со студентами не только теоретическим материалом, но и своим опытом работы и реальными кейсами, что способствует более глубокому пониманию предмета студентами.
С первого дня работы в НПЦ КСБ новые сотрудники активно вовлекаются в сферу информационной безопасности. Инженер по безопасной разработке Кирилл Сергеев отмечает, что «в план адаптации включён разговор один на один, где рассматриваются вопросы социальной инженерии и сопутствующих рисков». Кроме этого, предоставляется доступ к обучающим материалам и вебинарам.
Ежегодно организовывает и сопровождает тематические онлайн-курсы HR «Кейсистемс – Безопасность» Анастасия Астрова. По её словам, «компания уделяет особое внимание повышению знаний сотрудников в сфере кибербезопасности. Мы отслеживаем программы обучения, ориентированные на тренды информационной безопасности, и не ограничиваемся одним курсом. В прошлом году наши специалисты прошли обучение по темам «Обработка персональных данных в организации», «Основы обеспечения безопасности значимых объектов КИИ», «Комплексное обеспечение информационной безопасности в организации» и др. Формирование образа мышления с фокусом на безопасность уже стало необходимостью в работе и в жизни для обеспечения нашего благополучия».
Для оперативного обмена информацией о мошеннических действиях в компании используется корпоративный чат, где сотрудники могут мгновенно предупреждать друг друга о подозрительной активности. В последнее время участились случаи, когда злоумышленники выдавали себя за руководителей или представителей правоохранительных органов, чтобы обмануть сотрудников. Помимо оперативных предупреждений, в чате также публикуются рекомендации из официальных источников, помогающие сотрудникам распознавать и избегать мошеннических схем.
Важным элементом повышения киберграмотности и развития компетенций специалистов компании является участие в CTF-соревнованиях и киберучениях. CTF-соревнования (Capture The Flag, или «Захват флага») – это командные состязания, в которых участники решают задачи, связанные с поиском уязвимостей, анализом вредоносного кода, криптографией и другими аспектами информационной безопасности. Киберучения – это смоделированные кибератаки, позволяющие отработать навыки реагирования на инциденты и восстановления систем. Участие в этих мероприятиях позволяет специалистам расширять свои компетенции и быть готовыми к решению сложных задач в области защиты информации.
Для поддержания высокого уровня киберграмотности специалисты компании также регулярно посещают ИБ- и ИТ-конференции, такие как «Инфофорум», «ТБ-форум», «Территория безопасности», SOC Forum, IT-Forum и мн. др. На этих площадках они не только знакомятся с актуальными вопросами, новыми киберугрозами и методами защиты, но и активно обмениваются опытом и знаниями с другими профессионалами, что способствует взаимному обучению и развитию.
Установление и поддержание прямых контактов с представителями правоохранительных органов является действенным методом повышения уровня киберграмотности в корпоративной среде. В ходе этих встреч происходит ценный обмен информацией: сотрудники компании узнают из первых рук о новых схемах мошенничества, разрабатываемых злоумышленниками, а также о способах их выявления и нейтрализации. Это позволяет оперативно адаптировать стратегии защиты и минимизировать риски.
Стоит отметить, что в ближайшее время компания планирует расширить экосистему «Альфа», внедрив новое приложение по повышению осведомлённости сотрудников в области информационной безопасности. В нём воплотятся знания по управлению культурой кибербезопасности, основанные на практическом 12-летнем опыте.
В заключение подчеркнём, что создание культуры киберграмотности – это фундаментальная необходимость для современной компании. Руководство НПЦ КСБ понимает, что только команда, глубоко осознающая риски и владеющая передовыми знаниями в области кибербезопасности, способна создавать по-настоящему качественные и надёжные ИБ-продукты, способные эффективно защищать от постоянно меняющихся угроз. Инвестиции в киберграмотность – это инвестиции в будущее компании, её репутацию и безопасность её клиентов. Именно такой комплексный подход позволяет компании оставаться лидером в сфере информационной безопасности и предлагать решения, отвечающие самым высоким требованиям современного рынка.
