Компания RED Security (специализируется на решении проблем информационной безопасности и экспертизе комплексной защиты бизнеса) проанализировала итоги реализации проектов, направленных на повышение киберграмотности сотрудников российских организаций.

Согласно её статистике, до прохождения специализированного обучения 41% персонала не справлялись с выполнением требований безопасности – они открывали мошеннические письма и переходили по фишинговым ссылкам или открывали вредоносные вложения. При этом каждый третий из них вводил на фишинговых сайтах логины и пароли от корпоративных учётных записей.

«Проекты по повышению киберграмотности корпоративных пользователей были реализованы на базе сервиса RED Security Awareness. С его помощью с начала года семи тысячам сотрудников крупных организаций были направлены тренировочные фишинговые рассылки, которые имитировали реальные методы и уловки киберпреступников. При этом действия получателей фиксировались для формирования аналитики о текущем уровне киберграмотности персонала», — пояснили в компании.

Характерно, что около 13% сотрудников оказались настолько уверены в правильности своих действий, что, введя корпоративные учётные данные на стороннем ресурсе и не получив ожидаемой информации, повторяли ввод несколько раз подряд. В случае реальной фишинговой атаки такие действия сотрудников с высокой вероятностью привели бы к взлому организации.

Тренировочные фишинговые рассылки были замаскированы под внутрикорпоративные письма на такие темы, как тестирование нового портала ДМС, опрос об удовлетворённости качеством кофе в офисе, согласование дополнительных скидок в корпоративной бонусной программе и т.п. Чаще всего люди доверяли письмам с просьбой оценить качество различных корпоративных бонусов, будь то бесплатный кофе в офисе или медицинское страхование.

Напомним, что использование действующих учётных записей рядовых сотрудников и фишинг – самые популярные у хакеров техники для первоначального проникновения в инфраструктуры компаний-жертв. Вредоносные рассылки становятся более качественными и таргетированными, в том числе благодаря использованию атакующими технологий искусственного интеллекта. По данным RED Security SOC, к сентябрю объём фишинговых писем с признаками применения ИИ вырос на 53% по сравнению с аналогичным периодом прошлого года.

«Незнание сотрудниками азов кибербезопасности – прямая угроза бизнесу их работодателей. При этом мы видим, что средний уровень киберграмотности россиян даже немного снижается год к году: в первом квартале прошлого года доля сотрудников, вводивших логины и пароли от рабочих учётных записей, составляла 28%, а сейчас – уже 34%. Это ставит перед компаниями задачу по формированию системного подхода к обучению персонала», —считает Артём Мелехин, руководитель направления по повышения киберграмотности корпоративных пользователей RED Security Awareness компании RED Security.

Для профилактики подобных инцидентов рекомендуется регулярно проводить для персонала тренинги по кибербезопасности. Эксперты отмечают, что после первого обучения процент переходов по фишинговым ссылкам снижается минимум в два раза. При этом тестирование и обучение сотрудников основам киберграмотности должно быть системным процессом в компании, поскольку разовые мероприятия не дают долгосрочного эффекта. Кроме того, рекомендуется периодически проводить внутренние встречи с отделом информационной безопасности, где сотрудники могли бы задать специалистам свои вопросы и получить консультации по вопросам цифровой гигиены.