Фишингът е изпитан и доказан вектор на атака. Според IBM, тези атаки представляват 15% от всички пробиви на данни. Ръководителите по сигурността са добре запознати с рисковете и е стандартна практика предприятията да подлагат служителите си на някакъв вид обучение за избягване на фишинг. Но сега съществуващите видове тренинги изглежда са неефективни. Те не успяват да обучат потребителите, съответно оставят уязвими работодателите.
„Въпреки че виждаме по-високи нива на осведоменост за рисковете и опасността, все още сме свидетели на нарастващ брой успешни атаки“, казва Наама Илани-Цур, доцент по информационни системи в университета Карнеги Мелън.
Самото разглеждане на обема на фишинг атаките показва, че трябва да се направи нещо друго. Освен това има все повече изследвания, които показват колко неефективно е обучението за фишинг.
Къде остават лидерите по сигурността, които често са отговорни за ръководенето на тези програми за обучение? Те трябва да оценят настоящите стратегии за обучение по фишинг на своите предприятия, да обмислят потенциалните пропуски и да проучат начини за промяна на подхода си.
Масовият подход
Годишното обучение по киберсигурност е най-естественото място за повишаване на осведомеността относно фишинг. В крайна сметка това е един от многото вектори на атака, за които служителите трябва да знаят.
„Обучението по фишинг, което съм посещавал през годините, винаги е било част от общото осведомително обучение за сигурността“, казва Джейсън Оксенхендлер, директор по киберсигурност в консултантската фирма Baker Tilly. „Това се случва веднъж годишно чрез система за управление на обучението. Някои хора му обръщат внимание, други не.“
Много предприятия разчитат на т.нар. вградено обучение за фишинг. Служител се заема със симулирана фишинг-примамка, като например отваряне на имейл, и бива пренасочен към уеб страница, която предлага информация и евентуално тест за фишинг.
Логично е тези два подхода да се използват масово. Компаниите искат да повишат осведомеността за често срещаните проблеми с киберсигурността, а вграденото обучение е интервенция в определен момент. И така, какъв е проблемът?
Минимални ползи
Грант Хо, доцент по компютърни науки в Чикагския университет, реализира едно интересно сътрудничество с Калифорнийския университет в Сан Диего и Университетската клиника в Сан Диего, за да оцени ефикасността на годишното обучение и вграденото обучение за фишинг. Изследването анализираха как приблизително 20 000 служители на болницата са се справили със симулирани фишинг-кампании в продължение на осем месеца.
Учените не откриха доказателства, че годишното обучение по киберсигурност намалява процента на успешни фишинг атаки. „По принцип установихме, че няма разлика в податливостта на потребителите към фишинг за хора, които току-що са завършили обучението си, спрямо хора, които са го завършили отдавна“, казва Хо.
Резултатите за вграденото обучение бяха малко по-добри. Изследователите установиха, че от 37% до 51% от обучителните сесии не предизвикват ангажираност от страна на потребителите. Те просто затварят страницата.
„Нашите резултати показват, че обучението, както се прилага в момента днес, само по себе си е недостатъчно за защита на другите от фишинг и може да не донесе ползите, които хората може би си представят или очакват да произведат“, казва Хо.
Защо обучението е толкова неефективно? Ангажираността на потребителите и тяхното поведение са в основата на проблема. Хората често не участват в обучението и дори когато го правят, не запомнят кой знае какво.
„Обучението е просто още едно нещо, което се добавя към списъка със задачи и не се плаща“, посочва Оксенхендлер.
Хората знаят за фишинга. Те знаят колко щети могат да причинят тези атаки. Но са заети с управлението на собствените си задачи и задължения. Обучението, каквото съществува днес, е досада, която трябва да изтърпят; те го игнорират, или преминават бързо, за да отметнат списъка си.
„Налице е умора, досада от киберобученията“, казва Чиранджеев „CJ“ Бордолой, директор и съосновател на Националното дружество за киберсигурност (NCSS). „Когато е налице такава умора, това обикновено води до апатия“.
Преосмисляне
Междувременно фишингът се подобрява все повече с развитието на генеративния изкуствен интелект. А ръководителите по сигурността имат все повече работа.
В момента няма един-единствен отговор, който да отключи вратата към най-ефективната програма за обучение по фишинг. Но експертите търсят. Илани-Цур се интересува от поведенческа перспектива: „Ключов интересен въпрос е: Какъв е точният психологически механизъм, дизайнът на алтернативата, който ще насърчи хората да избягват тези рискове?“.
Тя посочва моделите на мислене от Система 1 и Система 2, описани от психолога Даниел Канеман, като първият се отнася до автоматично и емоционално мислене, а вторият – до рационално, обмислено мислене.
„Става въпрос за този автоматичен начин на мислене и поведение от Система 1“, казва Илани-Цур. „Как можем да обучим автоматичните реакции на потребителите да бъдат правилните (т.е. да не кликват върху тази подозрителна връзка)?“.
Но „препрограмирането“ на човешкото поведение е огромна задача, като планина. Лъч надежда дават индикациите, че геймификацията на обучението по сигурност увеличава ангажираността на потребителите. Предприятията могат да направят това обучение по-интерактивно и да подсладят сделката със стимули.
„Можете да възнаградите хората с нещо малко, например подаръчна картичка“, казва Бордолой. „Ако има голяма атака, срещу която е реагирано правилно, можете дори да възнаградите екипите с преживяване извън офиса или нещо забавно“.
