Един от всеки трима необучени служители е склонен да отвори имейл, съдържащ фишинг-връзка или друг вид киберизмама, базирана на социален инженеринг. Това стана ясно от нов анализ на компанията за обучение по киберсигурност и фишинг-симулация KnowBe4.
Експертите са анализирали бизнеса в различни индустрии, за да определят коефициент, който наричат „процент на склонност към фишинг (PPP)”. Той показва какъв дял от служителите са уязвими към подобни атаки. Средната стойност е 31,4%. Тя обаче варира значително в зависимост от размера на организацията и от индустрията.
Оказва се, че най-голям проблем има при служителите в големи (над 1000 служители) организации, особено енергийни и комунални компании, отбелязва Tech Republic. При тях над половината от работещите е вероятно да попаднат във фишинг схема или да се подадат на атака от тип социален инженеринг.
„Това е дълбоко обезпокоително. Организациите трябва да следят рисковете, тъй като повечето пробиви в данните произтичат именно от атаки, базирани на социален инженеринг”, коментира изпълнителният директор на KnowBe4 Стю Сюуърман. „Тези данни ни показват, че прилагането на обучение за повишаване на осведомеността относно сигурността със симулирано тестване на фишинг може да помогне значително за по-добрата защита на организациите от кибератаки”.
Данните на KnowBe4 показват, че обучението е единственият смислен отговор на опасно високите проценти на склонност да се повярва на фишинг атака. В рамките на 90 дена обучение KnowBe4 е провела вторичен тест за фишинг и социално инженерство сред 23 400 организации, включени в доклада. Резултатът сочи, че средният процент на склонност към фишинг е спаднал до 16,4%. След една година непрекъснато обучение този дял спада още повече – до 4,8%.
Разбира се, образоването на служителите е важно, но то не е единственото решение на проблема и не може да се очаква само с обучение да се елиминира напълно рискът от пробив. Нужни са и чисто технологични решения за намаляване на опасностите от фишинг. И все пак човешкият фактор остава най-слабата „брънка” във веригата на добрата защита, затова от KnowBe4 са изготвили няколко препоръки.
За начало ръководителите трябва да моделират поведението, което искат да видят в своите организации, съветват от KnowBe4. Мениджърите от най-високо равнище са примамлива мишена за атаки и често биват ловко използвани за пробиви в сигурността чрез хватките на социалния инженеринг.
„Ръководителите трябва да бъдат активни участници във всички аспекти на повишаване на осведомеността относно сигурността в организациите, а това включва участие в обученията, които се очаква да бъдат изпълнявани от всички служители на организацията”, препоръчва докладът.
Също така е важно тези, които планират стратегията за борба с фишинга, да си партнират с правилните хора. „Може да бъде изкушаващо да се възползвате от вътрешната организация за обучение и да я оставите да ръководи разработката на тази програма… но това ще доведе до дългосрочна неспособност да формирате начина на мислене и действията, свързани със сигурността”, се казва в доклада.
KnowBe4 препоръчва организациите, които се фокусират върху подобряване на киберсигурността, да мислят като търговци и да поставят киберсигурността на преден план, в центъра на офисната работа, дори в обученията, които не са свързани със сигурността. Постоянното напомняне на служителите за важността на сигурността прави темата неизменна част от ежедневната работа.
От съществено значение е и да се дефинират цели, да се събират значими данни и да се превърнат в използваеми показатели за анализ и разбиране на тенденциите. Препоръчително е да се правят симулации на фишинг атаки и да се увеличат честотата на обученията и вътрешните тестове, така че да се избегне вероятността наученото от служителите да бъде забравено скоро (образователна атрофия), заключават експертите.
Ако всеки трети служител, си гледа работата всичко ще е наред.
Преди 20+ години имаше едно предаване “Улица Сезам” и темата в един от епизодите беше как се лови риба без въдица – Р-и-и-и-и-и-иби риби риби риби риби… 😀