Позвольте начать этот блог с попытки рассказать историю:
Глаза Сары метнулись к теме письма: «СРОЧНО: Требуется оплата – Действия необходимы». Было 4 часа дня в пятницу, а имя генерального директора красовалось в поле отправителя. Сообщение было конкретным и по существу:«Привет, Сара, нам нужно произвести этот платеж до конца рабочего дня сегодня, иначе нам придется понести дополнительные юридические расходы. Информацию по платежу прилагаю. Это связано с Проектом «Феникс» и слиянием, о котором я говорил на прошлой неделе во время отчета о прибылях. У меня плотный график встреч с юристами и другими, так что у меня нет времени объяснять подробнее. Пожалуйста, займись этим как можно скорее.Живот Сары сжался от тревоги, а пульс зачастил от паники. На миг ей показалось, что она уже видела похожее сообщение, скорее всего, на прошлогоднем тренинге по кибербезопасности. Но к тому времени этот тренинг уже превратился в размытое пятно безжизненных слайдов PowerPoint, забываемых скриншотов и изнуряющих тестов с множественным выбором, полных неясных терминов и понятий.К тому же, Проект «Феникс» был реальным, как и само слияние. Тон сообщения не сильно отличался от кратких директив в недавних внутренних служебных записках. И, кроме того, «кому я вообще могу ставить под сомнение или перепроверять инструкции генерального директора?», подумала она. Под давлением и уязвимая к сигналам авторитета, Сара отбросила сомнения, сделала, как ей велели, и добросовестно перевела деньги.К понедельнику реальность настигла: около 200 000 долларов США исчезли на офшорном счете, контролируемом мошенниками. Письмо? Поддельное и составленное из информации, собранной из пресс-релизов и постов в LinkedIn. В наши дни это не так уж и сложно для любого мошенника, который чего-то стоит. В итоге человеческая психология взяла верх над политикой безопасности.
Хотя эта предостерегающая история вымышлена, она изображает сценарий, который часто случается с повторяющимся кошмаром — мошенничеством Business Email Compromise (BEC). Эти схемы не полагаются на технические уловки; вместо этого они играют на наших человеческих качествах, принося в конечном итоге огромные дивиденды мошенникам. По данным ФБР, с 2013 по 2023 год мошенничество BEC обошлось организациям по всему миру в 55,5 миллиарда долларов США.
Осознайте эту цифру.
Срываем пластырь
История выше обнажает серьезную проблему: даже самые добросовестные сотрудники склонны забывать то, что они «узнали» на тренинге по кибербезопасности. Сухие презентации PowerPoint, обязательные викторины и чек-листы соответствия часто забываются и утомительны. Многие такие программы повышения осведомленности дают лишь посредственные результаты, не решая основную проблему: поведение. Сотрудники терпят тренинги просто чтобы поскорее их закончить, мало что усваивая и еще меньше применяя на практике.
Это вызывает беспокойство, потому что вопрос не в том, столкнутся ли сотрудники с атакой, а в том, будут ли они готовы, когда давление возрастет. И многие явно не готовы, как показывает, например, последний отчет Verizon о расследовании нарушений данных (DBIR), который гласит, что более двух третей нарушений данных связаны с человеческой ошибкой. Кто-то вроде Сары поддался и нажал – и совершил ошибку.
Представьте себе учебные пожарные тревоги, где сотрудники слушают лекцию по теории горения вместо того, чтобы эвакуироваться из здания. Когда случится настоящая чрезвычайная ситуация, они могут сгореть, сжимая в руках свои сертификаты о прохождении обучения. Так почему бы не «тренировать» людей выживать в кибератаках с помощью абстрактных политик, а не увлекательного и симулированного опыта? Зачем подвергать своих сотрудников утомительным тренингам, которые, скорее всего, провалятся в момент давления?
Противоядие
Нет, дело не в том, что наши мозги ленивы – они на самом деле довольно эффективны. Каждый день каждый из нас обрабатывает сотни сообщений, щелкая, делясь и отвечая с минимальным трением. Среди потока информации мы привыкли принимать мгновенные решения, которые часто ставят скорость выше всего остального, включая безопасность.
Но вместо того, чтобы рассылать более громкие предупреждения или повторять те же старые викторины, решение требует «взлома» мозга. Точнее, оно включает в себя использование техник, которые помогают перестроить пути принятия решений и научить нас приостанавливать наши привычные реакции – или даже встраивать новые привычки в некоторые из наших действий. Наши мозги склонны отбрасывать сухие факты, чтобы экономить энергию, но они с радостью цепляются за эмоционально насыщенные, партисипативные переживания.
Вот где могут помочь реалистичные симуляции и хорошо продуманная геймификация, заимствующая элементы из видеоигр, которые естественным образом вовлекают мозг. На самом деле, будь то ваше фитнес-приложение, превращающее тренировки в игры со статусом, или приложения социальных сетей, удовлетворяющие нашу жажду одобрения лайками, многие из ваших повседневных приложений уже включают в себя некоторые принципы, лежащие в основе геймификации. Игровые механики также с большим успехом используются в соревнованиях «захвати флаг», в которых бесчисленное множество IT-специалистов с нетерпением участвуют каждый год.
Запрограммированы на истории
Один из ключевых способов повысить уровень безопасности в вашей организации (без каламбура) — это использовать силу сторителлинга. Истории — это гораздо больше, чем просто способ скоротать время – они всегда помогали нам понимать мир и даже делиться стратегиями выживания. Они активируют центры удовольствия и эмоций в мозге, в конечном итоге меняя установки и поведение.
Поэтому вполне логично, что сила этого инструмента выживания все чаще используется для выживания в современном цифровом джунглях, особенно через геймификацию. Когда вызовы безопасности вплетены в захватывающую сюжетную линию, где угрозы представлены как персонажи, меры безопасности — как инструменты, а сотрудники — как герои, запоминание и воспроизведение информации могут значительно увеличиться.
Тем временем реалистичные симуляции фишинга предоставляют практическое обучение и помогают выработать мышечную память. Они не просто учат – они тестируют и закрепляют правильное поведение в контексте и в безопасной среде. Обучение на основе сценариев и реалистичные симуляции ставят сотрудников в ситуации, которые имитируют реальные угрозы, и оживляют концепции безопасности, помогая создать эмоциональные якоря памяти, которые сохраняются еще долго после окончания обучения. Распространение схем с использованием дипфейков и других мошеннических схем с использованием ИИ только усиливает срочность – просто подумайте о этом случае всего несколько недель назад, когда финансовый специалист заплатил 25 миллионов долларов США после видеозвонка с дипфейк-версиями старших сотрудников.
От галочки к шах и мат
Итак, представьте, что Сара, столкнувшись с этим срочным письмом, не паникует; вместо этого она останавливается. Она распознает тревожные сигналы, потому что сталкивалась с похожими сценариями на своих увлекательных тренингах по безопасности. Она выработала мышечную память, чтобы остановиться, подумать и проверить, прежде чем действовать. В итоге, вместо того чтобы переводить средства киберпреступнику, она предупреждает службу безопасности о сложной попытке атаки, превращая потенциально неловкую оплошность (с последующим неблагоприятным освещением в СМИ успешного инцидента кибербезопасности) в мощный обучающий момент для себя и всей компании.
Конечная цель — не просто соответствие требованиям, а то, чтобы поведенческие модели безопасности закрепились и стали почти такими же инстинктивными, как отдергивание руки от огня.
Почему бы не попробовать тренинг по кибербезопасности ESET, который воплощает более чем 30-летний опыт компании в области кибербезопасности в комплексном обучающем решении и предоставляет инновационный и увлекательный контент для организаций любого размера?