Эксперты «СёрчИнформ» — российского разработчика средств защиты данных — проанализировали ситуацию с уровнем информационной безопасности (ИБ) в отечественных компаниях. В частности, исследовали, как организации решают вопрос обучения сотрудников основам ИБ — созданию сложных паролей, распознаванию фишинга, телефонного мошенничества и пр. Это важно для профилактики внутренних нарушений и внешних атак, где входной точкой выступает сотрудник (такие фиксируют 11% организаций).
Подавляющее большинство (78%) компаний уделяют внимание повышению ИБ-грамотности сотрудников. Из них 59% составляют письменные регламенты, которые сотрудники должны изучить самостоятельно — это самая популярная форма обучения.
«Это самый распространенный подход, потому что самый простой — достаточно один раз сформулировать правила работы с данными. Но такие регламенты мало кто читает. Это как инструктаж по пожарной безопасности. Ознакомлять с ними «под подпись» бесполезно — люди распишутся «для галочки» или прочитают «по диагонали», потому что не верят в реальность риска или не понимают, почему это их касается и важно в работе. Необходимо как минимум проверять, насколько усвоена информация, а лучше — показывать ее пользу на практике. Это требует времени и сил, которые у ИБ-отделов ограничены, а руководство не всегда готово отрывать сотрудников от работы ради непрофильного обучения. Повышать защищенность компаний и снижать риски атак и утечек необходимо — потому что негативные последствия инцидентов ИБ скажутся на всем бизнесе, включая сотрудников», — говорит Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
Понимая, что только инструкций недостаточно, часть организаций комбинирует подходы к обучению. Так, 51% рассылают сотрудникам письма с предупреждениями о новых угрозах, 12% — проводят вебинары с демонстрацией ИБ-проблем и способов их избежать, а 16% — устраивают полномасштабные киберучения. Часть респондентов обращаются к услугам профильных организаций: 27% пользуются бесплатными обучающими программами от ИБ-экспертов, 17% готовы заплатить за такие курсы для сотрудников.
Примечательно, что активнее вопросами повышения ИБ-грамотности персонала заняты в госсекторе: 82% государственных организаций проводят обучение для персонала, тогда как в бизнесе 77%. Также в госсекторе охотнее заказывают платное обучение у поставщиков (22% против 15% в частном секторе), но заметно реже организуют киберучения (10% против 19% в бизнесе).
В разрезе отраслей лучше всего ситуация с ИБ-грамотностью кадров выглядит в ритейле и здравоохранении — регулярное обучение там проводят 80% организаций, это больше, чем, например, в промышленности. Однако в медицине это ограничивается предоставлением сотрудникам регламентов по ИБ для самостоятельного изучения (70%), а в ритейле только в 5% случаев прибегают к курсам внешних ИБ-экспертов. Практикоориентированные методы обучения чаще всего используют в компаниях нефтегазового сектора: 21% организует киберучения, 13% проводит вебинары-демонстрации.
«Наглядность в обучении таким абстрактным с виду вещам, как киберграмотность залог успеха. Чтобы условный менеджер понял, почему важно иметь разные пароли для личных и рабочих аккаунтов, научился распознавать интернет-мошенничество и следил, чтобы доступ к его рабочим документам не получили посторонние, нужно показать ему на живых примерах, чем оборачивается несоблюдение правил. Важно, чтобы примеры были максимально приближены к его сфере деятельности и привычкам. Затем нужно сделать «срез», как сотрудники усвоили информацию. Один из самых действенных способов — киберучения. Это возможность ИБ-специалистам оценить бдительность сотрудников, а сотрудникам — почувствовать угрозу на себе», — рекомендует Алексей Дрозд.
Исследование «СёрчИнформ» проходило с сентября по ноябрь 2022 года в 25 городах. В нем приняли участие более 1100 респондентов — специалистов и руководителей по ИТ и ИБ из государственных, коммерческих и некоммерческих организаций во всех сферах экономики.