Эксклюзив: больше половины сотрудников не проходили обучение кибербезопасности на работе
Эксклюзив: больше половины сотрудников не проходили обучение кибербезопасности на работе

Эксклюзив: больше половины сотрудников не проходили обучение кибербезопасности на работе

31 октября, 20227 минут на чтение
2,5к
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

Навыки кибербезопасности не только в работе, но и в обычной жизни с каждым годом становятся всё более необходимыми. А сейчас они и вовсе занимают первые must-know позиции, ведь судя по количеству атак и утечек данных, в частности направленных на российские компании и пользователей, этот год рискует войти в историю, побив все мыслимые и немыслимые рекорды.

«Код Дурова» в сотрудничестве с «Лабораторией Касперского» решил выяснить, какое значение крупные компании и их сотрудники придают вопросам кибербеза: выделяют ли цифровую безопасность в отдельный навык на собеседованиях, проводится ли соответствующее обучение, как сами работники и их работодатели относятся к цифровой гигиене и так далее.

Чтобы это узнать, мы провели опрос-исследование среди наших читателей, а также попросили комментарии у компаний. Рассказываем, к каким выводам удалось прийти — а они получились любопытными. Поехали!

Кто принял участие в опросе?

В рамках опроса для читателей, который проводился в конце августа и начале сентября, мы собрали около 650 анкет — благодарим всех, кто откликнулся. Портрет аудитории опроса получился следующим:

И что же получилось?

Половина (51,3%) IT-специалистов заявили, что у них на работе не проводится обучение навыкам кибербезопасности ни в каком виде. Проводится регулярно только у 17,1% респондентов, а время от времени — только у трети (31,6%).

Среди всех респондентов (IT- и не IT-специалисты) ситуация ещё более тревожная. Об отсутствии обучения навыкам кибербезопасности сообщили 61,7% читателей, а о регулярном обучении — лишь 11,4%. Время от времени оно проводится у примерно у четверти (26,9%) опрошенных.

При этом запрос на такие навыки ощутимый — больше 95% респондентов выразили мнение, что такие навыки необходимы, причём лишь 2,8% считают, что они нужны исключительно «айтишникам».

Не популярна тема кибербеза и на собеседованиях — вопросы о подобных знаниях задавали лишь 17,4% респондентов. Среди IT-специалистов с такими вопросами на интервью сталкивалась четверть (26,9%) опрошенных.

Что касается форматов обучения кибербезопасности, то самый популярный из них — это интерактивный тренинг/вебинар в онлайне (26%). При этом доля традиционных тренингов без интерактивной части, а также обычных инструкций под роспись стремится к половине и составляет 41,8%.

При помощи геймифицированной платформы в онлайне обучались 19,5% респондентов, а интерактивные тренинги офлайн проходили 12,6%.

При этом уровень осознанности проходившивших обучение находится на довольно высоком уровне — около половины (48%) респондентов стараются применять все знания в этой области, а более трети (37%) применяют их выборочно. Считают обучение формальность лишь 15% опрошенных. Среди «айтишников» ситуация похожая — 48,7%, 35,7% и 15,6% соответственно.

Однако несмотря на это, больше половины (51,4%) опрошенных готовы дать свой пароль коллегам или же вовсе делают это регулярно. У «айтишников» с кибергигиеной дела обстоят чуть лучше — готовы поделиться своим паролем 40,2% респондентов.

При этом 67% опрошенных используют рабочий компьютер в личных целях:

  • Посещают сайты и соцсети, не связанные с работой — 24.9%;
  • Работают с личной почтой — 18.9%;
  • Скачивают и хранят личные файлы — 12.4%;
  • Скачивают и устанавливают приложения, не имеющие отношения к работе — 9.7%;
  • Дают компьютер членам семьи — 1.1%.

Исключительно для рабочих задач корпоративный компьютер использует только каждый пятый (20,3%) респондент, при этом 12,7% вынуждены для работы использовать личный компьютер, так как корпоративный им не был предоставлен.

Среди тех, кто работает за личным компьютером, каждый 10-й (10,1%) делит этот ПК с членами семьи без создания для них отдельной учётной записи. Среди всех, кто делит ПК с членами семьи, отдельные учётки близким и родным создаёт только 68,2% опрошенных. «Айтишники» в этом плане более осознанны — среди них таких 73,7%.

При этом половина респондентов (51,9%) признались, что хранят на личных устройствах корпоративные данные, помимо корпоративных мессенджера и почты. Вместе с тем только лишь 55,1% из них скачивает такие данные в случае необходимости, а затем удаляет. 44,9% хранят такую информацию на личных устройствах постоянно. Для «айтишников» распределение 63,9% и 36,1% соответственно, однако среди них тех, кто хранит корпоративные данные на личных устройствах, меньше — 40,9%.

Что говорят в компаниях?

В рамках исследования «Код Дурова» обратился к ведущим российским IT-компаниями с вопросом о том, как они заботятся о кибербезопасности. И вот, что нам рассказали.

К примеру, в Яндексе считают, что знать и соблюдать правила информационной безопасности должен каждый сотрудник. Для этого в компании:

  • Описывают правила понятным языком на внутреннем интранете.
  • Делают и регулярно обновляют онлайн-курсы на различные темы в области безопасности на внутренней тренинговой платформе.
  • Регулярно проводят различные мероприятия для сотрудников, например, CTF или учебные атаки с применением средств социальной инженерии.

При этом, по словам Натальи Фёдоровой, представителя отдела информационной безопасности Яндекса, всё обучение направлено на то, чтобы сотрудники знали, как поступать в нестандартных ситуациях (например, если получили странное сообщение), и с любыми вопросами приходили в компетентный отдел:

Так мы выстраиваем культуру доверия и взаимопомощи. Каждый сотрудник знает, что он может прийти к нам и мы поможем.

Главная метрика оценки эффективности соответствующего обучения в Яндексе — это количество запросов от коллег по вопросам безопасности:

Чем больше люди обращаются, задают вопросов, тем больше повышается их осведомлённость и легче становится наша работа. Кроме этого, мы видим, что команды, которые лучше проходят наше обучение и больше взаимодействуют со службой безопасности, реже допускают ошибки при разработке сервисов.

Вместе с тем в Яндексе соблюдают три главных принципа:

  • Безопасность должна быть удобной. Чем сложнее выполнить требования, тем больше их будут нарушать. Поэтому в Яндексе вкладывают много сил в то, чтобы соблюдать требования было удобно.
  • Взаимодействие с коллегами. Сотрудники отдела информационной безопасности взаимодействуют с коллегами из сервисов, полностью интегрированы в их процессы, чтобы вовремя заметить проблемы или подсказать правильные решения.
  • Фокус на своевременности обнаружения. ИБ-специалисты Яндекса фокусируются на том, чтобы своевременно узнавать о нарушениях и предотвращать возможные инциденты безопасности.

Александр Осипов, директор по облачным платформам и инфраструктурным решениям МегаФона, рассказал «Коду Дурова», что оператор не только ответственно относятся к цифровой киберграмотности своих сотрудников, но и развивают сервисы, которые помогают другим организациям улучшать цифровую гигиену.

По его словам, человеческий фактор продолжает оставаться одной из главных проблем систем безопасности, несмотря на то, что тенденцией последних лет является формирование осознанного подхода компаний к обеспечению информационной безопасности.

Поэтому в МегаФоне считают, что для повышения уровня кибергигиены необходимо больше внимания уделять вопросам повышения осведомленности сотрудников о правилах безопасности, которые необходимо соблюдать чтобы защитить информацию, об отличительных чертах фишинговых сайтов, а также психологических приемах и технологиях, которые используют мошенники для получения конфиденциальной информации. Для этого в компании используют собственную обучающую платформу.

Игорь Лежнев, руководитель направления команды разработки Web и Smart МТС KION, отметил, что сервис внимательно подходит к кибербезопасности как технологически, то есть на этапе разработки, так и с точки зрения мониторинга. Для последнего в KION есть отдельная служба, которая производит мониторинг 24/7 и отслеживает не только стабильную работу сервиса, но и отклонения от нормы, и оперативно реагирует и устраняет возможные атаки.

Касаемо корпоративной кибербезопасности, в KION называют основными принципами работы открытость и взаимное доверие:

Сотрудники компании не должны видеть в кибербезопасности некий злобный контроль, а скорее должны воспринимать его как неотъемлемую и важную часть информационной структуры компании, помогающую всем работать эффективно и безопасно.

В частности, каждый новый сотрудник KION комфортно проходит базовый инструктаж по кибербезопасности, в процессе которого на конкретных примерах, связанных с операционной деятельностью компании, разъясняются ключевые правила, демонстрируются риски и возможные последствия игнорирования предписаний.

Также регулярно проводятся тематические рассылки обучающих материалов, посвященных, как правило, часто встречающимся в общей практике кейсам. Используются образовательные онлайн-курсы с тестированием по результатам их прохождения.

В помощь сотрудникам используются корпоративные спам-фильтры, которые ловят письма мошенников. В случае волн атак отдел кибербезопасности направляет сотрудникам предупреждение отдельным письмом.

Все перечисленные меры направлены на формирование у работников устойчивых моделей поведения, исключающих действия, провоцирующие инциденты, угрожающие безопасности.

О том, каким должно быть эффективное обучение киберграмотности, «Коду Дурова» рассказала Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness. Она отметила, что несмотря на высокую мотивацию сотрудников во время обучения, многие после его прохождения всё же продолжают допускать ошибки. В том числе серьёзные, которые могут дорого стоить и им самим, и компаниям:

Поэтому главная задача тренингов — не просто транслировать знания, а менять поведение сотрудников, максимально снижая вероятность ошибок. Это небыстрый процесс, и для того, чтобы быть эффективным, он должен быть постоянным.

По словам Татьяны, образовательные сервисы Kaspersky Security Awareness позволяют повысить вовлечённость и поддержать интерес, не перегружая.

Информация подаётся дробно, относительно небольшими порциями, но регулярно и с помощью разных инструментов: тексты, инфографика, видео, тестирования, а также различные симуляции, чтобы закрепить навыки в реальных ситуациях.

При этом содержание и формат тренингов можно комбинировать, учитывая потребности каждой компании и специалистов, которые в ней работают.

Немаловажно, что с Kaspersky Security Awareness обучение становится управляемым процессом. Благодаря единой консоли руководители могут отследить прогресс разных групп сотрудников и, исходя из объективных данных, скорректировать план, сделать акцент на темах, которые вызвали затруднения.

Кирилл Ширяев, руководитель центра HR-экспертизы «Лаборатории Касперского», отметил, что различные отчёты об утечках данных подтверждают — большинство таких инцидентов (согласно некоторым исследованиям, порядка 80%) связаны с именно человеческим фактором. Поэтому, по мнению Кирилла, немаловажную роль в повышении киберграмотности сотрудников играет HR-отдел.

Во многом потому, что это первый отдел, с которого новый сотрудник начинает знакомство с компанией, куда он может обратиться за помощью и консультацией, получить какие-либо знания. Именно HR вовлечён в непосредственную работу с сотрудниками, и он может эффективно помогать компании нивелировать цифровые риски, организуя вместе с ИБ соответствующие обучающие курсы по кибербезопасности.

На наш взгляд, обучение должно начинаться с адаптации новых сотрудников. Дальше важно выстроить коммуникацию, в которой следует рассказывать персоналу о существующих политиках и процедурах осведомленности о кибербезопасности. Когда HR и ИБ-отделы объединяются, они могут вместе разработать эффективную программу обучения кибербезопасности, которая научит сотрудников вовремя распознавать киберугрозы — прежде, чем они могут нанести вред компании.

При этом Кирилл подчёркивает, что часто в компаниях могут выпускать большое количество политик и курсов, а потом требовать коллег ознакомиться с ними. Однако, когда дело доходит до аудита, становится понятно — уровень прохождения курсов низкий, большинство сотрудников проходят их «для галочки».

Мы в «Лаборатории Касперского» следуем принципу привития культуры информационной безопасности. ИБ — это не функция, выпускающая тонну требований и регламентов, а доверенный советник, который фокусирует своё внимание не на защите информации, а на защите людей и результатов их труда. Такой подход позволяет повысить осознанность сотрудников, причем не только в корпоративной среде, но и в обычной жизни! В итоге, люди аккуратнее и внимательнее относятся к информации, совершают меньшее количество ошибок. А всё потому, что понимают — безопасность начинается с каждого из нас.
31 октября, 2022
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram
Показать все

Выбор редакции