#CCSE22: Необходимость изменить курс обучения пользователей кибербезопасности


О тенденциях в обучении пользователей безопасности и способах остановить эту летаргию рассказал Стивен Пернелл, профессор кибербезопасности Ноттингемского университета, в первый день выставки Cloud & Cyber ​​Safety Expo в Excel, Лондон, Великобритания.

Пернелл рассказал о результатах последней DCMS Обзор нарушений кибербезопасности, 2021 г., ежегодный отчет, в котором подробно описываются деловые и благотворительные действия в области кибербезопасности, а также затраты и последствия кибератак и взломов в Великобритании. Это показало, что самым распространенным типом взломов или атак был фишинг (затронул 83% предприятий и 79% благотворительных организаций). За этим последовали попытки выдать себя за другое лицо через ряд средств, включая электронную почту (27% и 23% соответственно). Пернелл отметил, что эти атаки представляют собой «инциденты, с которыми сталкиваются пользователи».

Несмотря на это, опрос DCMS показал, что только 10% предприятий и 12% благотворительных организаций предлагают обучение персонала кибербезопасности, что «на сегодняшний день является самым низким из 10 шагов руководства NCSC».

Пернелл заметил, что недостаточное внимание организаций к обучению пользователей является «давней проблемой». Он процитировал опрос 2002 года, в котором один респондент охарактеризовал сообщество пользователей как «обычных, невнимательных, незаинтересованных, вялых, невежественных, безразличных конечных пользователей». Он утверждал, что такое отношение могло проникнуть во многие организации, что привело их к выводу, что не стоит обучать своих сотрудников в этой области.

Затем Пернелл указал на недостатки распространенных подходов к обучению осознанности, которые часто включают просмотр видео и выполнение простого задания в течение 30 минут один раз в год. Этот же модуль впоследствии будет повторяться ежегодно. Хотя этот подход может помочь повысить осведомленность о проблемах безопасности, «обеспечивает ли он какое-либо обучение тому, как на самом деле справляться с вещами? Это, вероятно, не заведет людей очень далеко», — сказал Пернелл.

Он охарактеризовал этот подход к обучению как «золотую рыбку», когда организации «предполагают, что люди все забывают, и нам нужно повторять одно и то же снова и снова в надежде, что это наконец закрепится». Вместо этого обучение должно быть больше похоже на вавилонскую рыбку (из «Путеводителя автостопом по Галактике»), где «мы на самом деле переводим вещи так, чтобы наши сотрудники поняли».

Поэтому обучение должно отвечать на вопросы почему? ВОЗ? Какой? Как? и когда/где? Чтобы помочь организациям разработать программы, которые могут эффективно охватывать эти области, NCSC обновил свое 10-шаговое руководство по обучению, изменив его с «обучения/осведомленности пользователей» на «вовлечение и обучение пользователей». Это советует три основных пункта действий:

  • Поощряйте руководителей высшего звена подавать пример – обеспечение того, чтобы сообщения о кибербезопасности исходили от высшего руководства организации.
  • Выстраивайте эффективный диалог с нашими сотрудниками – это включает в себя эффективное представление им кибербезопасности, отсутствие клеймения ошибок и создание процессов для сообщения о проблемах.
  • Рассмотрите возможность проведения кампаний по повышению осведомленности о безопасности – они должны быть сосредоточены на положительных сообщениях, таких как подчеркивание преимуществ обучения безопасности для персонала, проведение обучения небольшими, частыми дозами и избежание повторения.

Общая цель этого подхода — перейти от осведомленности о безопасности к влиянию на поведение и, в конечном счете, к созданию сильной культуры кибербезопасности. По мнению Пернелла, важнейшим аспектом такой стратегии должно быть приспособление обучения к отдельным сотрудникам, думая о том, «что им нужно для их роли, как они хотели бы получить информацию и какие барьеры существуют в отношении их положения, знаний, отношение.”

Пернелл подчеркнул, что это не тот результат, которого можно достичь за одну ночь, и он требует долгосрочной приверженности созданию «осведомленной о безопасности и грамотной кадровой базы».

https://cyberxhack.org/