Как не стать жертвой фишинга
Три рекомендации компаниям, как уменьшить угрозу
За последние 10 лет Райан Райт и Мэттью Дженсен смогли завладеть данными тысяч людей с помощью фишинга. Они не хакеры и не охотники за ценной информацией или деньгами. Они исследователи, которые работают с компаниями, университетами и правительствами по всему миру. Их цель – понять, почему мы так часто попадаемся на крючок фишеров и что могут сделать организации, чтобы снизить угрозу. Отделы корпоративной безопасности информируют сотрудников о фишинге – причине 90% утечек данных, но примерно треть вредоносных писем все равно оказываются прочитанными.
В эпоху пандемии из-за неразберихи и работы из дома, где так много отвлекающих факторов, бдительность снижается, и таких писем открывают еще больше, что на руку хакерам. Опираясь на свои исследования, Райт (профессор кафедры коммерции Университета Вирджинии) и Дженсен (доцент кафедры автоматизированных систем управления Университета Оклахомы) нашли способы сделать тренинги по вопросам безопасности эффективнее.
Добавьте осознанности. Во многих компаниях сотрудникам приходится раз или два в год проходить типовые тренинги. На этих занятиях неплохо преподносят основную информацию: каковы общие угрозы и как оценивать входящие сообщения. И все же однотипные инструкции не гарантируют результата. Напротив, спустя какое-то время они могут вызвать обратный эффект: информация станет хуже усваиваться, а во время занятий может появиться ложное чувство компетентности.
«Вместо того чтобы заставлять людей заучивать длинные списки постоянно меняющихся указаний, – говорит Райт, – нужно обратиться к более целостному методу». Он предлагает тренировать осознанность. Цель – стимулировать внимательное и аналитическое мышление.
Был проведен эксперимент, в котором приняли участие 355 студентов, преподавателей и сотрудников университета. Исследователи сравнивали три группы, каждая из которых принимала участие в стандартном тренинге по вопросам безопасности. Первой группе выдали дополнительные теоретические инструкции. Вторую группу учили применять простые техники осознанного наблюдения: сделать паузу, если письмо призывает к действию; помнить о характере, времени, цели и уместности запроса; посоветоваться с другими, если письмо кажется подозрительным. Третьей группе не выдавали никаких дополнительных инструкций. Спустя 10 дней исследователи симулировали фишинговую атаку и получили такие результаты: на провокацию попались 13% участников первой группы, 23% участников третьей группы и только 7% из тех, кого учили осознанности.
Решайте проблему на уровне команды. Часто в коллективе есть слабое звено, которое сводит на нет все старания по обеспечению безопасности: если хотя бы один человек не распознает попытку атаки, она достигнет цели. Чтобы понять, может ли группа уменьшить уязвимость слабого звена, Райт с коллегами провели двухлетний эксперимент, в котором приняли участие 180 сотрудников финансового отдела крупного университета. Они обозначили должность каждого сотрудника и его связи в соцсетях, а затем провели несколько фишинговых атак. Оказалось, что чем более влиятельную позицию человек занимал в коллективе и чем больше связей у него было в соцсетях, тем меньше он попадался на удочку. Например, сотрудники, занимающие положение в верхнем квартиле группы, переходили по ссылкам в фишинговых письмах только в 14%, а в нижнем – в 35% случаев. Также участники команд, в которых общий уровень компьютерной грамотности был выше, были менее уязвимыми к уловкам фишеров.
Значит, сотрудники могут учиться принципам безопасности друг у друга, в формальной или в неформальной обстановке – и руководитель может этим воспользоваться. «Надо провести командный тренинг и возложить ответственность за результат на весь коллектив, а не посылать сотрудника на IT-тренинг для галочки», – говорит Райт. Анализ сетевой активности поможет выявлять наиболее уязвимых сотрудников, чтобы отправить их, а также тех, кто держится в стороне или только пришел в команду, на дополнительный тренинг.
Опыт Fannie Mae
Директор по информационной безопасности в крупнейшем американском ипотечном агентстве Fannie Mae Кристофер Портер курирует обучение по IT-безопасности почти 7500 сотрудников компании наряду с несколькими тысячами подрядчиков и консультантов. Недавно он поговорил с HBR о том, как в компании защищаются от фишинговых атак.
HBR: Как именно вы обучаете сотрудников борьбе с фишингом?
Кристофер Портер: В компании есть обязательная широкая программа. Специфические вопросы мы рассматриваем отдельно. Например, кредиторские счета и финансовые группы – мишень для особых атак: их надо защищать специально. Еще мы каждый месяц проводим учебные атаки разного характера. Если люди открывают одно из тестовых писем, они сразу же получают обратную связь – короткое видео, которое объясняет, почему это сообщение – фишинг. Сотрудники, которые провалят два или больше теста за год, проходят дополнительный групповой тренинг. Наконец, каждую пятницу мы выкладываем в блоге пост о разных способах распознавания фишинга и о действиях, которые нужно предпринять, если попадется такое письмо, – очень важно, чтобы люди сообщали об атаках.
– На чем вы фокусируетесь в ежемесячных упражнениях?
– Есть три главные темы. Во-первых, потери: хакер угрожает что-то отобрать у человека, если тот не ответит на письмо. Во-вторых, обещания: людям говорят, что они что-то получат, если перейдут по ссылке. Третья тема связана с эмоциями: фишинговые письма часто злоупотребляют, например, любопытством. Важно знать слабые места наших сотрудников, чтобы прорабатывать их на тренингах. Мы также следим за тем, какие атаки распространены в тот или иной момент времени. Сейчас очень частой приманкой стал COVID-19.
– Простые упражнения на тренировку осознанности помогают противостоять атакам. Вы пробовали такой подход?
– Мы пытаемся научить людей действовать по принципу «остановись, подумай, действуй». Например, мы просим их сделать паузу, если они видят, что письмо помечено как «внешнее». Перед тем как читать такое письмо или что-то делать, нужно спросить себя: ждал ли я этого письма, знаю ли отправителя и не кажется ли оно подозрительным. Со временем это помогло нам усилить сопротивление атакам.
– Что вы делаете, чтобы люди перестали открывать подозрительные письма после тренингов?
– Во-первых, мы стараемся, чтобы было весело. Мы используем анимированные ролики, в которых раскрываются правила бдительности. Иногда их озвучивают знаменитости – как-то у нас был комик Джон Ловетт. Во-вторых, мы опираемся на исследования, которые показали, что лучше научить сотрудников защищать свою личную информацию дома – и тогда они начнут делать то же в офисе. Для этого мы учим их настраивать многофакторную аутентификацию, чтобы хранить в безопасности личные финансовые сведения. Мы многое делаем, чтобы помочь людям защитить себя и близких. Например, к нам приходила женщина, чтобы рассказать, как в детстве ее похитили, склонив к встрече через интернет, и как родителям уберечь своих детей от подобного. Исследования и наш опыт доказали, что чем более персонализирован урок, тем лучше он запоминается.
Обнаружилась неожиданная закономерность: чем больше сотрудник обращался в техподдержку и просто доверял ей, тем чаще попадался на крючок. Исследователи полагают, что это менталитет застрахованного. Райт объясняет: «Когда человек думает: «Если я перейду по неправильной ссылке, техподдержка с этим разберется без меня», он не пытается активно защитить данные и не учится у коллег». По его словам, менеджеры могут включить пункт о соблюдении норм безопасности в ежегодную оценку результатов работы – это будет мотивацией для всех сотрудников. А техподдержка может не просто устранять последствия атаки, но и объяснять сотруднику, почему не надо было переходить по данной ссылке.
Используйте игровой метод. Еще один способ улучшить коллективную защиту – добавить элемент конкуренции. Исследователи провели три эксперимента, в которых приняли участие 568 человек: они примеряли на себя роль стажера, которого учат распознавать подозрительные сообщения и докладывать о них. Затем им давали разнообразные задания, среди которых была сортировка входящих писем руководителя. Когда участники принялись за работу, они получили по пять фишинговых писем. В первых двух экспериментах их результаты сводили в рейтинги, критерии которых менялись. В третьем эксперименте сравнили действенность рейтингов и других мер против фишинга (обучающие видео, пометки «внешнее» на письмах, приходящих не с внутреннего адреса организации, а также предупреждения о подозрительных письмах).
Рейтинг оказался очень эффективной мерой: сотрудники сообщали о подозрительных письмах, но старались не совершать «ложных вызовов», так как они тоже отображались в таблице. Лучше рейтингов показали себя только предупреждения о подозрительных письмах. Особенно хорошо рейтинг сработал вкупе с тренингом. Имели значение и критерии оценивания. Оптимальная конфигурация такая: имя сотрудника, плюсовые очки за распознавание фишинга и минусовые – за «ложную тревогу». «Внешняя мотивация оказалась намного более эффективной, чем внутренняя», – говорит Дженсен.
Никто не собирается тратить время на охоту за фишинговыми письмами забавы ради. Но эти рекомендации могут помочь компаниям донести до сотрудников, как важно распознавать фишинг и сообщать о нем, а также усилить их мотивацию и эффективность.
Статья впервые опубликована в «Harvard Business Review Россия». Оригинал статьи здесь