Как лучше учить сотрудников кибербезопасности

Опыт показал, что правила безопасности лучше всего запоминаются в игре

Эксперты по кибербезопасности часто замечают, что тренинги по компьютерной безопасности вызывают у сотрудников неприятные эмоции: большую часть времени на этих занятиях им пытаются внушить страх перед переходом по подозрительным ссылкам или использованием ненадежных паролей. Результат, как правило, плачевен. Несмотря на пройденное обучение, сотрудники продолжают совершать элементарные ошибки и подвергают компании рискам хакерских атак, которые могут обернуться серьезными убытками.

В результате многие организации решили сменить кнут на пряник. Одни объясняют сотрудникам правила безопасности, используя игры, конкурсы и призы. Другие применяют более традиционные методы обучения, но создают на занятиях комфортную атмосферу. Результаты исследований показывают, что новые подходы работают лучше.

Неправильный сигнал

«Попросите молодого коллегу сыграть с вами в ассоциации. Вы говорите «собака», он скажет «кошка». Но если вы скажете «кибербезопасность», вы услышите: «Простите, что я открыл то электронное письмо. Пожалуйста, не отправляйте меня на тренинг», – говорит Амадеус Стивенсон, технический директор компании Decoded, которая разрабатывает технологии обучения. По его мнению, традиционные тренинги по кибербезопасности посылают людям неверные сигналы, запугивая их, вместо того чтобы обучать.

Между тем успех такого обучения имеет ключевое значение для компании: многие эксперты по кибербезопасности говорят, что основная угроза исходит изнутри организации, от беспечных сотрудников.

Новые методы

Среди компаний, которые уже переосмыслили обучение в сфере кибербезопасности, можно выделить Facebook. Раз в год компания проводит Hacktober – мероприятие, приуроченное к национальному месяцу профилактики киберпреступлений. В течение месяца Facebook тестирует своих сотрудников, моделируя фишинговые атаки, массовую рассылку спама и другие киберугрозы. Тех, кто успешно отражает атаки, награждают памятными сувенирами и другими призами.

Есть компании, где сотрудники, отвечающие за кибербезопасность, вычисляют, кто из топ-менеджеров представляет особую ценность для хакеров, а затем организуют обучение для этих руководителей и членов их семей на дому. Такой подход позволяет лучше донести информацию, уверен Ланс Спитцнер, один из директоров SANS Institute – организации, проводящей тренинги по безопасности.

Нужен позитив

Однако большинство работодателей до сих пор предлагают сотрудникам обычные тесты на знание правил кибербезопасности и толком ничему их не учит. В 2015 г. исследователи из некоммерческой отраслевой Ассоциации компьютерных технологий оставили 200 USB-накопителей в аэропортах и кофейнях по всей стране. Значительное число прохожих подобрали устройство и вставили его в свой компьютер. Так поступали даже и некоторые сотрудники IT-компаний, и сами эксперты по кибербезопасности.

Ситуацию могли бы изменить программы позитивной мотивации, говорит Маша Седова, ранее работавшая одним из директоров Salesforce, а затем основавшая собственную тренинговую фирму Elevate Security. Исследование, проведенное в 2014 г. сотрудниками лаборатории кибербезопасности при Университете Мэриленда, показало: студенты университетов легко учатся криптографической защите, методам идентификации и регулярному обновлению софта, играя в компьютерную игру Security Empire. Участники этой игры становятся владельцами компаний, которые испытывают финансовые проблемы и сталкиваются со сбоями в производстве, когда допускают ошибки в сфере кибербезопасности. В этой игре студенты соревнуются, пытаясь создать самую успешную компанию.

Некоторые игровые методики хорошо зарекомендовали себя даже в высокотехнологичных отраслях, где работают IT-специалисты, добавляет Мишель Квон, генеральный директор компании MKA Cyber, которая консультирует бизнес по вопросам безопасности. Особенно нравятся сотрудникам этих компаний игры, где люди состязаются друг с другом.
Перевела Надежда Беличенко