Обучение снижает уязвимость сотрудников к фишингу в шесть раз

Сотрудники компаний, где регулярно проводится обучение по кибербезопасности, в шесть раз реже открывают фишинговые письма и в 190 раз реже компрометируют свои учётные данные. К таким выводам пришли специалисты МегаФона и «Лаборатории Касперского» по итогам совместного анализа тренировочных атак.
 
Согласно данным исследования, в компаниях без системного обучения 40% работников переходят по подозрительным ссылкам в тренировочных письмах. Каждый четвёртый из них (10% от общего числа) вводит конфиденциальные данные на фишинговой странице. Ещё 9% открывают вложения, которые в реальных атаках могли бы содержать вредоносное ПО. В ходе одной из проверок был зафиксирован максимальный показатель компрометации данных на уровне 38%.
 
Так, на тему «Расчёт премий» отреагировали 66,5% адресатов, перейдя по предложенной ссылке. Уведомление «Пароль к вашему аккаунту изменён» вызвало интерес у 24% сотрудников, а тема «Нарушение корпоративной политики использования интернет-ресурсов» – у 20%.
 
Среди прошедших тренинги доля открывших подозрительные письма снижается до 7%. По сомнительным ссылкам переходят лишь 2% (в 20 раз реже, чем в необученной аудитории), а компрометируют учётные данные – 0,2%.
 
Снижение уязвимости сотрудников к фишинговым атакам напрямую зависит от качества и регулярности обучения, говорит член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин. «Компании, которые системно развивают цифровую грамотность персонала, значительно уменьшают риск случайной компрометации учётных данных и попадания на уловки злоумышленников. Это особенно важно в условиях, когда социальная инженерия становится одним из основных инструментов киберпреступников. Особое внимание стоит уделять внутренним коммуникациям и уведомлениям, которые имитируют работу HR, финансовых и IT-отделов. Сотрудники чаще реагируют на такие сообщения, что делает их особенно уязвимыми. Обучение помогает формировать критическое мышление и вырабатывать привычку проверять источники информации, прежде чем переходить по ссылкам или вводить данные», - считает депутат.
 
Эффективная защита требует комплексного подхода. «Технические решения, такие как фильтры фишинга и системы предотвращения утечек, должны сочетаться с регулярным развитием навыков персонала. Постоянный анализ актуальных угроз и адаптация программ обучения повышают устойчивость компании к новым типам атак», - предупредил Немкин.
 
Недооценка роли обучения остаётся одной из проблем корпоративной безопасности. Компании, которые рассматривают тренинги как формальность, рискуют столкнуться с утечками данных и финансовыми потерями. В долгосрочной перспективе именно системная подготовка сотрудников становится ключевым элементом стратегии киберзащиты, заключил парламентарий.