Киберугрозы для бизнеса можно разделить на две категории. Первая – атаки на онлайн-ресурсы и серверы компаний. Для отражения таких угроз помогают комплексные цифровые решения, которые пресекают DDoS или попытки взлома. Вторая – работа злоумышленников с людьми – сотрудниками компаний. И риски от подобных угроз очень серьезные. Ведь более 80% киберинцидентов в бизнесе связаны с человеческим фактором,– рассказал руководитель отдела по развитию сервисов для бизнеса макрорегиона «Урал» Т2 Роман Цыкало.
Один из самых распространенных способов обмана работников бизнеса – фишинг. Это мошенничество, при котором злоумышленники используют поддельные сайты и файлы для доступа к чувствительной информации. Работник получает вредоносную ссылку, замаскированную под обычную, переходит по ней и вводит на сайте свои учетные данные. Или скачивает вредоносный файл. В итоге мошенники получают доступ к корпоративной почте, внутренним системам и личной информации человека. Другие частые ошибки — скачивание вирусных файлов с незнакомых сайтов и передача доступа к рабочей информации третьим лицам.
По словам эксперта по кибербезопасности Т2, компании часто не знают о последствиях, к которым может привести успешная кибератака. Хотя их ликвидация требует значительных усилий. Это, например, затраты на привлечение специалистов по кибербезопасности, финансовые потери, штрафы.
Помимо прямых денежных расходов, бизнес теряет доверие клиентов, может испытывать сложности в привлечении новых партнеров и инвесторов, что в долгосрочной перспективе приводит к утрате конкурентных преимуществ.
Избежать этого, на первый взгляд, несложно – достаточно научить сотрудников, как вычислять киберугрозы. Но в реальности вопрос информационной безопасности настолько объемный и непростой, что за пару встреч с ИТ-специалистами его не освоить. Необходимо комплексное обучение и отработка навыков на практике. Это в особенности важно компаниям, которые работают с персональными данными и имеют доступ к конфиденциальной информации, ведь они должны соблюдать требования ФСТЭК №117. В том числе в части обучения сотрудников,– добавил Роман Цыкало.
Для подобных целей существуют специализированные платформы по обучению сотрудников, включающие практические тренировки по противодействию фишингу. При выборе образовательной платформы бизнесу следует обращать внимание, имеет ли она сертификацию в Федеральной службе по техническому и экспортному контролю, советуют эксперты. Такая лицензия, например, есть у системы дистанционного обучения T2 Security Awareness.
Платформа включает более 100 интерактивных курсов, которые регулярно обновляются и адаптируются с учетом актуальных вызовов для компаний. Это, например, углубленный курс «Информационная безопасность», обучение работе с персональными данными и противодействию корпоративному шпионажу. Важно, что материалы адаптированы для сотрудников без технической подготовки. При этом можно выбрать только интересующие курсы, а также разработать собственную программу и добавить ее на площадку.
Другим важным функционалом T2 Security Awareness является симуляция кибератак. Она помогает сотрудникам на практике учиться распознавать мошеннические действия и защищаться от них в реальных условиях. Сейчас на платформе доступны 37 имитационных фишинг-тренировок. Система отправляет поддельные письма, которые копируют дизайн известных российских сервисов, например, Госуслуг. Все письма отправляются с защищенных тестовых доменов, обеспечивая безопасность обучения.
Такие тренировки важно проводить регулярно для всех, кто работает с чувствительной информацией. Благодаря ним можно анализировать уровень киберосознанности сотрудников и подразделений, а также выявлять тех, кому требуется дополнительное обучение. Платформа позволяет формировать отчеты для службы информационной безопасности и руководства. Поэтому T2 Security Awareness используют госкомпании, федеральный бизнес, финансовые организации и другие компании, которые подвержены рискам киберугроз,– подчеркнула директор макрорегиона «Урал» Т2 Светлана Галилеева.