Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Обучение кибербезопасности не работает: время тратится, а фишинг всё равно побеждает

Исследование кибербезопасность обучение фишинг UC San Diego Health
Обучение кибербезопасности не работает: время тратится, а фишинг всё равно побеждает
Исследование кибербезопасность обучение фишинг UC San Diego Health

Зачем платить за то, что сотрудники всё равно провалят.

image

Исследование специалистов UC San Diego Health показало, что привычные формы киберобучения сотрудников почти не влияют на устойчивость к фишинговым атакам. Эксперимент длился 8 месяцев и охватил почти 20 000 работников крупного медицинского центра. Им рассылали поддельные письма с различными приманками — от уведомлений о политике отпусков до «срочных» сообщений о штрафах. Результаты оказались неутешительными: более половины сотрудников хотя бы раз кликнули по вредоносной ссылке.

Проверка эффективности ежегодного обязательного курса по информационной безопасности показала отсутствие какой-либо связи между сроком его прохождения и поведением пользователей в симуляциях. Сотрудники, недавно завершившие обучение, кликали по поддельным ссылкам так же часто, как и те, кто не проходил курс больше года. Это ставит под сомнение практическую ценность таких программ, несмотря на их распространённость и значительные затраты.

Ситуация с интегрированными тренировками, когда обучающие материалы появляются сразу после ошибки в симулированной атаке, оказалась чуть лучше, но масштаб улучшения минимален. В среднем пользователи из обученных групп показывали лишь на 1,7% меньший уровень провалов по сравнению с контрольной группой. Причём многое зависело от конкретного сценария: слабые письма почти не находили жертв, а удачные «приманки» могли заставить кликнуть до 30% адресатов, полностью перекрывая эффект обучения.

Анализ времени взаимодействия с материалами показал, что в большинстве случаев сотрудники даже не пытались вникать в содержание. Почти половина закрывала страницу сразу, а 24% даже не доходили до конца и отмечали прохождение. При этом статические курсы (простые страницы с текстом и советами) не только не помогали, но и в случае повторного прохождения коррелировали с худшими результатами — вероятность ошибки у таких сотрудников возрастала. Единственным вариантом, где наблюдалось заметное улучшение, стала интерактивная форма: если пользователь прошёл её до конца, шанс кликнуть на следующую фишинговую ссылку снижался примерно на 19%. Однако таких людей оказалось крайне мало.

Исследование подчёркивает, что массовые корпоративные практики обучения — ежегодные курсы и рассылки с поддельными письмами — в нынешнем виде не дают значимого эффекта. При ограниченных ресурсах организациям может быть выгоднее инвестировать в технические меры защиты — аппаратные ключи для многофакторной аутентификации, менеджеры паролей или усовершенствованные фильтры — чем в дорогостоящие программы, которые сотрудники фактически игнорируют.