Роль образовательных программ в повышении кибербезопасности сотрудников

Несмотря на технические успехи, которых достигли специалисты в области кибербезопасности, есть один аспект ИБ, затмевающий все достижения: человеческие ошибки. По данным многочисленных исследований, причиной подавляющего большинства успешных кибератак является человеческий фактор. Аналитики американской компании Verizon Communications оценивают эту цифру в 68%. Российские исследователи считают, что человеческий фактор стал причиной проблем организаций в 80% случаев.

Человек был, есть и, скорее всего, останется самым слабым звеном в цепочке кибербезопасности, полагают исследователи. Можно использовать современные технологические средства защиты, однако слабости тех, кто пользуется цифровыми устройствами, останутся с нами, несмотря на любые ужесточения регуляторных требований или принятие новых образовательных программ в сфере киберобразования и повышения осведомлённости.

Психологи объясняют эти причины обычными человеческими ошибками, связанными с навыками и знаниями. Первые возникают, когда люди занимаются рутинными делами и отвлекаются на многочисленные задачи в процессе работы. Они просто забывают сделать резервную копию диска, что в случае кибератаки может привести к непоправимым последствиям.

Второй тип ошибок свойственен неопытным сотрудникам, которые допускают ошибки из-за отсутствия знаний или несоблюдения определённых правил. Например, переход по ссылке из письма неизвестного отправителя, который ведёт на фишинговый ресурс или скачивание вредоносного ПО.

Многие традиционные учебные программы по кибербезопасности не учитывают особенностей человеческой психологии, а сосредотачиваются лишь на технических и процедурных аспектах кибербезопасности. Это могут быть занятия, где даются теоретические знания и отрабатываются практические навыки, либо киберучения, включающие сценарии взаимодействия с потенциальными угрозами, практикумы по отработке безопасного поведения в интернете и при работе с корпоративными данными.

Однако традиционные подходы к обучению плохо учитывают потребности человека, его мотивы, поведение и способности. Эти аспекты играют важную роль при формировании политик кибербезопасности. Психологи рекомендуют при создании образовательных программ использовать новые стратегии, основанные на последних исследованиях. Вот несколько ключевых рекомендаций:

1. Минимизация когнитивной нагрузки: уроки кибербезопасности должны быть максимально интуитивными и лёгкими. Программы обучения должны направляться на упрощение сложных концепций и бесшовную интеграцию практик безопасности в повседневные рабочие процессы.

2. Формирование позитивного отношения к кибербезопасности: рекомендуется подчёркивать положительные результаты сотрудников и их достижения в этой области. Такой подход может стимулировать работников к совершенствованию навыков в области кибербезопасности. При этом не стоит полагаться на тактику запугивания и угроз.

3. Работа на долгосрочную перспективу: изменение отношения и поведения — это непрерывный процесс. Обучение кибербезопасности должно происходить постоянно, с регулярными обновлениями программ, учитывая изменения в угрозах.

Создание безопасной цифровой среды требует комплексного подхода, сочетающего надёжные технологии, разумные политики, образованность и осведомлённость сотрудников в вопросах кибербезопасности. Учёт человеческой психологии и типичных ошибок поможет создать более эффективные учебные программы и методы обеспечения безопасности, соответствующие человеческой природе, а не противоречащие ей.

Автор: Валентина Ерохина, директор по персоналу Angara Security.