
У постраждалих від злочинних атак компаніях майже завжди встановлені брандмауери та програмне забезпечення для захисту даних. Однак цього недостатньо. Саме співробітники, а не технології, найбільш уразливі для атак. Це не означає, що співробітники безвідповідальні. Вони роблять звичайні людські помилки, виявляються непідготовленими до загроз кібербезпеки.
90% порушень кібербезпеки відбуваються через людську помилку. Більше того, тільки 38% міжнародних організацій стверджують, що вони готові до складних кібератак. Сьогодні улюбленим методом кіберзлочинців є соціальна інженерія, в ході якої вони психологічно маніпулюють жертвами і переконують їх добровільно або неусвідомлено передати свої особисті дані. Крім цих видів віртуального шахрайства, ще однією постійною загрозою є шкідливе програмне забезпечення.
Віддалена робота. В умовах карантину COVID-19 та воєнного стану віддалена робота стала для багатьох новою реальністю. Дистанційна робота стала настільки поширеною, що організації розробили окрему політику для віддалених працівників. Віддалена робота з використанням хмарних технологій підвищила комфорт, але також збільшила ризик проникнення в організацію.
Інтернет речей (IoT). Співробітники підключають свої особисті пристрої до мережі компанії або використовують їх в офіційних ділових цілях. Багато пристроїв не мають адекватного захисту і являють собою значну загрозу для внутрішньої ІТ-безпеки організації. Атаки IoT можна мінімізувати за рахунок практики «принесіть свій власний пристрій» (BYOD) на робоче місце та забезпечивши дотримання політики безпеки серед співробітників.

Загрози кібербезпеки. Щоб співробітники могли виявляти і запобігати порушенням, їм необхідні базові знання про ознаки різних форм загроз. Матеріали з виявлення спаму повинні пояснювати, що спам зустрічається не лише у електронних листах, а й у повідомленнях і запрошеннях у соціальних мережах. Наприклад, «запрошення» в LinkedIn можуть утримувати віруси.
Говорячи про фішинг, наводьте приклади реальних фішингових афер, щоб співробітники розуміли, як виглядають підроблені електронні листи, від кого вони приходять і яку інформацію шукають.
Навчання повинно включати поради тому, як уникнути завантаження шкідливих програм і програм-вимагачів.
Важливість паролів. Паролі сьогодні потрібні скрізь – для розблокування пристроїв, входу в облікові записи і для всіх додатків, пов’язаних з роботою. Розгляньте безпечне програмне забезпечення, яке може генерувати та зберігати паролі. Розробіть політику щодо електронної пошти, інтернету та соціальних мереж.
Захист даних компанії. Кожна компанія має свою політику захисту даних, але не варто думати, що всі співробітники знають або розуміють її. Не забувайте регулярно проводити курси підвищення кваліфікації, щоб усі співробітники пам’ятали правила і знали, коли вони змінюються.
Як виявляти та повідомляти про загрози кібербезпеки. Ваші співробітники – це ваші очі і вуха. Кожен пристрій, яким користуються ваші колеги, кожен лист, який вони отримують і відкривають, може містити натяки на прихований вірус, фішингову аферу і злом пароля. Окрім цього, не забудьте поінформувати їх про те, хто і як повинен повідомляти про підозрілу поведінку контенту.
Найкраще не використовувати готові навчальні модулі та базові веб-курси. Замість цього має сенс інвестувати в експертів з кібербезпеки, які працюють безпосередньо з організацією. Таке спеціалізоване навчання дозволяє розробити повну стратегію віртуальної безпеки відповідно до унікальної корпоративної структури компанії, конфіденційності даних і потреб співробітників.
Метою такого навчання завжди є зміна звичок і поведінки в області безпеки та формування усвідомлення загальної відповідальності співробітників.