Навчання населення з кібербезпеки: чому це важливо і як реалізувати
Глобальні корпорації вже друге десятиріччя проводять навчання своїх співробітників навичкам безпечної роботи з інформацією, розпізнавання та правильних дій під час інцидентів кібербезпеки.
Аналогом такого навчання є навчання з протипожежної безпеки – як запобігти та що робити під час пожежі.
Настав час, коли подібне навчання потрібно проводити не тільки для співробітників великих компаній, а й для всього населення.
Наша залежність від інформаційних технологій стає критичною і продовжує збільшуватися. Атаки прогресують з такою швидкістю, що сподіватися на захист лише технічними засобами (наприклад, антивірусними програмами) безглуздо.
Збільшується кількість атак саме на людей або через людей, коли завдяки введенню людини в оману зловмисники захоплюють контроль над її комп'ютером, телефоном, вивідують паролі або номери кредитних карток.
Якими можуть бути наслідки таких атак?
Крадіжка грошей з банківського рахунку, персональної інформації, шифрування зловмисниками комп'ютера жертви, здирництво тощо. Наприклад, викрадення грошей з банку через перехоплений телефон або поширення приватної інформації в соцмережах та шантаж.
Часто зловмисники з персонального пристрою, який було скомпрометовано, одержують доступ до цінної корпоративної інформації та систем в організації, де людина працює.
Як це відбувається?
Людина отримує листа електронною поштою, який виглядає цілком легітимно і начебто відправлений його знайомим, співробітником або організацією, якій людина довіряє (наприклад, банком).
Лист спонукає людину відкрити вкладення, перейти за посиланням чи ввести свій пароль до начебто легітимного сайту.
Після того, як людина відкриє вкладення або перейде за посиланням – його комп'ютер чи мобільний пристрій заражено, і далі він контролюєтеся зловмисниками.
Інший вид атаки – коли людина отримує SMS або дзвінок з повідомленням, що вона шось виграла: треба тільки перейти за посиланням або надати номер кредитної катрки.
Такі види атак, які направлені на отримання доступу до систем та інформації завдяки введенню людей в оману, називаються соціальна інженерія. Атаки через електронну пошту – це "фішинг", а по SMS – "вішинг".
Окрім "фішингу" існують безліч видів атак на комп’ютери та мобільні пристрої, яким можна запобігти, якщо виконувати базові правила безпеки.
Яких навичок необхідно навчати?
Людей потрібно навчати розпізнавати такі атаки і не реагувати на злочинні листи, дзвінки та SMS.
Окрім протидії соціальній інженерії та пов'язаному з ним шахрайству, людям потрібно надавати базові навички з таких тем, як безпечне налаштування мобільного телефону та WI-FI у публічних місцях, розпізнавання небезпечних сайтів, безпечне налаштування домашнього інтернету та пристроїв, які но нього підключені, захист дітей в інтернеті, використання безпечних паролів тощо.
Як зацікавити людей та забезпечити отримання необхідних навичок?
Звичайно, у національному масштабі подібне навчання може бути тільки добровільним. Тому людей необхідно зацікавити, перш за все, пояснивши на простих прикладах, чому ці питання важливі та стосуються саме їх.
Навчальні матеріали мають виглядати сучасно, динамічно та приваблююче. Звичайно, це має бути не "стіна тексту" чи "пам'ятака" з безпеки, а коротке відео, інтерактивний електронний курс, анімація чи гра.
Сучасний темп життя не дозволяє розраховувати на те, що пересічна людина витратить більш ніж кілька хвилин своєї уваги на навчання, яке не є обов'язковим.
Тому воно має бути розбите на короткі блоки по 2-3 хвилини, де на простих, близьких до життя прикладах роз'яснюються основні ризики та правила.
Прикладом такого матеріалу є фільм на 3 хвилини, у якому надається історія людини, що стала жертвою карткового шахрайства, скільки ця людина втратила грошей та як цьому можна було запобігти.
Навчання має бути доступним у будь-який час, звідусіль – як з комп'ютерів, так і з мобільних пристроїв.
Найкращий формат – створення порталу з навчання базових навичок кібербезпеки для населення, де будуть викладені навчальні матеріли і де можна отримати підтримку фахівця або інших користувачів у разі необхідності.
Подібні портали існують у США та інших країнах. Наприклад, dhs.gov/stopthinkconnect.
Навчання має проводитися не тільки через інтернет, але й традиційними каналами – телебачення, радіо, газети. Ці канали найбільш поширені серед людей, які нещодавно почали використовувати інтернет та мобільні телефони і найбільш часто стають жертвами шахраїв.
Для молодшого покоління треба передбачити створення мобільної гри, яка буде в ігровому форматі надавати необхідні навички.
Якщо дивитися стратегічно, то в країні треба створити культуру безпечного поводження з інформацією. Це питання не одного року, але до цього треба прагнути.
Культура передбачає передачу знань шляхом соціального навчання – люди навчаються від інших людей або передають навички через артефакти культури (наприклад, літературу, кіно, гумор тощо).
Потрібно створити умови для розвитку мережі волонтерів, які будуть допомагати громадянам щодо питань кібербезпеки.
Така програма існує в США. У корпораціях таких волонтерів називають Security Ambassadors або Друзями кампанії з кібербезпеки.
Культура також визначається лідерами нації, які мають демонструвати безпечну поведінку та говорити про важливість цього питання.
Які кращі практики запозичити з корпоративного сектору?
Всі перераховані вище речі вже існують і використовуються в корпоративному секторі, включаючи як сам контент (електронні курси, фільми), так і технічні платформи з навчання, ігри та мобільні додатки.
Наприклад, створено кілька сезонів комедійного серіалу з кібербезпеки із залученням професійних акторів, у якому висміюється небезпечна поведінка.
Додатково до вищезгаданого корпорації проводять оцінку ефективності навчання і періодично випробовують, як змінилася поведінка користувачів, шляхом розсилки фейкових фішингових листів своїм співробітникам. Ті співробітники, які відкрили інфікованого листа, мають проходити додаткове навчання.
Методи для охоплення релевантним навчанням найбільшої кількості людей необхідно запозичити з маркетингу.
Для цього треба провести соціально-демографічний аналіз і створити "Client Persona" – профілі громадян, для яких визначити найбільш необхідні навички та найбільш сприйнятні канали навчання.
У чому полягає інноваційність програми?
Вкрай важливо, щоб програма була ефективною й охопила та забезпечила навчання максимальної кількості громадян.
Тому це має бути не просто сайт з навчальними матеріалами, а саме програма, побудована за всіма останніми трендами, включаючи цікавий та сучасний контент, інтерактивні електронні курси, майкро-лернінг, гейміфікацію, сучасні методики просування програми та використання різноманітних каналів і методів навчання для різних категорій населення.
Якими мають бути подальші кроки?
Найпершим кроком має бути розробка структури програми, яка відповість на питання, які навички потрібні та які канали і методи навчання використовувати для різних "профілів" громадян.
Україна має вирішити, як рухатись у цьому напрямку – створити контент і платформи навчання самостійно чи зекономити час і купити готовий продукт.
На мій погляд, час гаяти не можна. Адже навчання з кібербезпеки так само – або навіть більш важливо, ніж розбудова технічних засобів захисту чи центрів реагування.
Олексій Янковський, Київське відділення міжнародної професійної неприбуткової асоціації ISACA
Спеціально для УП
