Доктор Джейсон Нерс, директор по науке и исследованиям компании CybSafe, а также доцент кафедры кибербезопасности Кентского университета, обсуждает на портале The New Stack четыре распространенных и тревожных заблуждения в области кибербезопасности и почему от них следует избавиться.
Большинство людей знают, что киберугрозы таятся за каждым углом. Будь то беспринципный преступник-одиночка или хакер, за которым стоит мощь государственной машины, может показаться, что все вокруг хотят получить доступ к вашим частным данным.
Однако насколько хорошо люди осознают угрозы? Согласно последнему исследованию CybSafe «The Annual Cybersecurity Attitudes and Behaviors Report
Многие начинают год с обещания отказаться от вредных привычек, однако многие из этих намерений быстро сходят на нет. Однако киберпреступники по-прежнему дисциплинированы и оснащены лучше, чем когда-либо. Ниже представлены «четыре всадника Апокалипсиса» киберзаблуждений — и как компании и работники могут оставить их в прошлом в 2025 г.
Самоуверенность: 67% респондентов уверены в своей способности распознавать попытки фишинга
67% участников нашего опроса уверены, что могут распознать попытки фишинга. Хотя эти данные выглядят многообещающе, они мало успокаивают CISO — более того, они, скорее всего, поднимут их кровяное давление. Хотя мы можем считать, что наша способность распознавать мошенников безупречна, злодеи постоянно совершенствуются. Когда мы думаем о том, как распознать мошенничество, мы, скорее всего, представляем себе электронные письма с орфографическими ошибками или всплывающие окна, сообщающие о том, что мы выиграли приз как миллионный посетитель. Но мошенничество вышло далеко за рамки этих стереотипов. Сегодняшние угрозы гораздо более изощренные. Искусственный интеллект, в частности, меняет правила игры: так же как он помогает написать отчет в последнюю минуту, он может помочь преступникам сконструировать более сложные и убедительные аферы.
Работники не должны поддаваться ложному чувству безопасности, и организации должны следить за тем, чтобы часто обновлять рекомендации и стратегии, чтобы снизить вероятность того, что их сотрудники станут жертвами.
Кроме того, мы обнаружили, что эта уверенность не всегда переходит в действия. Значительная часть опрошенных (29%) призналась, что не сообщает о подозрительных сообщениях, даже если обнаруживает фишинговую аферу, несмотря на наличие удобных инструментов отчетности, таких как кнопки «Сообщить о фишинге».
Что могут сделать организации, чтобы улучшить этот показатель? Одна из мер, которые они могут принять, основана на простых поведенческих стимулах. Скептическое отношение к тому, что инструменты отчетности оказывают влияние, является распространенным явлением, и многие утверждают, что они с большей вероятностью сообщат о мошенничестве, если получат ощутимые признаки прогресса. Если они будут находить меньше спама в своем почтовом ящике, это поможет, но более простое подтверждение того, что их сообщение рассматривается, улучшит вероятность, что работники сообщат о мошенничестве.
Апатия: 33% опрошенных заявили, что нет смысла защищать себя, поскольку информация о них уже находится в Интернете
Второе заблуждение связано с чувством беспомощности работников. Такая киберапатия может стать опасным самоисполняющимся пророчеством, если не принять меры.
Основная проблема заключается в том, что даже если это правда, что информация уже находится в сети, это не равнозначно прямой угрозе, и существуют разные уровни риска. Одно дело — знать, что кто-то знает ваш домашний адрес; совсем другое — знать, что у него в кармане лежит ключ от вашей входной двери. Даже если трудно спрятать все свои данные, это не значит, что не стоит принимать меры по защите ключевой информации. Хотя может показаться, что невозможно оставаться в безопасности, когда так много личных данных находится в открытом доступе, это должно послужить толчком к укреплению кибербезопасности, например, отказу от включения личной информации в пароли.
Другой аспект этого вопроса — беспокойство о стоимости. Около половины опрошенных (52%) заявили, что полная защита себя в Интернете обходится слишком дорого. Это вполне понятное мнение, и оно представляет собой реальную проблему для компаний, когда большинство их работников считают, что не могут позволить себе необходимую защиту. На самом деле, поскольку многие компании продолжают поддерживать и расширять гибкую политику работы на дому, сейчас как никогда важно, чтобы работники чувствовали себя уверенно и получали поддержку в защите данных компании. Здесь есть нереализованные возможности. Организации могут направить ресурсы на защиту себя и своих сотрудников, сняв с них мнимое бремя, которое часто ограничивает их участие в практиках кибербезопасности.
Самоуспокоенность: 28% респондентов, не использующих MFA, считают свой пароль достаточно надежным
В подборку статистических данных, вызывающих недоумение, следует включить то, что почти треть участников, решивших отказаться от многофакторной аутентификации (MFA) в 2024 г., сделали это потому, что посчитали свой пароль достаточно надежным.
Это вполне объяснимая реакция, но она не учитывает цели MFA. Каким бы сложным ни был ваш пароль, при утечке информации он будет равен «1234». MFA добавляет еще один уровень защиты от злоумышленников. В связи с развитием угроз в 2025 г. организациям следует придерживаться подхода к MFA и надежным паролям «и-и», а не «или-или».
Анализ ответов тех, кто часто использует MFA, потенциально еще более тревожен для бизнеса. Даже среди тех респондентов, которые, казалось бы, больше заботятся о безопасности, большинство в основном используют MFA для банковских и финансовых приложений (81%). Эта цифра резко снижается до 39% для рабочих аккаунтов, включая электронную почту. И снова ответ заключается не в том, чтобы читать сотрудникам лекции о том, почему их рабочая электронная почта так же важна, как и личные банковские счета, а в том, чтобы компании максимально упростили для своих сотрудников настройку и использование MFA на рабочем месте, а также осознали ее важность в контексте современного ландшафта угроз.
Неопределенность: 1/4 опрошенных не волнует, безопасны ли их устройства
И наконец, мы имеем ужасное «не знаю». Примерно четверть опрошенных нами людей не знают, насколько они защищены в Интернете и как они могут повысить уровень своей безопасности.
Для CISO это наименее удивительная статистика. Действительно, по моему опыту, многие работники не особенно следят за своей кибербезопасностью. Это может расстраивать специалистов по безопасности, но это вполне объяснимо: люди заняты! Многие считают, что у них нет времени или умственных способностей, чтобы включить поддержание хорошей кибергигиены в список своих дел. Как ни странно, но это также делает это заблуждение самым простым из четырех, с которыми нам предстоит бороться. Оно предполагает, что эти сотрудники открыты для обучения, но также может указывать на то, что традиционное обучение с помощью видеокурсов работает не так хорошо, как хотелось бы компаниям.
В этом случае компаниям лучше отказаться от прежних режимов обучения, которые часто отнимают много времени и могут казаться бессмысленной дополнительной работой. Изменения в поведении, тщательный сбор данных и индивидуальные рекомендации помогут свести к минимуму неопределенность и создать более информированный и бдительный персонал.
Новый год, новая безопасность
Всем известно, что новогодние намерения выполнить трудно. Люди с трудом придерживаются поставленных целей и из года в год совершают одни и те же ошибки. Вдобавок ко всему, вредные привычки в области кибербезопасности считаются одними из самых непоколебимых — но это не так! В завершение стоит отметить, что за четыре года, в течение которых мы проводили это исследование, в большинстве своем эти заблуждения постепенно уменьшаются. Если лица, принимающие решения, решат бороться с перечисленными заблуждениями, то, я уверен, они увидят реальный прогресс.
Да, есть четыре распространенных и тревожных заблуждения, но каждое из них имеет практические пути решения. Никто не говорит, что поддерживать высокие стандарты безопасности легко — если бы это было так, все бы этим занимались. Главное, чтобы руководители компаний не поддавались апатии. Если они хотят, чтобы сотрудники уделяли первостепенное внимание кибербезопасности, они должны подавать пример. Устранив хотя бы некоторые из этих заблуждений, предприятия смогут в 2025 г. добиться значительных успехов в повышении своей киберкультуры и лучше защитить себя, своих сотрудников и клиентов от надвигающихся угроз.
