- 20,139
- 44
- 8 Ноя 2022
Зачем платить за то, что сотрудники всё равно провалят.
Исследование специалистов UC San Diego Health показало , что привычные формы киберобучения сотрудников почти не влияют на устойчивость к фишинговым атакам. Эксперимент длился 8 месяцев и охватил почти 20 000 работников крупного медицинского центра. Им рассылали поддельные письма с различными приманками — от уведомлений о политике отпусков до «срочных» сообщений о штрафах. Результаты оказались неутешительными: более половины сотрудников хотя бы раз кликнули по вредоносной ссылке.
Проверка эффективности ежегодного обязательного курса по информационной безопасности показала отсутствие какой-либо связи между сроком его прохождения и поведением пользователей в симуляциях. Сотрудники, недавно завершившие обучение, кликали по поддельным ссылкам так же часто, как и те, кто не проходил курс больше года. Это ставит под сомнение практическую ценность таких программ, несмотря на их распространённость и значительные затраты.
Ситуация с интегрированными тренировками, когда обучающие материалы появляются сразу после ошибки в симулированной атаке, оказалась чуть лучше, но масштаб улучшения минимален. В среднем пользователи из обученных групп показывали лишь на 1,7% меньший уровень провалов по сравнению с контрольной группой. Причём многое зависело от конкретного сценария: слабые письма почти не находили жертв, а удачные «приманки» могли заставить кликнуть до 30% адресатов, полностью перекрывая эффект обучения.
Анализ времени взаимодействия с материалами показал, что в большинстве случаев сотрудники даже не пытались вникать в содержание. Почти половина закрывала страницу сразу, а 24% даже не доходили до конца и отмечали прохождение. При этом статические курсы (простые страницы с текстом и советами) не только не помогали, но и в случае повторного прохождения коррелировали с худшими результатами — вероятность ошибки у таких сотрудников возрастала. Единственным вариантом, где наблюдалось заметное улучшение, стала интерактивная форма: если пользователь прошёл её до конца, шанс кликнуть на следующую фишинговую ссылку снижался примерно на 19%. Однако таких людей оказалось крайне мало.
Исследование подчёркивает, что массовые корпоративные практики обучения — ежегодные курсы и рассылки с поддельными письмами — в нынешнем виде не дают значимого эффекта. При ограниченных ресурсах организациям может быть выгоднее инвестировать в технические меры защиты — аппаратные ключи для многофакторной аутентификации, менеджеры паролей или усовершенствованные фильтры — чем в дорогостоящие программы, которые сотрудники фактически игнорируют.
Исследование специалистов UC San Diego Health показало , что привычные формы киберобучения сотрудников почти не влияют на устойчивость к фишинговым атакам. Эксперимент длился 8 месяцев и охватил почти 20 000 работников крупного медицинского центра. Им рассылали поддельные письма с различными приманками — от уведомлений о политике отпусков до «срочных» сообщений о штрафах. Результаты оказались неутешительными: более половины сотрудников хотя бы раз кликнули по вредоносной ссылке.
Проверка эффективности ежегодного обязательного курса по информационной безопасности показала отсутствие какой-либо связи между сроком его прохождения и поведением пользователей в симуляциях. Сотрудники, недавно завершившие обучение, кликали по поддельным ссылкам так же часто, как и те, кто не проходил курс больше года. Это ставит под сомнение практическую ценность таких программ, несмотря на их распространённость и значительные затраты.
Ситуация с интегрированными тренировками, когда обучающие материалы появляются сразу после ошибки в симулированной атаке, оказалась чуть лучше, но масштаб улучшения минимален. В среднем пользователи из обученных групп показывали лишь на 1,7% меньший уровень провалов по сравнению с контрольной группой. Причём многое зависело от конкретного сценария: слабые письма почти не находили жертв, а удачные «приманки» могли заставить кликнуть до 30% адресатов, полностью перекрывая эффект обучения.
Анализ времени взаимодействия с материалами показал, что в большинстве случаев сотрудники даже не пытались вникать в содержание. Почти половина закрывала страницу сразу, а 24% даже не доходили до конца и отмечали прохождение. При этом статические курсы (простые страницы с текстом и советами) не только не помогали, но и в случае повторного прохождения коррелировали с худшими результатами — вероятность ошибки у таких сотрудников возрастала. Единственным вариантом, где наблюдалось заметное улучшение, стала интерактивная форма: если пользователь прошёл её до конца, шанс кликнуть на следующую фишинговую ссылку снижался примерно на 19%. Однако таких людей оказалось крайне мало.
Исследование подчёркивает, что массовые корпоративные практики обучения — ежегодные курсы и рассылки с поддельными письмами — в нынешнем виде не дают значимого эффекта. При ограниченных ресурсах организациям может быть выгоднее инвестировать в технические меры защиты — аппаратные ключи для многофакторной аутентификации, менеджеры паролей или усовершенствованные фильтры — чем в дорогостоящие программы, которые сотрудники фактически игнорируют.
- Источник новости
- www.securitylab.ru
