Как не стать жертвой фишинга | Harvard Business Review Russia
Технологии

Как не стать жертвой фишинга

Как не стать жертвой фишинга
Иллюстрация: Tim Bower

За последние десять лет Райан Райт и Мэттью Дженсен смогли завладеть данными тысяч людей с помощью фишинга. И они не собираются останавливаться.

Эти двое не хакеры и не охотники за ценной информацией или деньгами. Они исследователи, которые работают с компаниями, университетами и правительствами по всему миру. Их цель — понять, почему мы так часто попадаемся на крючок фишеров и что могут сделать организации, чтобы снизить угрозу. Отделы корпоративной безопасности информируют сотрудников о фишинге — причине 90% утечек данных, но примерно треть вредоносных писем все равно оказываются прочитанными.

Это недопустимо много, если учесть, что средний ущерб от успешной хакерской атаки против компании составляет $3,8 млн. В эпоху пандемии из-за неразберихи и работы из дома, где так много отвлекающих факторов, бдительность снижается, и таких писем открывают еще больше, что на руку хакерам. Опираясь на свои исследования, Райт (профессор кафедры коммерции Университета Вирджинии) и Дженсен (доцент кафедры автоматизированных систем управления Университета Оклахомы) нашли способы сделать тренинги по вопросам безопасности эффективнее.

Добавьте осознанности. Во многих компаниях сотрудникам приходится раз или два в год проходить типовые тренинги. По словам исследователей, на этих занятиях неплохо преподносят основную информацию: каковы общие угрозы и как оценивать входящие сообщения. И все же однотипные инструкции не гарантируют результата, предупреждают авторы. Напротив, спустя какое-то время они могут вызвать обратный эффект: информация станет хуже усваиваться, а во время занятий может появиться ложное чувство компетентности.

Частично проблема в том, что теоретические тренинги приводят в действие тип мышления, который лауреат Нобелевской премии психолог Даниэль Канеман называет Системой 1. Человек начинает обрабатывать информацию автоматически и очень быстро, и это экономит его усилия, но чревато необдуманными решениями и делает сотрудника уязвимым перед нетипичными атаками. «Вместо того, чтобы заставлять людей заучивать длинные списки постоянно меняющихся указаний, — говорит Райт, — нужно обратиться к более целостному методу». Он предлагает тренировать осознанность. Цель — стимулировать Систему 2 — внимательное и аналитическое мышление.

Был проведен эксперимент, в котором приняли участие 355 студентов, преподавателей и сотрудников университета. Исследователи сравнивали три группы, каждая из которых принимала участие в стандартном тренинге по вопросам безопасности. Первой группе выдали дополнительные теоретические инструкции. Вторую группу учили применять простые техники осознанного наблюдения: сделать паузу, если письмо призывает к действию; помнить о характере, времени, цели и уместности запроса; посоветоваться с другими, если письмо кажется подозрительным. Третьей группе не выдавали никаких дополнительных инструкций. Спустя десять дней исследователи симулировали фишинговую атаку и получили такие результаты: на провокацию попались 13% участников первой группы, 23% участников третьей группы и только 7% из тех, кого учили осознанности. Более поздняя работа Кристофера Нгуена показала похожие результаты. Он также выяснил, что повышенная бдительность сохранялась на протяжении месяцев.

Полная версия статьи доступна подписчикам
Вы уже подписаны?
Тогда авторизуйтесь
советуем прочитать
Темная сторона визионерства
Нуфер Ясин Атес,  Мурат Таракчи,  Джанин Порк,  Даан ван Книппенберг,  Патрик Гроенен
Что будет с вашим бизнесом, когда пандемия закончится?
Дев Патнаик,  Мишель Лорет де Мола,  Брейди Бейтс