Обязательные курсы кибербезопасности не останавливают фишинговые атаки

Новое исследование, охватившее почти 20 000 сотрудников медицинского центра UC San Diego Health, ставит под сомнение одну из самых распространенных мер защиты от киберпреступности в корпоративной Америке – обязательные тренинги по распознаванию фишинга. Несмотря на масштабное продвижение образовательных программ по выявлению онлайн-мошенничества среди компаний и государственных учреждений, результаты говорят о том, что эти программы практически не влияют на способность сотрудников выявлять фишинговые атаки и избегать их.

Восьмимесячное исследование, проведенное в 2023 году, включало 10 симулированных фишинговых кампаний, нацеленных на персонал калифорнийской медицинской системы. Ученые пытались определить, улучшает ли стандартное ежегодное обучение, широко используемое в различных отраслях, способность сотрудников идентифицировать и избегать вредоносных писем. Вместо ожидаемого постепенного снижения внимательности с течением времени результаты не выявили значительной разницы в частоте ошибок, независимо от того, когда работники последний раз проходили обучение.

Доцент Чикагского университета и соавтор исследования Грант Хо рассказал The Wall Street Journal:

Это говорит о том, что обязательное обучение по кибербезопасности не обеспечило пользователей полезными знаниями в области безопасности.

Исследователи обнаружили, что сотрудники, прошедшие любую форму обучения, справились лишь немного лучше тех, кто не проходил никакого обучения – средняя частота ошибок снизилась всего на 1,7%. Стабильность показателей неудач, даже сразу после тренингов, указывает на то, что программы практически не влияют на изменение поведения сотрудников.

Хо отметил, что для разочаровывающих результатов может быть несколько причин. Материал может быть слишком общим, плохо разработанным или представленным в формате – обычно в виде обязательного онлайн-модуля – который сотрудники вряд ли усвоят. А многие просто отключались.

Данные показали, что во время симулированных тренингов сотрудники проводили менее минуты, взаимодействуя с материалом, в более чем трех четвертях случаев. В 37-51% сессий сотрудники закрывали страницу обучения немедленно.

Часто, когда сотрудники нажимают на обучающий модуль, одна из возможных причин, по которой они сразу уходят, заключается в том, что они проверяют электронную почту или находятся в сети с другой целью.

Чтобы проверить, какие стили обучения более эффективны, исследование разделило сотрудников на несколько групп после каждой фишинговой симуляции. Некоторые получали общие советы по кибербезопасности, в то время как другим предлагались интерактивные модули с вопросами и ответами, детальные брифинги об атаке, с которой они только что столкнулись, или комбинация обоих подходов. Отдельная контрольная группа сотрудников не получала никакого последующего обучения.

Результаты показали, что интерактивные уроки в формате вопросов и ответов имели наиболее заметную пользу, но только если сотрудники полностью их проходили. Хотя показатели завершения были низкими, сотрудники, закончившие интерактивное обучение, на 19% реже попадались на фишинговые письма. Но, поскольку так мало работников полностью участвовали, эффективность программы в масштабах всего персонала оставалась незначительной. Исследователи заметили, что те, кто завершает обучение, возможно, уже более добросовестны, что поднимает вопрос о том, объясняют ли разницу личностные черты, а не сам материал.

Фишинг остается одной из самых распространенных и разрушительных форм кибератак. Сотрудники, которые нажимают на мошеннические ссылки или файлы, могут подвергнуть целые сети вторжению. Однако это исследование показывает, что опора исключительно на человеческую осведомленность оставляет организации уязвимыми.

Хо и соавторы считают, что компаниям не стоит полностью отказываться от обучения, но скорее рассматривать его как часть более широкой оборонительной стратегии. Они предлагают использовать автоматизированные инструменты, способные идентифицировать и блокировать подозрительные сообщения до того, как они попадут в почтовые ящики, как более надежную защиту.