Как не стать жертвой фишинга

Опыт Fannie Mae

Директор по информационной безопасности в крупнейшем американском ипотечном агентстве Fannie Mae Кристофер Портер курирует обучение по IT-безопасности почти 7500 сотрудников компании наряду с несколькими тысячами подрядчиков и консультантов. Недавно он поговорил с HBR о том, как в компании защищаются от фишинговых атак.

HBR: Как именно вы обучаете сотрудников борьбе с фишингом?
Кристофер Портер: В компании есть обязательная широкая программа. Специфические вопросы мы рассматриваем отдельно. Например, кредиторские счета и финансовые группы – мишень для особых атак: их надо защищать специально. Еще мы каждый месяц проводим учебные атаки разного характера. Если люди открывают одно из тестовых писем, они сразу же получают обратную связь – короткое видео, которое объясняет, почему это сообщение – фишинг. Сотрудники, которые провалят два или больше теста за год, проходят дополнительный групповой тренинг. Наконец, каждую пятницу мы выкладываем в блоге пост о разных способах распознавания фишинга и о действиях, которые нужно предпринять, если попадется такое письмо, – очень важно, чтобы люди сообщали об атаках.
– На чем вы фокусируетесь в ежемесячных упражнениях?
– Есть три главные темы. Во-первых, потери: хакер угрожает что-то отобрать у человека, если тот не ответит на письмо. Во-вторых, обещания: людям говорят, что они что-то получат, если перейдут по ссылке. Третья тема связана с эмоциями: фишинговые письма часто злоупотребляют, например, любопытством. Важно знать слабые места наших сотрудников, чтобы прорабатывать их на тренингах. Мы также следим за тем, какие атаки распространены в тот или иной момент времени. Сейчас очень частой приманкой стал COVID-19.
– Простые упражнения на тренировку осознанности помогают противостоять атакам. Вы пробовали такой подход?
– Мы пытаемся научить людей действовать по принципу «остановись, подумай, действуй». Например, мы просим их сделать паузу, если они видят, что письмо помечено как «внешнее». Перед тем как читать такое письмо или что-то делать, нужно спросить себя: ждал ли я этого письма, знаю ли отправителя и не кажется ли оно подозрительным. Со временем это помогло нам усилить сопротивление атакам.
– Что вы делаете, чтобы люди перестали открывать подозрительные письма после тренингов?
– Во-первых, мы стараемся, чтобы было весело. Мы используем анимированные ролики, в которых раскрываются правила бдительности. Иногда их озвучивают знаменитости – как-то у нас был комик Джон Ловетт. Во-вторых, мы опираемся на исследования, которые показали, что лучше научить сотрудников защищать свою личную информацию дома – и тогда они начнут делать то же в офисе. Для этого мы учим их настраивать многофакторную аутентификацию, чтобы хранить в безопасности личные финансовые сведения. Мы многое делаем, чтобы помочь людям защитить себя и близких. Например, к нам приходила женщина, чтобы рассказать, как в детстве ее похитили, склонив к встрече через интернет, и как родителям уберечь своих детей от подобного. Исследования и наш опыт доказали, что чем более персонализирован урок, тем лучше он запоминается.