Согласно совместному отчету исследовательской фирмы Cyentia Institute и компании Elevate Security, традиционные методы повышения безопасности, такие как обучение и имитация фишинга, слабо влияют на реальную защищенность сотрудников от кибератак.
В исследовании использовались данные 114 тыс. пользователей платформы Elevate Security, а также сведения о вредоносных программах, фишинге и других видах атак в реальном мире. Аналитики компании пришли к выводу, что, хотя после обучения пользователи реже кликают по вредоносным ссылкам при имитации фишинга, оно не оказывает существенного влияния в реальных атаках. Более того, увеличение количества симуляций и обучения может быть контрпродуктивным: в отчете указывается, что пользователи, прошедшие пять или более тренировок, с большей вероятностью нажмут на фишинговую ссылку, чем те, кто обучался меньше. 11,2% пользователей, прошедших только одну тренировку, щелкнули по фишинг-ссылке; из тех, кто прошел пять тренировок — 14,2%. По статистике платформы, более 6% сотрудников скачивает или запускает вредоносное ПО. Ту же ошибку допускает треть отделов организации и абсолютно все компании — это значит, что в любой компании найдется сотрудник, который хоть раз кликнет по фишинговой ссылке.
«Традиционные тренинги по повышению осведомленности о безопасности и имитация фишинга мало влияют на защиту организации. Эти универсальные программы соответствуют целям соблюдения нормативных требований, но не обеспечивают эффективного снижения рисков», — заявляет Маша Седова, соучредитель Elevate Security.
В компании отметили, что пользователи с менеджерами паролей в 19 раз реже загружают или запускают вредоносные программы, чем пользователи без них. При этом руководители организаций с большей вероятностью будут пользоваться менеджерами паролей: их используют почти 30% руководителей по сравнению с 20% рядовых сотрудников.
