Новое исследование, проведённое среди почти 20 тысяч сотрудников UC San Diego Health, ставит под сомнение эффективность одного из самых распространённых методов защиты компаний от киберугроз — обязательных тренингов по выявлению фишинговых атак. Несмотря на то что такие курсы давно стали стандартом как в бизнесе, так и в госструктурах, результаты показали: польза от них минимальна.
В рамках работы, длившейся восемь месяцев в 2023 году, сотрудники получили 10 «поддельных» фишинговых писем. Учёные ожидали, что обучение поможет снизить процент ошибок, но статистика не выявила существенной разницы в том, как часто работники попадались на уловки, независимо от того, когда они проходили обучение.
Почему тренинги не работают
По словам Гранта Хо, доцента Чикагского университета и одного из авторов исследования, стандартные онлайн-курсы не дают сотрудникам нужных знаний. В среднем обучение снижало вероятность ошибки лишь на 1,7%.
Анализ показал, что большинство работников практически не вовлекаются в процесс: более чем в 75% случаев сотрудники тратили на материалы меньше минуты, а в 37–51% ситуаций просто закрывали страницу обучения сразу после её открытия.
Попытки изменить формат
Учёные протестировали разные подходы: от общих советов по кибербезопасности до подробных разборов конкретной атаки и интерактивных модулей с вопросами и ответами. Наиболее заметный эффект показала именно интерактивная форма: сотрудники, которые её прошли, в среднем на 19% реже становились жертвами фишинга. Однако таких работников оказалось слишком мало, чтобы это повлияло на общую картину. Кроме того, исследователи отмечают, что сама склонность пройти обучение до конца может быть связана не столько с эффективностью методики, сколько с личными качествами сотрудников.
Фишинг остаётся одной из главных угроз кибербезопасности: клик по вредоносной ссылке способен поставить под удар целую корпоративную сеть. Но данные показывают, что полагаться исключительно на человеческий фактор опасно.
Авторы исследования считают, что обучение полностью отменять не стоит, но его нужно рассматривать лишь как часть комплексной стратегии. Более надёжной защитой становятся автоматизированные инструменты, которые блокируют подозрительные письма до того, как они попадут в почтовый ящик сотрудника.
«Тренинги в их нынешнем виде не обеспечивают достаточной защиты от фишинга», — подчеркнул Грант Хо.