Возьмите себе на заметку и пользуйтесь. Не рассчитывайте на то, что все вокруг имеют представление о социальной инженерии. А если у людей нет необходимых знаний, это не значит, что они глупые, тупые и поэтому должны попасться на крючок мошенников. Проявите эмпатию. Скажите: «Что ж, постараемся в следующий раз сделать лучше. Как думаете, что для этого нужно сделать?» Такой подход поможет намного успешнее справиться и со следующим шагом.

Шаг 2: разработать реализуемые и реалистичные правила для сотрудников

Один из первых навыков, которые я освоил благодаря Джошу, заключался в понимании того, как должна выглядеть нормальная порция еды. Он рассказал мне, сколько белков, жиров и углеводов я должен потреблять в течение для. А дальше решение было за мной: можно было съесть все это хоть за один присест — но тогда я бы точно проголодался позже.

Кроме того, Джош научил меня не доверять глазам. Как-то раз он предложил выложить на тарелку то количество еды, которое казалось мне правильным. А затем взвесить ее. Разница между моими представлениями о нормальном размере порции и реальностью оказалась КОЛОССАЛЬНОЙ. Именно требование взвешивать еду перед ее употреблением позволило мне понять, что именно необходимо изменить в своих привычках.

В мире безопасности такие правила превращаются в «политику компании». Это словосочетание обычно имеет какие-то негативные коннотации. Многие руководители ненавидят разрабатывать и внедрять ее, а многие сотрудники не любят ей следовать. По моим наблюдениям, дурная репутация словосочетания связана с тем, что зачастую политика компании по тем или иным вопросам формулируется размыто, непонятно. Или же это настолько строгие правила, что в их исполнении люди видят больше вреда, чем пользы.

Найти необходимый баланс бывает сложно, но это необходимо сделать, если вы хотите создать в своей компании безопасную среду и сформировать культуру осведомленности.

Как же разрешить это противоречие? Как разработать не слишком строгую и реалистичную политику безопасности, которой было бы просто придерживаться? Давайте разберем несколько рекомендаций, которые помогут вам разработать четкие правила для сотрудников и улучшить текущую ситуацию.

Вынесите размышление за пределы уравнения

Многие правила сформулированы слишком обтекаемо и широко. То есть исполнителю приходится делать выводы и даже принимать решения, исходя из собственных соображений. А ведь на месте такого исполнителя вполне может оказаться человек, даже не представляющий, какие формы способна принимать СИ-атака. Я не предлагаю вам относиться к сотрудникам как к дурачкам. Просто запомните: чем меньше исполнитель будет думать о том, что ему нужно сделать, тем лучше. Понятные правила работают эффективнее всего.

Приведу пример из практики. Моя компания проводила вишинг для крупной финансовой организации, и в 80 % случаев мы успешно собирали необходимые персональные данные. Мы делали ставку на эмпатию, доверие и получали желаемое.

Справедливости ради нужно отметить, что в компании работали действительно приятные и добрые люди. Мы не хотели этого менять. Только представьте себе такой совет по минимизации негативных последствий для руководства: «Доведите ваших сотрудников до паранойи, пусть не доверяют никому». Мы, конечно же, такого не советовали. А руководители компании приняли по-настоящему мудрое решение. Они сформулировали новое, простое, выполнимое правило: «Запрещено сообщать какую бы то ни было личную информацию пользователям, не прошедшим процедуру аутентификации».

Но и на этом руководство не остановилось. С сотрудниками провели разъяснительную работу о том, какая информация считается особенно ценной и как правильно организовывать ту самую аутентификацию пользователей. Наконец, «наверху» приняли еще одно решение, которое и определило успех новой политики: лишили сотрудников возможности получения доступа к информации без идентификации пользователя. Это выглядело так.

Атакующий: Добрый день. Меня зовут Джон Смит. Мне нужна информация по моему аккаунту, а я забыл пароль. Могли бы вы помочь мне восстановить его?

Сотрудник: Безусловно. Чтобы это сделать, мне нужно будет подтвердить вашу личность. Скажите, пожалуйста…

Дальше сотрудник должен был задать пользователю ряд вопросов и вводить ответы в специальные графы. Доступ к запрашиваемой информации открывался только после корректного ввода всех необходимых данных.