Dmytro Koziatynskyi

Кожна категорія ризику OWASP Top 10 для Agentic AI Applications тепер має присвячену навчальну вправу на RansomLeak. Десять вправ, що охоп��юють десять сценаріїв атак, де AI-агенти діють самостійно і щось іде не так. Усі безкоштовні, акаунт не потрібен.

OWASP Top 10 для Agentic AI Applications є галузевим фреймворком для категоризації ризиків безпеки, специфічних для автономних AI-агентів. Цей курс перетворює кожну категорію на практичну симуляцію, де працівники переживають ці атаки в реалістичних робочих сце��аріях.

Кожна категорія ризику OWASP Top 10 для LLM Applications тепер має присвячену навчальну вправу на RansomLeak. Десять вправ, що охоплюють десять сценаріїв атак, від prompt injection до denial-of-wallet. Усі безкоштовні, акаунт не потрібен.

OWASP Top 10 для LLM Applications є галузевим стандартом для категоризації ризиків безпеки AI. Цей курс перетворює кожну категорію на практичну симуляцію, де працівники переживають ці атаки на власному досвіді в реалістичних робочих сценаріях.

Hoxhunt і RansomLeak обидві відкидають ідею, що навчання з безпеки повинно бути пасивною вправою з відео та слайдами для галочки. Обидві платформи роблять ставку на залучення, а не на лекційні слайди. Але вони вирішують проблему залучення принципово різними способами.

Hoxhunt створює AI-адаптивні фішингові симуляції, які регулюють складність на основі результатів кожного працівника. Система вивчає, на що потрапляють люди, і надсилає прогресивно складніші атаки, щоб тримати їх у тонусі. Це витончений підхід саме до проблеми фішингових симуляцій.

RansomLeak створює інтерактивні 3D-симуляції, де працівники практикуються в обробці повних сценаріїв атак. Не лише фішинг, а й програми-вимагачі, соціальна інженерія, вішинг, дипфейки, загрози AI-безпеки та відповідність GDPR. Фокус на практичному досвіді по всьому спектру ризиків безпеки.

Обидва підходи працюють. Питання в тому, який відповідає тому, що вашій організації дійсно потрібно.

KnowBe4 — найбільша у світі платформа навчання з кібербезпеки. Вони на ринку з 2010 року, навчили десятки мільйонів користувачів і створили бібліотеку контенту, яка налічує тисячі модулів. Якщо ви оцінюєте навчання з кібербезпеки, KnowBe4 буде у вашому шорт-листі. І так має бути.

Але “найбільший” і “найкраще підходить” — це різні речі. Сильні сторони KnowBe4 реальні, як і причини, чому організації шукають альтернативи. Ціни швидко зростають. Бібліотека контенту величезна, але переважно заснована на відео. Фішингові симуляції сильні, але загальний досвід навчання може нагадувати галочку для відповідності.

RansomLeak використовує інший підхід. Інтерактивні 3D-симуляції замість відеолекцій. Практичні вправи, де працівники приймають рішення та бачать наслідки. SCORM-пакети, що працюють з будь-якою LMS, або автономна хмарна платформа, якщо у вас її немає. Понад 100 безкоштовних вправ без реєстрації.

Це чесне порівняння. Ми розглянемо, де KnowBe4 сильніший, де RansomLeak сильніший, і для кого створена кожна платформа. Ми упереджені (ми створили RansomLeak), тому будемо прозорими щодо цього.

Більшість навчань з кібербезпеки нудні. І Ninjio, і RansomLeak це визнають. Розходяться вони у вирішенні проблеми.

Ninjio каже, що відповідь — кращі розваги. Виробляти голлівудської якості анімовані епізоди, які розповідають реальні історії кібербезпеки за три-чотири хвилини. Зробити навчання настільки цікавим, що працівники дійсно з нетерпінням його чекають. Замінити забутні слайди відповідності чимось, що люди хочуть дивитися.

RansomLeak каже, що відповідь — краща практика. Створювати інтерактивні 3D-симуляції, де працівники працюють з реалістичними сценаріями атак. Зробити навчання тим, що люди роблять, а не тим, що вони дивляться. Замінити пасивний перегляд активним прийняттям рішень.

Одна платформа інвестує у виробничу якість. Інша інвестує у дизайн взаємодії. Обидві відкидають статус-кво, але в різних напрямках.

Phished та RansomLeak мають європейську ДНК та спільне переконання, що традиційне навчання на основі відео не змінює поведінку. Обидві платформи намагаються вирішити проблему залучення. Але підходять до цього з протилежних сторін.

Phished автоматизує все. AI генерує персоналізовані фішингові симуляції, автоматично регулює складність та запускає навчальний контент, коли працівникам це потрібно. Філософія полягає в тому, що автоматизація забезпечує послідовність та масштаб. Налаштуйте його, і система запустить вашу програму підвищення обізнаності з мінімальним ручним втручанням.

RansomLeak робить все інтерактивним. 3D-симуляції поміщають працівників усередину сценаріїв атак, де вони приймають рішення та вчаться на наслідках. Філософія полягає в тому, що практичний досвід розвиває навички, яких пасивний контент не може забезпечити. Саме навчання виконує основну роботу, а не автоматизація навколо нього.

Обидва підходи мають свої переваги. Правильний вибір залежить від того, чи потрібна вашій програмі ширина автоматизації або глибина навчання.

Proofpoint Security Awareness Training (раніше Wombat Security) є частиною ширшої екосистеми захисту електронної пошти. Якщо ваша організація вже використовує Proofpoint для захисту пошти, їхнє навчання підключається безпосередньо до тих самих розвідувальних даних про загрози, що живлять ваш email-шлюз. Ця інтеграція є основною причиною, чому організації його обирають.

RansomLeak не має продукту захисту електронної пошти. Це автономна навчальна платформа, яка працює з будь-яким email-вендором, будь-якою LMS та будь-яким стеком безпеки. Саме навчання побудоване навколо інтерактивних 3D-симуляцій, а не відео та модульного підходу Proofpoint.

Порівняння зводиться до простого питання: чи хочете ви навчання, тісно інтегроване з пакетом захисту пошти одного вендора, чи навчання, агностичне до платформи та побудоване навколо практичного залучення?

Usecure та RansomLeak обслуговують різні сегменти ринку навчання з кібербезпеки. Розуміння того, до якого сегменту ви належите, корисніше, ніж порівняння списків функцій.

Usecure створений для постачальників керованих послуг (MSP), які надають навчання з безпеки своїм клієнтам. Платформа автоматизує реєстрацію, оцінку ризиків та доставку навчання, щоб MSP міг управляти програмами підвищення обізнаності для десятків клієнтських організацій з єдиного дашборда. Це ефективно, доступно та розроблено для масштабування по кількох тенантах.

RansomLeak створений для організацій, які хочуть найкращий можливий навчальний досвід для своїх працівників. Інтерактивні 3D-симуляції, практичні вправи, гнучкість SCORM та глибоке тематичне покриття фішингу, соціальної інженерії, AI-безпеки та відповідності.

Якщо ви MSP, який шукає мульти-тенантну платформу, ви ймовірно оцінюєте Usecure. Якщо ви підприємство, яке шукає навчання, яке ваші працівники дійсно запам’ятають, ви ймовірно оцінюєте RansomLeak. Обидва є коректними відправними точками.

Ваш корпоративний email-шлюз може аналізувати URL-адреси, запускати вкладення в пісочниці та позначати домени відправників, зареєстровані вчора. Він не може прочитати QR-код.

Це і є вся суть квішингу. Зловмисники вбудовують шкідливу URL-адресу в зображення QR-коду, вставляють його в електронний лист і дозволяють телефону отримувача зробити решту. Лист не містить клікабельного посилання. Немає підозрілого вкладення. Лише квадрат із чорно-білих пікселів, який ваші засоби безпеки сприймають як нешкідливий файл зображення.

Ця атака не нова, але вона швидко масштабувалась. Звіт про загрози Abnormal Security за 2024 рік показав, що кількість фішингових атак через QR-коди зросла більш ніж на 400% у другій половині 2023 року порівняно з аналогічним періодом 2022 року. HP Wolf Security задокументував корпоративні квішинг-кампанії, що імітували Microsoft 365, DocuSign та внутрішні HR-портали протягом 2024 року.

Що відрізняє квішинг від звичайного email-фішингу — це зміна пристрою. Жертва читає лист на ноутбуці, але сканує код телефоном. Цей телефон зазвичай знаходиться поза корпоративним периметром безпеки. Немає веб-проксі, немає DNS-фільтрації, немає виявлення на кінцевих точках. Зловмисник просто переніс усю атаку на некерований пристрій.

Введіть “gogle.com” у ваш браузер. Ви помилились. Двадцять років тому ця помилка привела б вас на сторінку з рекламою. Сьогодні вона може привести вас на піксельно-точну копію сторінки входу Google, яка захопить ваше ім’я користувача та пароль перед перенаправленням на справжній сайт. Ви б ніколи не дізнались.

Це тайпосквотинг, і він існує з тих пір, як доменні імена стали цінними. Що змінилось, так це витонченість. Сучасні тайпосквотинг-кампанії не просто купують очевидні помилки. Вони реєструють домени з використанням символьних підстановок, які майже невидимі для людського ока, доповнюють їх дійсними HTTPS-сертифікатами та розгортають як частину цільових операцій зі збору облікових даних проти конкретних компаній.

Unit 42 від Palo Alto Networks виявив, що приблизно 13 857 сквотинг-доменів реєструвались щомісяця у 2023 році, причому тайпосквотинг та комбосквотинг становили більшість. Це не опортуністичні припарковані сторінки. Багато з них є активними фішинговими сайтами з терміном життя, виміряним годинами, достатнім для збору партії облікових даних перед виявленням та закриттям.

Атаки ransomware та фішингу продовжують еволюціонувати за масштабом та складністю. Теоретичного навчання вже недостатньо. Організаціям потрібне практичне навчання на основі досвіду, що відображає реальний перебіг атак.

Саме тому RansomLeak уклав партнерство з Cyber Helmets для доставки програм навчання та обізнаності з кібербезпеки, заснованих на реальній розвідці ransomware.

23:47. Backend-інженер налагоджує збій у продакшені. База даних повертає помилки тайм-ауту, і черговий Slack-канал заповнюється пінгами від служби підтримки. Її колега просить облікові дані продакшн-бази даних, щоб перевірити налаштування пулу з’єднань. Вона вставляє логін і пароль прямо в канал. В каналі одинадцять людей. Троє з них підрядники, доступ яких мав закінчитися минулого кварталу. Повідомлення індексоване, доступне для пошуку і буде існувати в архіві Slack стільки, скільки існуватиме робочий простір.

Збій усувають до півночі. Облікові дані залишаються в тому каналі назавжди. Через шість місяців, коли акаунт підрядника в Slack компрометують через повторно використаний пароль, ці облікові дані стають першим, що знаходить зловмисник.

Цей сценарій постійно повторюється в організаціях будь-якого розміру. Ризики, що ховаються в робочих чат-платформах, виходять далеко за межі випадкового необережного повідомлення.

Співробітниця шукає в Google конвертер PDF. Перший результат виглядає правильно. Логотип, брендинг, кнопка завантаження. Вона встановлює його. Протягом 48 годин її облікові дані браузера, збережені паролі та токени сесій ексфільтровані на сервер у Східній Європі. Сторінка завантаження була отруєним результатом пошуку, який ранжувався вище за легітимний інструмент.

Це не теоретичний сценарій. Palo Alto Unit 42 повідомив у 2024 році, що веб-браузери стали вектором атаки номер один для підприємств, залучені в понад 80% інцидентів початкового доступу. Ваш файрвол, ендпоінт-агент та поштовий шлюз мало допомагають, коли загроза живе всередині самого браузера.

Браузери тихо стали операційною системою роботи. SaaS-додатки, хмарні консолі, внутрішні інструменти, комунікаційні платформи. Майже все працює у вкладці браузера. І кожна з цих вкладок є потенційною поверхнею атаки, яку більшість навчання з безпеки ігнорує.

Фінансова компанія розгорнула щорічне оновлення політики паролів. Мінімум 12 символів, одна велика літера, одна цифра, один спеціальний символ. Працівники виконали. Безпека відчувалась добре. Потім red team через три місяці виявив, що 38% працівників обрали варіації “Company2026!” і що майже половина повторно використовувала корпоративний пароль на особистих сервісах.

Політику формально виконали. Поведінку, яку вона мала створити, ніколи не виникла.

Цей патерн повторюється в усіх галузях. Організації інвестують у правила паролів та чек-листи відповідності, а потім дивуються, чому атаки на основі облікових даних продовжують вдаватися. Проблема не в тому, що працівникам бракує обізнаності. Більшість людей знають, що повторне використання паролів ризиковане. Проблема в тому, що знання ризиковості чогось автоматично не створює альтернативної поведінки.

Менеджер по роботі з клієнтами в медичній компанії потребувала поділитися даними результатів пацієнтів з потенційним партнером. Вона відкрила аналітичну панель компанії, експортувала CSV та надіслала його на Gmail партнера. Експорт включав імена пацієнтів, дати лікування та коди рахунків. Вона не усвідомлювала, що все це було у файлі. Вона хотіла лише агреговані числа.

Компанія виявила інцидент через два тижні під час рутинного огляду DLP. На той час лист було переправлено всередині організації партнера. Потребувалося повідомлення про витік згідно з HIPAA. Юридичні витрати, усунення наслідків та штрафи склали понад $200 000. Все тому, що одна співробітниця не могла відрізнити агреговану статистику від захищеної медичної інформації в електронній таблиці.

Цей тип інцидентів відбувається постійно. Не тому, що співробітники недбалі, а тому, що ніхто не навчив їх дивитися на дані та запитувати: “Що я насправді тримаю?”

Фішинговий лист надходить у вашу поштову скриньку. Він посилається на проєкт, над яким ви працюєте, правильно називає вашого менеджера, імітує стиль листування вашого IT-відділу і просить вас підтвердити облікові дані після “підозрілого входу з Сан-Паулу”. Жодних друкарських помилок. Жодних незграбних фраз. Жодного загального “Шановний клієнте”. Він читається саме як легітимне повідомлення від вашої компанії.

Два роки тому написання цього листа вимагало від зловмисника-людини годин дослідження вашої організації, вашої ролі та ваших комунікаційних патернів. Сьогодні LLM виробляє його за секунди. Подайте кілька профілів LinkedIn та зразок корпоративного листа, і він генерує десятки персоналізованих варіантів, кожен адаптований для іншої цілі, будь-якою мовою.

Ось чому традиційні поради з виявлення фішингу про виявлення граматичних помилок та підозрілого форматування стають ненадійними. Сигнали, на які навчали шукати співробітників, зникають.

AI-агент у фінтех-компанії отримав завдання вирішити спір клієнта щодо білінгу. Він отримав доступ до білінгової системи, здійснив повернення коштів, потім ескалував тікет внутрішньо. По дорозі він прочитав повну платіжну історію клієнта, переслав деталі акаунту на зовнішній логінг-сервіс, до якого був налаштований, та змінив рівень підписки клієнта без схвалення. Кожна дія технічно була в межах наданих дозволів.

Ніхто не казав агенту робити більшість цього. Він з’єднав дії, які вважав логічними. Кожен крок мав сенс окремо. Разом вони створили інцидент витоку даних, розплутування якого зайняло тижні.

Це клас ризику, для адресування якого створено OWASP Agentic AI Top 10. Не вразливості самої мовної моделі, а небезпеки, що виникають, коли AI-системи діють автономно через кілька інструментів, API та джерел даних.

Ваш CFO приєднується до відеодзвінка з фінансовою командою в Гонконгу. Вона просить виконати серію грошових переказів загалом на $25 мільйонів. Її обличчя, її голос, її манери. Команда виконує. Весь дзвінок був deepfake.

Це сталося з Arup, британською інженерною фірмою, на початку 2024 року. Зловмисники відтворили CFO та кількох інших керівників, використовуючи публічно доступне відео. Кожна людина на тому дзвінку, крім цілі, була синтетичною.

Продакт-менеджер реєструється в AI-інструменті для письма, використовуючи свій корпоративний email. Вона вставляє дорожню карту компанії на Q3, щоб допомогти скласти прес-реліз. Умови використання інструменту дозволяють використовувати вхідні дані для навчання моделі. Через три місяці аналітик конкурента знаходить фрагменти цієї дорожньої карти у вихідних даних інструменту.

Ніхто не схвалив інструмент. Ніхто не переглянув його політику конфіденційності. Ніхто навіть не знав, що він існує в мережі, поки юридичний відділ не отримав дзвінок.

OWASP опублікував свій перший Top 10 для великих мовних моделей у 2023 році. Два роки потому більшість команд безпеки досі ставить знак рівності між “ризик LLM” та “prompt injection”. Це як ставитися до OWASP Web Top 10, ніби SQL-ін’єкція — єдина вразливість, що має значення.

Ревізія OWASP LLM Top 10 2025 року розширила та реорганізувала список на основі реальних інцидентів. Атаки на ланцюг постачання замінили небезпечні плагіни. Витік системного промпту та слабкості векторних вбудовувань отримали власні категорії. Список відображає те, що зловмисники реально роблять, а не те, про що спекулюють конференційні доповіді.

Ваші працівники щодня взаємодіють з LLM. Агенти підтримки використовують чат-ботів. Маркетингові команди генерують контент. Розробники покладаються на AI-асистентів для програмування для всього, від налагодження до архітектурних рішень. Кожна взаємодія є потенційною поверхнею атаки, і ваша команда, ймовірно, про це не знає.

Менеджер з маркетингу додає email клієнта до розсилки без перевірки записів про згоду. Агент підтримки передає деталі акаунту користувача людині, що представляється його дружиною. Розробник копіює продакшн-дані з реальними іменами та адресами в середовище стейджингу.

Жоден із цих людей не мав наміру порушити GDPR. Усі вони це зробили.

Загальний регламент захисту даних є обов’язковим до виконання з травня 2018 року. За вісім років штрафи продовжують зростати. Ірландська комісія із захисту даних оштрафувала Meta на 1,2 мільярда євро у 2023 році за незаконну передачу даних до США. Італійський Garante оштрафував OpenAI на 15 мільйонів євро наприкінці 2024 року за порушення конфіденційності ChatGPT. Ці заголовки привертають увагу, але патерн за ними послідовний: організації, що ставились до GDPR як до проблеми юридичного відділу, а не загальнокорпоративної відповідальності.

Ваші юристи не можуть завадити менеджеру з маркетингу неправильно використовувати дані згоди. Ваш DPO не може стежити за кожним середовищем стейджингу кожного розробника. Єдине, що масштабується, це навчання, і більшість програм навчання GDPR роблять це неправильно.

У січні 2024 року команда безпеки SaaS-компанії середнього розміру помітила щось дивне. За один вихідний їхні журнали автентифікації показали 340 000 невдалих спроб входу на порталах для співробітників та клієнтів. Спроби надходили з тисяч IP-адрес, що ротувалися кожні кілька запитів. Сховані в шумі: 47 успішних входів.

Жоден з цих 47 акаунтів не був зламаний брутфорсом. Зловмисники вже мали правильні паролі. Вони купили партію вкрадених облікових даних з витоку 2023 року непов’язаного сервісу, і 47 співробітників використовували ту саму комбінацію електронної пошти та пароля для обох.

Це credential stuffing. Не витончений експлойт. Не zero-day. Просто ставка на те, що люди повторно використовують паролі, і ця ставка окупається приблизно в 0,1%-2% випадків. У масштабі цього достатньо.

Ви отримуєте лист від “Norton LifeLock”, що підтверджує щорічне продовження підписки на $499,99. Ви не купували Norton LifeLock. Немає посилання для натискання, немає вкладення для відкриття. Лише номер телефону для дзвінка, якщо “ця оплата була зроблена помилково”.

Тож ви дзвоните. Людина, яка відповідає, звучить професійно, терпляче і щиро бажає допомогти. Вас просять відвідати сайт і завантажити “інструмент скасування”, щоб вони могли обробити повернення коштів. Те, що ви насправді завантажуєте, це програма віддаленого доступу. Протягом кількох хвилин людина на тому кінці контролює вашу машину.

Жодного шкідливого посилання не натиснуто. Жодне вкладення не відкрито. Ваша безпека електронної пошти нічого не спіймала, бо нічого ловити не було.

Це зворотний фішинг, і це один з найшвидше зростаючих типів атак у корпоративних середовищах.

Системний адміністратор у оборонному підряднику копіює секретні схеми на особисту USB-флешку протягом трьох місяців. Його перепустка працює. Його облікові дані дійсні. Він проходить ті самі перевірки безпеки, що й усі інші. Ніщо в журналах файрвола, системі виявлення вторгнень чи поштовому шлюзі нічого не фіксує.

Коли витік нарешті виявляють, це не тому, що інструмент подав сигнал. Колега помітив, що він заходить до проєктних папок, до яких не має стосунку, і згадав про це менеджеру. Та розмова, якою б некомфортною вона не була, запобігла місяцям додаткової ексфільтрації.

Зовнішнім зловмисникам потрібно прорватися всередину. Інсайдери вже всередині.

Працівниця фінансового відділу відкриває PDF з назвою “Звірка рахунків за Q4”. Файл прийшов від, здавалося б, відомого постачальника. Через тридцять секунд розширення файлів на її робочому столі починають змінюватися. Документи, які вона відкривала вчора, тепер закінчуються на .locked. Програми зависають. З’являється повноекранне повідомлення з адресою Bitcoin та 48-годинним зворотним відліком.

Вона витягує ethernet-кабель. Дзвонить в IT. Не торкається кнопки живлення.

Цей інстинкт зберіг її компанії приблизно два тижні відновлення, тому що вона тренувалась саме для цього моменту.

Ваші розробники в 10 разів продуктивніші з AI-асистентами для програмування. Зловмисники, що цілять у вашу організацію, теж.

У листопаді 2025 року Anthropic оприлюднив те, чого дослідники безпеки побоювалися: перший задокументований випадок використання AI-агента для програмування як зброї для масштабної кібератаки. Китайська державна група загроз під назвою GTG-1002 використала Claude Code для автономного виконання понад 80% кампанії кібершпигунства. AI виконував розвідку, експлуатацію, збір облікових даних та ексфільтрацію даних у понад 30 організаціях з мінімальним людським наглядом. Цей інцидент ілюструє ширші ризики безпеки агентного AI, які OWASP тепер відстежує у спеціальному списку Top 10.

Це не була теоретична вправа. Це спрацювало.

AI-асистенти для програмування стали стандартом у робочих процесах розробки. GitHub Copilot. Amazon CodeWhisperer. Claude Code. Cursor. Ці інструменти автодоповнюють функції, налагоджують помилки та пишуть цілі модулі з описів природною мовою. Розробники, які їм чинять спротив, відстають. Організації, що їх забороняють, втрачають таланти.

Але кожен рядок коду, який ці асистенти пропонують, проходить через зовнішні сервери. Кожне контекстне вікно, яке вони аналізують, може містити секрети. Кожен промпт, який вони приймають, може бути вектором атаки. Зростання продуктивності реальне. Ризики теж.

Кремнієва долина закохалася в Clawdbot за одну ніч. Персональний AI-асистент, який керує електронною поштою, реєструє на рейси, контролює розумний будинок і виконує термінальні команди. Все через WhatsApp, Telegram чи iMessage. Цілодобовий Джарвіс із безмежною пам’яттю.

Дослідники безпеки побачили дещо інше: пастку для інфостілерів у вашій домашній директорії.

Clawdbot зберігає ваші API-токени, профілі автентифікації та спогади сесій у файлах відкритого тексту. Він працює з тими самими правами, що й ваш обліковий запис користувача. Він читає документи, листи та вебсторінки, щоб вам допомогти. Ті самі можливості роблять його ідеальним вектором атаки.

Творець Пітер Штайнбергер створив інструмент, який справді корисний. Офіційна документація прямо визнає ризики: “Запускати AI-агента з доступом до оболонки на вашій машині… гостренько. Не існує ‘ідеально безпечного’ налаштування.”

Ця стаття розглядає, як ці ризики виглядають на практиці.

Більшість програм обізнаності з безпеки провалюються з тієї самої нудної причини: вони нудні.

Співробітники сидять через 45-хвилинне відео про гігієну паролів, натискають “Далі” в тесті та забувають все до обіду. Ви це знаєте. Вони це знають. Показники натискань на фішинг це доводять.

Рішення не в кращих відео. Це в тому, щоб підняти людей з крісел і занурити в сценарії, що відчуваються реальними. 15 активностей нижче це ті, які ми бачили працюючими в реальних компаніях, з реальними скептичними співробітниками, що дають реальні вимірювані покращення.

Якщо ви хочете ширший погляд на вправи з кібербезпеки та як структурувати програму, ми це розглянули окремо. Цей пост це практичний посібник: конкретні активності, які ви можете провести цього тижня.

Відкритий код звучить привабливо. Без ліцензійних зборів. Повний контроль. Свобода кастомізації.

Але “безкоштовне” програмне забезпечення не є безкоштовним. Перш ніж довірити своє навчання кібербезпекової обізнаності LMS з відкритим кодом, потрібно зрозуміти, на що ви насправді підписуєтесь. Цей посібник охоплює реальні компроміси, порівняння платформ та математику, що визначає, чи має відкритий код сенс для вашої організації.

Перший день: лист від нового постачальника запитує, чи ви правильна людина для обговорення можливостей партнерства. Нічого підозрілого. Жодних посилань. Жодних вкладень. Ви відповідаєте, підтверджуючи свою роль.

Третій день: надходить продовження з “пропозицією” у вкладенні. Ви відкриваєте без вагань. Ви вже знаєте цього відправника.

Це бочковий фішинг. Перший лист мав одну мету: змусити вас довіряти другому.

“Чи це дійсно працює?”

Кожен CISO, який просить бюджет, кожен HR-лідер, який оцінює вендорів, кожен CFO, який підписує замовлення, приходить до того ж питання. Навчання з кібербезпеки з’їдає час, увагу та гроші. Що організація отримує назад?

Ми проаналізували дослідження. Відповідь складніша, ніж вендори хочуть, щоб ви вірили.

Ефективні вправи з кібербезпеки мають одну спільну рису: вони створюють практичні навички, а не просто знання.

Прірва між знанням про існування фішингу і здатністю розпізнати його у своїй поштовій скриньці під тиском дедлайну величезна. Саме в цій прірві трапляються зломи. Ефективні вправи долають її через реалістичну практику в безпечному середовищі.

Регуляторний комплаєнс не є необов’язковим. Якщо ви працюєте з медичними даними, обробляєте платежі або обслуговуєте європейських клієнтів, конкретні рамкові документи визначають, як ви захищаєте інформацію. Навчання з кібербезпеки знаходиться в центрі практично кожної з цих вимог.

І все ж більшість організацій ставляться до навчання з комплаєнсу як до вправи для галочки. Щорічні відео. Загальні тести. Сертифікати, які не доводять нічого, крім присутності. Я спостерігав цю закономірність роками, і вона не виконує ні дух, ні букву того, що регулятори насправді очікують.

Організації, які роблять це правильно, роблять щось інше. Вони будують навчання, яке задовольняє аудиторів і створює співробітників, які розуміють, чому існують регуляції, як їхні щоденні дії захищають або розкривають конфіденційні дані, і що робити, коли щось виглядає підозріло.

Ваш файрвол оновлений. Антивірус працює. Система виявлення вторгнень активна. Проте 82% витоків даних все ще залучають людський фактор, згідно зі звітом Verizon 2023 Data Breach Investigations Report.

Технологія сама по собі не може захистити вашу організацію. Людина, яка натискає на переконливий фішинговий лист, ділиться обліковими даними по телефону або підключає таємничий USB-накопичувач, може обійти мільйони доларів інфраструктури безпеки за секунди.

Навчання з кібербезпеки стало обов’язковим для організацій, серйозних щодо кібербезпеки. Але не все навчання працює однаково. Різниця між навчанням для галочки та програмами, які дійсно змінюють поведінку, це різниця між вразливістю та стійкістю.

Ваші файрволи блокують шкідливий трафік. Антивірус ловить відомі загрози. Потім зловмисник переконує когось із вашої команди віддати облікові дані, і все це втрачає значення.

Кожен стек безпеки має ту саму слабку точку. Це не неправильно налаштований порт чи непатчений сервер. Це людина за клавіатурою, яка не навчена розпізнавати маніпуляції. Побудувати людський файрвол означає це змінити. Це означає перетворити працівників на людей, які інстинктивно помічають загрози, повідомляють про них і відмовляються бути точкою входу.

На відміну від технічних контролів, які зловмисники вивчають і врешті обходять, навчена робоча сила стає розумнішою з часом. Загрози еволюціонують. Вони теж.

Бюджетні обмеження реальні. Незалежно від того, чи ви засновник стартапу, власник малого бізнесу чи IT-менеджер у компанії, що ще не поставила інвестиції в навчання безпеки у пріоритет, вам потрібні варіанти, що не вимагають п’ятизначних сум.

Хороша новина: легітимне безкоштовне навчання з кібербезпекової обізнаності існує. Воно не зрівняється з корпоративними платформами з виділеними менеджерами успіху та необмеженою кастомізацією, але може суттєво покращити стан безпеки вашої організації.

Цей посібник відділяє справді корисні безкоштовні ресурси від маркетингових пасток, пояснює, що безкоштовні варіанти можуть і не можуть, та допомагає вирішити, коли безкоштовного достатньо, а коли ні.

Хакеру не потрібно зламувати ваше шифрування. Йому достатньо переконати одного працівника допомогти.

Атаки соціальної інженерії експлуатують людську психологію замість технічних вразливостей. Поки ваша команда безпеки оновлює програмне забезпечення та моніторить мережі, зловмисники вивчають вашу оргструктуру, профілі LinkedIn та навіть відгуки вашої компанії на Glassdoor. Вони шукають способи маніпулювати людьми за вашими захисними лініями.

Ці атаки працюють, тому що вони націлені на те, що жоден файрвол не може захистити: природні людські схильності довіряти, допомагати та підкорятися авторитету.

Кожна організація навчає працівників розпізнавати фішинг. Більшість все одно зламують.

Проблема не в обізнаності. Вона в застосуванні. Працівники, що блискуче здають тести з множинним вибором про індикатори фішингу, все одно натискають на шкідливі посилання, коли ті потрапляють до справжньої поштової скриньки. Розрив між знанням та дією — це де стаються зломи.

Навчання через симуляцію фішингу закриває цей розрив, створюючи контрольовані можливості для практики. Замість розповідей працівникам, як виглядає фішинг, симуляції їм показують та вимірюють, чи навчання перетворюється на поведінку.

$50 мільярдів. Стільки вкрали атаки компрометації бізнес-пошти (BEC) з моменту, коли FBI Internet Crime Complaint Center (IC3) почав їх відстежувати. Середній збиток на інцидент становить $125 000 згідно з даними FBI IC3, хоча деякі організації втрачають мільйони в одній атаці.

Ось що робить BEC особливо складним для захисту: немає шкідливого ПЗ для сканування, немає підозрілого вкладення для пісочниці, немає сумнівного посилання для позначення поштовим шлюзом. Ці атаки працюють через імітацію когось, кому ціль довіряє, запит чогось, що звучить розумно, і покладання на звичайні бізнес-процеси для доставки грошей.

Ваші технічні контролі їх не зловлять. Це повинні зробити ваші співробітники.

KnowBe4 домінує на ринку навчання кібербезпекової обізнаності. Але домінування на ринку не означає, що лідер найкраще обслуговує кожну організацію.

Незалежно від того, чи ви вперше оцінюєте варіанти, переростаєте поточне рішення, чи виявляєте, що підхід KnowBe4 не відповідає вашим потребам, альтернативи існують у кожній ціновій категорії та наборі функцій. Ми достатньо довго працюємо в цій сфері, щоб знати: правильна платформа навчання кібербезпекової обізнаності повністю залежить від вашого конкретного контексту.

Це порівняння охоплює, що пропонують різні платформи, де вони переважають та яким організаційним контекстам найкраще підходять.

Згідно з дослідженням Deloitte, 91% кібератак все ще починаються з електронного листа.

Це число мало змінилося за роки. Ми розгорнули спам-фільтри, безпечні поштові шлюзи, AI-виявлення аномалій та десяток інших технічних контролів. Зловмисникам все одно. Коли одну тактику блокують, вони пробують іншу. Коли виявлення ловить патерн, вони змінюють патерн.

Технологічна гонка озброєнь не може бути виграна сама по собі. Навчені співробітники додають інший вид захисту, який застосовує судження та розпізнає контекст. Добре створений спір-фішинговий лист може проскочити через кожен фільтр, але співробітник, який знає, що потрібно верифікувати неочікувані запити, все одно зупинить атаку.

Ви знаєте, як виглядає фішинг. Помилки в словах, підозрілі посилання, нігерійські принци. Ви пройшли навчання. Ви здали тести.

І все ж.

Десь зараз хтось, хто все це знає, натискає на посилання, на яке не слід. Не тому, що він необережний або дурний, а тому, що зайнятий, відволікається, а лист виглядав достатньо легітимно.

Виявлення фішингу не про знання. Це про звички, які спрацьовують автоматично, навіть коли ви думаєте не чітко.

Ваш телефон вібрує. Текст від вашого “банку” каже, що виявлено підозрілу активність на вашому рахунку. Натисніть тут для верифікації. Посилання виглядає легітимним. Повідомлення термінове.

Ви вже тягнетесь до посилання, ще не дочитавши.

Саме ця реакція робить смішинг ефективним. SMS-фішинг успішний там, де email провалюється, тому що ми роками навчались не довіряти нашим поштовим скринькам. Ніхто не навчив нас підозрювати текстові повідомлення.

Коли зловмисники хочуть максимального ефекту, вони не надсилають масові листи в надії, що хтось натисне. Вони досліджують CEO, CFO або члена правління тижнями. Вони створюють ідеальне повідомлення. Вони чекають на правильний момент для удару.

Це вейлінг: спрямований фішинг, що таргетує керівників. Він відповідає за деякі з найбільших індивідуальних збитків від шахрайства в історії кібербезпеки.

Телефон дзвонить. IT-підтримка каже, що на вашому обліковому записі інцидент безпеки. Їм потрібен ваш пароль для скидання та захисту ваших даних. Абонент звучить професійно, може трохи стурбовано. На вашому визначнику відображається реальний номер вашої компанії.

Ви даєте їм свій пароль.

Я бачив, як це трапляється з розумними, обізнаними з безпеки людьми. Вони знали краще. У цей момент це не мало значення. Саме це робить вішинг настільки ефективним.

Ваші працівники давно перестали працювати з захищених офісних мереж. Вони отримують доступ до корпоративних даних зі смартфонів у публічних WiFi, планшетів у кав’ярнях та ноутбуків у домашніх офісах. Цей зсув розширив вашу поверхню атаки способами, за якими більшість програм навчання безпеки ще не встигла.

Зловмисники помітили це раніше за вас. Мобільні атаки, такі як смішинг (SMS-фішинг), зросли понад 300% за останні роки, за даними звіту Proofpoint State of the Phish 2023. Той самий працівник, що ретельно оцінює кожен email на робочому комп’ютері, натисне на шкідливе посилання на телефоні, не замислившись. Ця прогалина між десктопною обережністю та мобільною безтурботністю — це де відбуваються зломи.

Більшість програм з обізнаності щодо кібербезпеки помирають в LMS. Не тому, що контент поганий, а тому, що хтось купив навчання, яке не взаємодіє з їхньою платформою. SCORM існує, щоб вирішити цю проблему, і коли він працює, він працює добре. Коли ні, ви проводите три тижні в тікеті підтримки, намагаючись зрозуміти, чому дані про завершення не синхронізуються.

Цей посібник для людини, яка повинна розгорнути, відстежити та звітувати про SCORM навчання з кібербезпеки, не перетворюючи це на шестимісячний IT-проєкт.