Чи працює навчання з кібербезпеки? Дослідження ROI

“Чи це дійсно працює?”

Кожен CISO, який просить бюджет, кожен HR-лідер, який оцінює вендорів, кожен CFO, який підписує замовлення, приходить до того ж питання. Навчання з кібербезпеки з’їдає час, увагу та гроші. Що організація отримує назад?

Ми проаналізували дослідження. Відповідь складніша, ніж вендори хочуть, щоб ви вірили.

Так. Навчання з кібербезпеки працює. Але більшість із них не працює.

Дослідження проводять чітку лінію між активним, навчанням на основі симуляцій і пасивним контентом (відео, слайд-шоу, щорічні модулі відповідності). Активне навчання дає реальну зміну поведінки. Пасивне навчання дає сертифікати завершення і мало чого іншого.

Це не тонка різниця. Організації з програмами на основі симуляцій бачать зниження сприйнятливості до фішингу на 50-80%. Організації, що покладаються на пасивний контент, бачать покращення на одиниці відсотків, які випаровуються протягом тижнів. Той самий рядок бюджету. Радикально різні результати.

Найбільш дивним у даних є не те, що навчання працює. А те, наскільки погано більшість організацій його проводять.

Дослідження, варті уваги, не опитування про те, чи люди “відчувають себе більш обізнаними”. Вони відстежували, що працівники фактично робили, коли фішинговий лист з’являвся.

Aberdeen відстежував 300+ організацій протягом двох років, порівнюючи ті, що мали формальні програми навчання з кібербезпеки, з тими, що не мали.

Результати були разючими. Організації з навчанням мали на 70% менше інцидентів безпеки і в середньому 5x ROI на вартість програми. Але деталі важливі: найбільші здобутки прийшли від фішингових симуляцій, а не від відео-контенту. Організації з програмами тільки на відео ледь перевершували ті, що не мали програм взагалі.

Ponemon опитав 1 200 IT та безпекових фахівців щодо ефективності навчання, і результати чітко розділились за типом навчання.

Інтерактивні симуляції: 72% повідомили про вимірюване покращення. Гейміфіковане навчання: 68%. Традиційне електронне навчання: 23%.

Розрив погіршується з часом. Навчання тільки раз на рік не показало тривалої зміни поведінки незалежно від формату. Загальний контент без рольової кастомізації відставав від кастомізованих програм на 40%. Якщо ви купуєте готовий контент і запускаєте його раз на рік, ви по суті жертвуєте гроші.

Національний інститут стандартів і технологій опублікував дані про сприйнятливість до фішингу по федеральних агентствах. До навчання середній показник кліків на симульований фішинг становив 33%. Середній показник звітів був 11%.

Після 12 місяців навчання на основі симуляцій показники кліків впали до 4%, а показники звітів зросли до 67%.

Ось число, яке повинно турбувати кожну організацію, орієнтовану на відповідність: агентства, які використовували тільки навчання на основі відповідності, бачили падіння показників кліків до 28% та відновлення до 31% протягом трьох місяців. Вони витратили гроші. Вони поставили галочку. Вони майже нічого не отримали назад.

Дослідження Carnegie Mellon щодо психологічної безпеки виявило, що середовища без звинувачень давали в 3 рази більше повідомлень про інциденти. Звіт IBM Cost of a Data Breach за 2023 рік підтвердив фінансову сторону: 74% зломів залучають людський елемент, і організації з навченим персоналом заощаджують в середньому $232 867 за інцидент.

П’ять джерел, не п’ятдесят. Але вони вказують в одному напрямку, і розміри ефектів достатньо великі, щоб ставитись серйозно.

Дослідження постійно повертаються до тієї ж проблеми: знання та поведінка — це не одне й те саме.

Працівники, які завершили навчання на основі відео, можуть блискуче скласти тест на індикатори фішингу. Але коли добре створений фішинговий лист приходить під час напруженого вівторка, знання з тесту не активуються. Працівник думає про дедлайн, а не про навчання, яке дивився три місяці тому.

Розпізнавання фішингового листа під тиском — це навичка, як розпізнавання фальшивої банкноти або виявлення кишенькового злодія. Навички вимагають повторення для розвитку. Ви б не дали комусь буклет про плавання і штовхнули в океан. Але саме це щорічне відео-навчання робить для фішингового захисту.

Є також проблема уваги. Показники завершення відео виглядають чудово, тому що працівники прогортають, одночасно займаючись іншою роботою. LMS каже, що вони завершили модуль. Їхній мозок був на іншій нараді.

І деградація пам’яті жорстока. Без закріплення навчальний контент зникає протягом 30-90 днів. Щорічне навчання створює короткий сплеск обізнаності, за яким слідує 11 місяців відкритого сезону.

Кожне значне дослідження приходить сюди. Фішингова симуляція — єдине найефективніше втручання. Не тому, що вона примхлива, а тому, що вона створює реальну практику розпізнавання реально виглядаючих загроз з негайним зворотним зв’язком, коли ви помиляєтесь.

Щомісячні симуляції як мінімум. Щоквартально недостатньо. Прогресивна складність у міру покращення працівників. Некаральний зворотний зв’язок у момент невдачі. І, критично, відстежуйте метрики звітування, а не тільки уникнення кліків. Працівник, який не натискає, але і не повідомляє, захистив лише себе. Працівник, який повідомляє, захищає всю організацію. Більше про це в нашому розборі вправ з кібербезпеки.

Загальне навчання марнує час кожного. Вашій фінансовій команді потрібне розпізнавання BEC та сценарії перевірки банківських переказів. Вашим керівникам потрібна обізнаність про вейлінг та розпізнавання експлуатації авторитету. Вашому IT-персоналу потрібен захист від соціальної інженерії та практика управління привілеями.

Дані Ponemon показали, що кастомізований контент перевершує загальний на 40%. Це не маргінально. Якщо ви запускаєте однакові заходи з безпеки для маркетингового стажера та CFO, ви залишаєте більшість свого ризику без уваги.

Навіть хороше навчання деградує. Дослідження показують, що обізнаність повертається до базового рівня протягом 90 днів без закріплення. Один щорічний захід, яким би добре він не був розроблений, — це тимчасове рішення.

Ефективні програми нашаровують точки контакту протягом року. Щомісячні фішингові симуляції. Короткі щотижневі нагадування про безпеку. Щоквартальні вправи на основі сценаріїв. Щорічне комплексне оновлення. Це не про більше годин навчання. Це про підтримку нейронних шляхів активними. Наш посібник з навчання з кібербезпеки детально розглядає частоту впровадження.

Це нас здивувало. Організації, які карають працівників за невдачі в симуляціях, фактично отримують гірші результати з часом. Працівники вчаться приховувати помилки замість того, щоб повідомляти про них. Вони діляться попередженнями про симуляції одне з одним. Вони обігрують систему.

Carnegie Mellon виявив, що середовища без звинувачень давали в 3 рази більше повідомлень про інциденти. Оскільки раннє виявлення обмежує шкоду від злому, культура людського файрвола, яка заохочує звітування, безпосередньо зменшує вартість інцидентів безпеки.

Це розділ, який має значення, коли ви сидите навпроти CFO. Пропустіть абстракції. Ось цифри.

Звіт IBM Cost of a Data Breach за 2023 рік є стандартним довідником. Середня вартість злому: $4,45 мільйони. Зломи із залученням людського елементу: 74%. Середнє зниження вартості з навченим персоналом: $232 867.

Для типової корпоративної програми з можливостями симуляцій:

Щорічна вартість на працівника: $15-50, залежно від платформи та функцій. Адміністративний час: 2-4 години щомісяця на управління програмою. Час працівників: 2-4 години щорічно на завершення навчання.

Щорічна інвестиція в навчання: $15 000-50 000. Очікуване зниження ймовірності злому: 50-70%. Очікуване уникнення витрат на основі ймовірності злому та даних про вартість: $1,6-2,3 мільйони.

Це 30-150x повернення інвестицій. Але тільки якщо програма включає активні елементи на зразок фішингової симуляції. Програми тільки з пасивним контентом не покращують поведінку достатньо для виправдання витрат. Якщо ваш поточний вендор не може показати вам дані про зміну поведінки (а не дані про завершення), можливо ви в пасивній категорії, не усвідомлюючи цього.

Навчання, розроблене для галочки регуляторних вимог без зміни поведінки, дає високі показники завершення (єдина метрика, яку хтось відстежує), жодної вимірюваної зміни поведінки, хибну впевненість та продовження вразливості до базових атак. Ці програми існують для задоволення аудиторів, а не для захисту організацій.

Політики “три страйки і ви звільнені” за невдачі в симуляціях виглядають жорстко на папері. На практиці вони дають зменшення повідомлень про реальні інциденти, поведінку обігрування, образу на функцію безпеки та нульове покращення в фактичному розпізнаванні загроз. Ви навчаєте працівників боятися команди безпеки, а не зловмисників.

Дослідження тут одностайні. Щорічне навчання дає тимчасовий сплеск обізнаності, що деградує протягом тижнів. Організації зі щорічними програмами бачать майже нульове стійке покращення. Це еквівалент ходити в спортзал кожного 2 січня.

Навчання, зосереджене на тому, як атаки працюють технічно (інспекція пакетів, аналіз шкідливого ПЗ), не влучає в ціль. Працівники повинні розпізнавати загрози, а не реверс-інженерити їх. Збережіть технічні глибокі занурення для команди безпеки.

Напрямок тренду важливіший за будь-який окремий знімок. 20% показник кліків, що стабільно падає протягом шести місяців, розповідає кращу історію, ніж 10% показник, що зростає. Також відстежуйте варіацію між відділами, реакцію на нові типи атак та загальний обсяг інцидентів безпеки.

Показник завершення навчання вимірює відповідність, а не ефективність. Бали тестів вимірюють запам’ятовування, а не розпізнавання під тиском. Опитування задоволеності кажуть, що працівникам сподобалось навчання, а не що воно спрацювало. Якщо це єдині цифри, які ваш вендор звітує, задавайте складніші питання.

Запустіть базову фішингову симуляцію до будь-якого навчання. Вам потрібна відправна точка, інакше ви ніколи не доведете покращення. Потім впровадьте щомісячні симуляції з негайним зворотним зв’язком, додайте рольовий контент для ваших груп найвищого ризику та відстежуйте показники кліків плюс показники звітування щомісяця. Прагніть до 50% покращення за перший рік. Якщо ваш вендор не може зобов’язатись до цієї цілі, досліджуйте безкоштовні варіанти навчання як відправну точку та оновіть, коли матимете обґрунтування бюджету.

Ймовірна проблема — одна з трьох речей: надто пасивна, надто рідка або надто загальна. Проаудитуйте вашу поточну програму проти дослідницьких показників вище. Якщо у вас немає компоненту симуляцій, додайте його. Якщо ви проводите щоквартально або щорічно, збільште до щомісячно. Якщо кожен отримує однаковий контент незалежно від ролі, кастомізуйте.

При запиті інвестицій формулюйте все навколо зниження ймовірності злому, а не формальної відповідності. Керуйте метриками зміни поведінки, а не показниками завершення. Приносьте показники рівних організацій. Порівнюйте вартість на працівника з витратами на злом. CFO не цікавить обізнаність. CFO цікавить ризик-скоригована вартість.

Більшість програм навчання з кібербезпеки провалюються. Не тому, що концепція помилкова, а тому, що виконання ліниве. Відео-модулі та щорічні тести існують для задоволення вимог відповідності, а не для зміни того, як люди поводяться, коли фішинговий лист потрапляє в їхню скриньку.

Програми, які працюють, мають три спільні риси: вони створюють практику замість лекцій, працюють безперервно замість щорічно та кастомізують замість узагальнення. Дослідження з цього приводу не є двозначними.

Якщо ваша навчальна програма дає сертифікати завершення, але ваші показники кліків на фішинг не зрушили, у вас не проблема з навчанням. У вас проблема з навчальною програмою. Рішення не в тому, щоб робити більше того ж самого. Це принципово інший підхід.

Відчуйте різницю між пасивним контентом та активним навчанням. Спробуйте наші безкоштовні вправи Фішинг, Соціальна інженерія або Компрометація ділової пошти та відчуйте навчання на основі симуляцій на власному досвіді. Перегляньте наш повний каталог навчання з 60+ інтерактивними вправами.