Тренінги з кібербезпеки для неприбуткових організацій

Інтерактивні симуляції для персоналу неприбуткових організацій, волонтерів та розподілених команд. BEC з донорськими коштами, шахрайство з подарунковими картками, ransomware на малих НУО та фішинг для облікових даних донорських баз даних, відкалібровані для команд з обмеженим бюджетом, які несуть значну довіру донорів.

Чому неприбуткові несуть довіру донорів, на яку націлюються зловмисники

Неприбуткові організації мають те, чого хочуть зловмисники, і те, що уважно стежать донори: довіру донорів. Інцидент з ransomware на Blackbaud у 2020 році розкрив записи донорів у тисячах благодійних організацій, музеїв та університетів, а репутаційні наслідки досягли кожного річного звіту та грантової заявки, що послідували. Зловмисники продовжують націлюватися на пік пожертв наприкінці року, кампанії з реагування на катастрофи та будь-який момент, коли пожертви зростають, а персонал розтягнутий.

Більшість неприбуткових працюють як PCI Level 4 продавці для онлайн-пожертв, зберігають міжнародні дані донорів, що підпадають під GDPR, і підпадають під правила штатів про реєстрацію благодійних організацій, які все частіше вимагають повідомлення про порушення. Великі фонди, такі як Gates і Ford, чітко включають положення про конфіденційність даних донорів у грантові угоди. Очікування тренінгів існує, навіть коли бюджет його не передбачає.

RansomLeak пропонує тренінги, що відповідають реаліям розподілених, підтримуваних волонтерами, часто недофінансованих команд. Інтерактивні 3D-симуляції відпрацьовують рішення, які захищають довіру донорів: відмова від запиту на подарункову карту від "CEO", верифікація зміни рахунка постачальника перед перенаправленням коштів, розпізнавання фішингового листа, націленого на ваші CRM-облікові дані, та повідомлення про підозрюване порушення в межах вікон повідомлення штатів.

Загрози, специфічні для неприбуткових організацій

BEC з донорськими коштами та перенаправлення переказів

Зловмисники моніторять публічні каталоги фондів і видають себе за виконавчих директорів під час пожертв наприкінці року та кампаній реагування на катастрофи. Один перенаправлений переказ може знищити квартальну ціль збору коштів. Фінансовому персоналу та персоналу з розвитку потрібна сценарна практика, а не загальні нагадування про антифішинг.

Шахрайство з подарунковими картками проти молодшого персоналу та волонтерів

Текстове повідомлення "швидка послуга" від виконавчого директора з проханням про подарункові карти Amazon або Apple це одне з найпоширеніших шахрайств проти неприбуткових. Молодший персонал та волонтери, які рідко взаємодіють з керівництвом, є типовими цілями і потребують явних шаблонів відмови.

Шахрайство з рахунками постачальників проти невеликих AP-команд

Багато неприбуткових ведуть рахунки до сплати з одним або двома співробітниками та обмеженим розподілом обовʼязків. Зловмисники компрометують поштові скриньки постачальників та подають змінені банківські реквізити. Тренінг відпрацьовує верифікацію поза каналом перед будь-якою банківською зміною.

Фішинг для облікових даних донорських баз даних

Логіни Blackbaud, Salesforce NPSP, Bloomerang та Donor Perfect це цілі високої цінності. Скомпрометована CRM-сесія може ексфільтрувати записи донорів, платіжні інструменти та графіки внесків. Персоналу з розвитку потрібна дисципліна MFA та грамотність з фішингу.

Програми-вимагачі на малих НУО з тонкими резервними копіями

Малі неприбуткові часто ведуть необслуговувані резервні копії в одній мережі з продакшеном. Ransomware, який шифрує і те, і інше, припиняє грантові цикли та комунікацію з донорами на тижні. Культура звітування персоналу часто є єдиним раннім попередженням.

Фреймворки відповідності, які охоплює ця сторінка

Відповідність регуляціям, що визначають більшість рішень про закупівлю в галузі неприбуткових організацій.

PCI DSS для онлайн-пожертв

Більшість неприбуткових, що приймають онлайн-пожертви, кваліфікуються як PCI Level 4 продавці. PCI DSS Requirement 12.6 вимагає формальної програми обізнаності з безпеки з документально оформленим навчанням для всього персоналу з доступом до даних утримувачів карт.

GDPR для міжнародних даних донорів

Неприбуткові з донорами з ЄС є контролерами GDPR. Article 32 (безпека обробки) та Article 39 (обовʼязки DPO) впливають на очікування тренінгів персоналу, особливо щодо обробки DSAR та повідомлення про порушення.

Читати статтю

Закони штатів про повідомлення про порушення

Усі 50 штатів США мають статути про повідомлення про порушення, і неприбуткові не звільнені. Кілька штатів додають очікування щодо конфіденційності даних реєстрації благодійних організацій. Тренінг сприяє правильному, своєчасному звітуванню про інциденти.

Положення про дані фондів та грантів

Великі фонди, такі як Gates, Ford та MacArthur, включають положення про конфіденційність даних донорів та повідомлення про порушення в грантові угоди. Фонди все частіше запитують докази тренінгів при поновленні.

Правила IRS для даних збору коштів

IRS Form 990 та супутні керівництва підштовхують неприбуткові до документально оформлених практик обробки даних. Тренінги з обізнаності персоналу це фундамент, що робить ці практики дієвими.

Підібрані вправи для галузі неприбуткових організацій

Вибрано з каталогу 100+ вправ і пріоритезовано саме для цієї галузі.

Компрометація ділової електронної пошти

Перенаправлення донорських коштів та шахрайство з рахунками постачальників це шахрайства з найвищим впливом проти неприбуткових. Адаптовано для фінансового персоналу, персоналу з розвитку та операцій.

Читати посібник

Виявлення фішингових листів

Облікові дані донорських баз даних (Blackbaud, Salesforce NPSP, Bloomerang) це цілі високої цінності. Це фундаментальна вправа для кожного співробітника та активного волонтера.

Читати посібник

Vishing (голосовий фішинг)

Розподілені та з великою кількістю волонтерів команди приймають більше холодних дзвінків. Практика охоплює видавання себе за постачальника, тиск терміновості та шаблони відмови.

Читати посібник

Захист від соціальної інженерії

Шахрайство з подарунковими картками та претекст "швидкої послуги" націлюється на молодший персонал та волонтерів. Сценарна практика дає їм мову відмови.

Читати посібник

Налаштування MFA та push fatigue

CRM та облікові записи донорських баз даних потребують сильної дисципліни другого фактора. Багато неприбуткових впроваджують MFA непослідовно і потребують підтримки персоналу.

Читати посібник

Реагування на ransomware у першу годину

Малі НУО з тонкими резервними копіями страждають непропорційно від ransomware. Вправа відпрацьовує раннє звітування та рішення щодо стримування, які виграють час на відновлення.

Читати посібник

Переглянути повний каталог 100+ вправ

Загрози, які охоплює ця програма

Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.

Phishing

Business Email Compromise

Social Engineering

Поширені запитання

Чи пропонуєте ви ціни для неприбуткових?

Так. RansomLeak пропонує знижені ціни для зареєстрованих 501(c)(3) та еквівалентних міжнародних неприбуткових організацій. Місця волонтерів обслуговуються окремо, тож ви платите лише за персонал та активних довгострокових волонтерів, а не за кожного помічника одноденного заходу.

Як це допомагає під час пожертв наприкінці року?

Пожертви наприкінці року це піковий сезон BEC. Зловмисники знають, що команди фінансів та розвитку розтягнуті, і видають себе за керівників, постачальників та великих донорів. Вправа з BEC відпрацьовує дисципліну верифікації переказів, що захищає надходження грудня та січня.

Чи можуть волонтери проходити тренінги?

Так. SCORM-пакети працюють у будь-якій LMS, а автономна хмарна платформа підтримує облікові записи волонтерів зі зменшеним опором при підключенні. Призначення для волонтерів охоплюють шахрайство з подарунковими картками, соціальну інженерію та базовий фішинг без вимоги повного навчального плану персоналу.

Як це задовольняє положення грантових угод про навчання?

Грантові угоди від Gates, Ford, MacArthur та аналогічних фондів часто вимагають документально оформлених тренінгів. RansomLeak надає записи проходження по кожному співробітнику, бали та карти охоплення тем у форматах, які фонди приймають при поновленні та аудиті.

А як щодо міжнародних даних донорів та GDPR?

Неприбуткові з донорами з ЄС є контролерами GDPR. Каталог охоплює реагування на порушення GDPR, обробку DSAR, обізнаність про транскордонну передачу та управління згодою. Аудиторські докази узгоджуються з очікуваннями Article 32 та Article 39.

Чи інтегрується це з нашою LMS?

Кожна вправа експортується як SCORM 1.2 і 2004 пакети, протестована з понад 50 LMS, включаючи Cornerstone, Workday, Moodle, Canvas та LMS-модулі в Salesforce NPSP. Для неприбуткових без LMS автономна хмарна платформа пропонує SSO, MFA та готову для аудиту звітність.

Як часто персонал та волонтери неприбуткової повинні проходити тренінги?

PCI DSS Requirement 12.6 вимагає тренінгу при наймі плюс щорічного оновлення. Більшість неприбуткових проводять повне оновлення раз на рік плюс короткі мікромодулі перед піковими вікнами збору коштів та після публічних бюлетенів про інциденти. RansomLeak підтримує обидва ритми.

Першоджерела

Цитовані вище.

Nonprofit Tech for Good Report (Annual Tech Survey) — NTEN (Nonprofit Technology Network)
Cybersecurity Working Group — NetHope
Cybersecurity Resources for Nonprofit Organizations — CISA
Cybersecurity for Small Organizations and Nonprofits — National Cybersecurity Alliance (StaySafeOnline)
Security Tools and Resources for Nonprofits — Microsoft Philanthropies / Microsoft for Nonprofits
2024 Data Breach Investigations Report (Public Administration and Other Services) — Verizon
TechSoup Cybersecurity Resources for Nonprofits — TechSoup

Дотичні матеріали

Подивіться RansomLeak в дії

Спробуйте безкоштовні вправи або замовте демо, щоб побачити аналітику, експорт SCORM, SSO та індивідуальний контент у вашому середовищі.

Замовити демо Спробувати безкоштовні вправи

Тренінги з кібербезпеки для неприбуткових організацій

Чому неприбуткові несуть довіру донорів, на яку націлюються зловмисники

Загрози, специфічні для неприбуткових організацій

BEC з донорськими коштами та перенаправлення переказів

Шахрайство з подарунковими картками проти молодшого персоналу та волонтерів

Шахрайство з рахунками постачальників проти невеликих AP-команд

Фішинг для облікових даних донорських баз даних

Програми-вимагачі на малих НУО з тонкими резервними копіями

Фреймворки відповідності, які охоплює ця сторінка

PCI DSS для онлайн-пожертв

GDPR для міжнародних даних донорів

Закони штатів про повідомлення про порушення

Положення про дані фондів та грантів

Правила IRS для даних збору коштів

Підібрані вправи для галузі неприбуткових організацій

Компрометація ділової електронної пошти

Виявлення фішингових листів

Vishing (голосовий фішинг)

Захист від соціальної інженерії

Налаштування MFA та push fatigue

Реагування на ransomware у першу годину

Загрози, які охоплює ця програма

Phishing

Business Email Compromise

Social Engineering

Поширені запитання

Чи пропонуєте ви ціни для неприбуткових?

Як це допомагає під час пожертв наприкінці року?

Чи можуть волонтери проходити тренінги?

Як це задовольняє положення грантових угод про навчання?

А як щодо міжнародних даних донорів та GDPR?

Чи інтегрується це з нашою LMS?

Як часто персонал та волонтери неприбуткової повинні проходити тренінги?

Першоджерела

Дотичні матеріали

Тренінги з компрометації ділової електронної пошти

Посібник з тренінгів симуляції фішингу

Тренінги з обізнаності щодо програм-вимагачів для співробітників

Безкоштовні ресурси з тренінгів обізнаності з безпеки

Посібник з тренінгів обізнаності з безпеки

Подивіться RansomLeak в дії