Skip to main content

Навігація

Каталог

Обізнаність з безпеки Конфіденційність і відповідність Безпека AI та LLM Реальні інциденти

За галуззю

Охорона здоровʼя Фінансові послуги Державний сектор Виробництво Рітейл і e-commerce Освіта Юридичні послуги SaaS і технології MSP-провайдери Неприбуткові організації

За сценарієм

Онбординг співробітників Щорічний комплаєнс Готовність до кіберстрахування Підготовка до аудиту Віддалена команда Підрядники і вендори Репетиція реагування M&A діліджнс Міграція LMS Звітування для ради

Бібліотека загроз

Фішинг Програми-вимагачі Deepfake Соціальна інженерія Компрометація листування AI Prompt Injection

Продукт

Можливості SCORM FAQ

Ресурси

Блог Глосарій Посібник для CISO Карта відповідності Безкоштовні вправи Специфікація продукту

Компанія

Про нас Партнерство Порівняння вендорів Контакти

Правова інформація

Безпека та відповідність Політика конфіденційності Умови використання
English Українська
Замовити демо
Для неприбуткових

Тренінги з кібербезпеки для неприбуткових організацій

Інтерактивні симуляції для персоналу неприбуткових організацій, волонтерів та розподілених команд. BEC з донорськими коштами, шахрайство з подарунковими картками, ransomware на малих НУО та фішинг для облікових даних донорських баз даних, відкалібровані для команд з обмеженим бюджетом, які несуть значну довіру донорів.

Автор Перевірено

Чому неприбуткові несуть довіру донорів, на яку націлюються зловмисники

Неприбуткові організації мають те, чого хочуть зловмисники, і те, що уважно стежать донори: довіру донорів. Інцидент з ransomware на Blackbaud у 2020 році розкрив записи донорів у тисячах благодійних організацій, музеїв та університетів, а репутаційні наслідки досягли кожного річного звіту та грантової заявки, що послідували. Зловмисники продовжують націлюватися на пік пожертв наприкінці року, кампанії з реагування на катастрофи та будь-який момент, коли пожертви зростають, а персонал розтягнутий.

Більшість неприбуткових працюють як PCI Level 4 продавці для онлайн-пожертв, зберігають міжнародні дані донорів, що підпадають під GDPR, і підпадають під правила штатів про реєстрацію благодійних організацій, які все частіше вимагають повідомлення про порушення. Великі фонди, такі як Gates і Ford, чітко включають положення про конфіденційність даних донорів у грантові угоди. Очікування тренінгів існує, навіть коли бюджет його не передбачає.

RansomLeak пропонує тренінги, що відповідають реаліям розподілених, підтримуваних волонтерами, часто недофінансованих команд. Інтерактивні 3D-симуляції відпрацьовують рішення, які захищають довіру донорів: відмова від запиту на подарункову карту від "CEO", верифікація зміни рахунка постачальника перед перенаправленням коштів, розпізнавання фішингового листа, націленого на ваші CRM-облікові дані, та повідомлення про підозрюване порушення в межах вікон повідомлення штатів.

Загрози, специфічні для неприбуткових організацій

1

BEC з донорськими коштами та перенаправлення переказів

Зловмисники моніторять публічні каталоги фондів і видають себе за виконавчих директорів під час пожертв наприкінці року та кампаній реагування на катастрофи. Один перенаправлений переказ може знищити квартальну ціль збору коштів. Фінансовому персоналу та персоналу з розвитку потрібна сценарна практика, а не загальні нагадування про антифішинг.

2

Шахрайство з подарунковими картками проти молодшого персоналу та волонтерів

Текстове повідомлення "швидка послуга" від виконавчого директора з проханням про подарункові карти Amazon або Apple це одне з найпоширеніших шахрайств проти неприбуткових. Молодший персонал та волонтери, які рідко взаємодіють з керівництвом, є типовими цілями і потребують явних шаблонів відмови.

3

Шахрайство з рахунками постачальників проти невеликих AP-команд

Багато неприбуткових ведуть рахунки до сплати з одним або двома співробітниками та обмеженим розподілом обовʼязків. Зловмисники компрометують поштові скриньки постачальників та подають змінені банківські реквізити. Тренінг відпрацьовує верифікацію поза каналом перед будь-якою банківською зміною.

4

Фішинг для облікових даних донорських баз даних

Логіни Blackbaud, Salesforce NPSP, Bloomerang та Donor Perfect це цілі високої цінності. Скомпрометована CRM-сесія може ексфільтрувати записи донорів, платіжні інструменти та графіки внесків. Персоналу з розвитку потрібна дисципліна MFA та грамотність з фішингу.

5

Програми-вимагачі на малих НУО з тонкими резервними копіями

Малі неприбуткові часто ведуть необслуговувані резервні копії в одній мережі з продакшеном. Ransomware, який шифрує і те, і інше, припиняє грантові цикли та комунікацію з донорами на тижні. Культура звітування персоналу часто є єдиним раннім попередженням.

Фреймворки відповідності, які охоплює ця сторінка

Відповідність регуляціям, що визначають більшість рішень про закупівлю в галузі неприбуткових організацій.

PCI DSS для онлайн-пожертв

Більшість неприбуткових, що приймають онлайн-пожертви, кваліфікуються як PCI Level 4 продавці. PCI DSS Requirement 12.6 вимагає формальної програми обізнаності з безпеки з документально оформленим навчанням для всього персоналу з доступом до даних утримувачів карт.

GDPR для міжнародних даних донорів

Неприбуткові з донорами з ЄС є контролерами GDPR. Article 32 (безпека обробки) та Article 39 (обовʼязки DPO) впливають на очікування тренінгів персоналу, особливо щодо обробки DSAR та повідомлення про порушення.

Читати посібник

Закони штатів про повідомлення про порушення

Усі 50 штатів США мають статути про повідомлення про порушення, і неприбуткові не звільнені. Кілька штатів додають очікування щодо конфіденційності даних реєстрації благодійних організацій. Тренінг сприяє правильному, своєчасному звітуванню про інциденти.

Положення про дані фондів та грантів

Великі фонди, такі як Gates, Ford та MacArthur, включають положення про конфіденційність даних донорів та повідомлення про порушення в грантові угоди. Фонди все частіше запитують докази тренінгів при поновленні.

Правила IRS для даних збору коштів

IRS Form 990 та супутні керівництва підштовхують неприбуткові до документально оформлених практик обробки даних. Тренінги з обізнаності персоналу це фундамент, що робить ці практики дієвими.

Підібрані вправи для галузі неприбуткових організацій

Вибрано з каталогу 100+ вправ і пріоритезовано саме для цієї галузі.

Компрометація ділової електронної пошти

Перенаправлення донорських коштів та шахрайство з рахунками постачальників це шахрайства з найвищим впливом проти неприбуткових. Адаптовано для фінансового персоналу, персоналу з розвитку та операцій.

Спробувати вправу

Виявлення фішингових листів

Облікові дані донорських баз даних (Blackbaud, Salesforce NPSP, Bloomerang) це цілі високої цінності. Це фундаментальна вправа для кожного співробітника та активного волонтера.

Спробувати вправу

Vishing (голосовий фішинг)

Розподілені та з великою кількістю волонтерів команди приймають більше холодних дзвінків. Практика охоплює видавання себе за постачальника, тиск терміновості та шаблони відмови.

Спробувати вправу

Захист від соціальної інженерії

Шахрайство з подарунковими картками та претекст "швидкої послуги" націлюється на молодший персонал та волонтерів. Сценарна практика дає їм мову відмови.

Спробувати вправу

Налаштування MFA та push fatigue

CRM та облікові записи донорських баз даних потребують сильної дисципліни другого фактора. Багато неприбуткових впроваджують MFA непослідовно і потребують підтримки персоналу.

Спробувати вправу

Реагування на ransomware у першу годину

Малі НУО з тонкими резервними копіями страждають непропорційно від ransomware. Вправа відпрацьовує раннє звітування та рішення щодо стримування, які виграють час на відновлення.

Спробувати вправу
Переглянути повний каталог 100+ вправ

Загрози, які охоплює ця програма

Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.

Phishing

Business Email Compromise

Social Engineering

Що таке тренінги з обізнаності з кібербезпеки для неприбуткових організацій?

Тренінги з обізнаності з кібербезпеки для неприбуткових це структурована програма, що готує персонал та волонтерів захищати довіру донорів, дані донорів та кошти, від яких залежить місія. Вона задовольняє PCI DSS Requirement 12.6, очікування GDPR Article 32 для міжнародних даних донорів та документацію щодо повідомлення про порушення штатів. Охоплення націлене на загрози, що вражають неприбуткові: BEC з донорськими коштами, шахрайство з подарунковими картками, шахрайство з рахунками постачальників та ransomware на мережах з тонкими резервними копіями.

На практиці неприбуткові потребують тренінгів, відкаліброваних під реалії сектора: розподілені команди, велика участь волонтерів, тонкі AP-команди та бюджети, що конкурують з програмними витратами. Інцидент з ransomware на Blackbaud у 2020 році показав, що навіть добре забезпечені благодійні організації вразливі, коли треті постачальники зазнають невдачі.

RansomLeak пропонує релевантні для неприбуткових тренінги через інтерактивні 3D-симуляції, а не пасивні відео. Платформа експортує SCORM 1.2 та 2004 пакети для будь-якої LMS, надає аудиторські докази PCI, GDPR та регуляторів штатів та пропонує ціни, що відповідають бюджетам неприбуткових.

Часті запитання

Що найчастіше запитують покупці у галузі неприбуткових організацій.

Чи пропонуєте ви ціни для неприбуткових?

Так. RansomLeak пропонує знижені ціни для зареєстрованих 501(c)(3) та еквівалентних міжнародних неприбуткових організацій. Місця волонтерів обслуговуються окремо, тож ви платите лише за персонал та активних довгострокових волонтерів, а не за кожного помічника одноденного заходу.

Як це допомагає під час пожертв наприкінці року?

Пожертви наприкінці року це піковий сезон BEC. Зловмисники знають, що команди фінансів та розвитку розтягнуті, і видають себе за керівників, постачальників та великих донорів. Вправа з BEC відпрацьовує дисципліну верифікації переказів, що захищає надходження грудня та січня.

Чи можуть волонтери проходити тренінги?

Так. SCORM-пакети працюють у будь-якій LMS, а автономна хмарна платформа підтримує облікові записи волонтерів зі зменшеним опором при підключенні. Призначення для волонтерів охоплюють шахрайство з подарунковими картками, соціальну інженерію та базовий фішинг без вимоги повного навчального плану персоналу.

Як це задовольняє положення грантових угод про навчання?

Грантові угоди від Gates, Ford, MacArthur та аналогічних фондів часто вимагають документально оформлених тренінгів. RansomLeak надає записи проходження по кожному співробітнику, бали та карти охоплення тем у форматах, які фонди приймають при поновленні та аудиті.

А як щодо міжнародних даних донорів та GDPR?

Неприбуткові з донорами з ЄС є контролерами GDPR. Каталог охоплює реагування на порушення GDPR, обробку DSAR, обізнаність про транскордонну передачу та управління згодою. Аудиторські докази узгоджуються з очікуваннями Article 32 та Article 39.

Чи інтегрується це з нашою LMS?

Кожна вправа експортується як SCORM 1.2 і 2004 пакети, протестована з понад 50 LMS, включаючи Cornerstone, Workday, Moodle, Canvas та LMS-модулі в Salesforce NPSP. Для неприбуткових без LMS автономна хмарна платформа пропонує SSO, MFA та готову для аудиту звітність.

Як часто персонал та волонтери неприбуткової повинні проходити тренінги?

PCI DSS Requirement 12.6 вимагає тренінгу при наймі плюс щорічного оновлення. Більшість неприбуткових проводять повне оновлення раз на рік плюс короткі мікромодулі перед піковими вікнами збору коштів та після публічних бюлетенів про інциденти. RansomLeak підтримує обидва ритми.

Дотичні матеріали

Тренінги з компрометації ділової електронної пошти

Читати статтю

Посібник з тренінгів симуляції фішингу

Читати статтю

Тренінги з обізнаності щодо програм-вимагачів для співробітників

Читати статтю

Безкоштовні ресурси з тренінгів обізнаності з безпеки

Читати статтю

Посібник з тренінгів обізнаності з безпеки

Читати статтю

Запустити цю програму у галузі неприбуткових організацій

Запишіться на 30-хвилинну демонстрацію, адаптовану під ваш персонал, LMS та аудиторський графік.

Замовити демо Переглянути безкоштовний каталог