Почему учебные фишинговые атаки не укрепляют культуру безопасности

Культура безопасности не создается с помощью симуляций фишинга. В этом видео для Help Net Security Дэн Поттер, вице-президент по киберустойчивости в Immersive, утверждает, что ежегодные обучающие ролики и ежеквартальные тесты на фишинг проводятся в спокойной, контролируемой обстановке, которая ничего не говорит о том, как люди поведут себя при реальной атаке.

Настоящие инциденты вызывают тревогу, сужают восприятие и приводят к нерешительности. Люди концентрируются на самой очевидной проблеме, теряют из виду общую картину и замедляются в самый ответственный момент. Только мышечная память, выработанная под давлением, позволяет устранить этот разрыв.

Поттер описывает, как выглядит реальная готовность: это кросс-функциональные учения, микрообучение в момент рискованного поведения, психологическая безопасность, исключающая культуру обвинений, и восприятие команды безопасности как помощника, а не как надзирателя.

Цель — создать коллектив, от рядовых сотрудников до совета директоров, который понимает свою роль, доверяет процессу и способен действовать в решающий момент.

Безопасность по умолчанию: Встраивание защиты на этапе проектирования