Исследователи из университетов Сан-Диего и Чикаго пришли к неожиданному и тревожному выводу: привычные нам курсы по кибербезопасности, которые сотрудники крупных компаний проходят раз в год, практически бесполезны. Они почти не снижают риск того, что человек поведется на уловки мошенников. Речь идет о фишинге — когда вам приходит письмо якобы от начальника, банка или техподдержки с просьбой срочно перейти по ссылке и ввести пароль или данные карты.

Восемь месяцев ученые наблюдали за тем, как сотрудники медицинского центра при Калифорнийском университете в Сан-Диего реагируют на подозрительные письма. В эксперименте участвовало больше 19 500 человек. Им отправляли фальшивые фишинговые письма — десять разных кампаний, десять разных уловок. Результаты оказались отрезвляющими.

Выяснилось, что нет никакой связи между тем, прошел человек недавно обязательное ежегодное обучение или нет, и тем, попадется он на крючок или нет. Ученые проверили и другой популярный метод — так называемое встроенное обучение. Это когда компания сама отправляет тестовое фишинговое письмо, и если сотрудник на него клюнул, ему тут же показывают окошко с информацией, как распознать обман. Эффект от такого метода оказался исчезающе мал — риск перехода по вредоносной ссылке снижался всего на 2%. Как написали сами авторы работы, «нынешние программы обучения борьбе с фишингом в том виде, в котором они обычно применяются, вряд ли приносят реальную пользу».

Почему это вообще важно? Несмотря на то, что технологии фильтрации спама совершенствуются уже два десятилетия, фишинг остается главной причиной успешных кибератак. По данным IBM за 2023 год, на его долю приходится 16% всех взломов. Для медицины проблема стоит особенно остро: только в Америке за один год случилось больше 725 крупных утечек данных, затронувших 133 миллиона медицинских записей.

Так почему же обучение не работает? Одна из главных причин проста и банальна: люди в него не вникают. Грант Хо, один из авторов исследования, рассказал, что 75% сотрудников провели с учебными материалами не больше минуты. А треть из них просто закрыли страницу с обучением, даже не взглянув на нее.

Эксперимент также показал, что со временем бдительность людей притупляется. В первый месяц на удочку мошенников попалось только 10% сотрудников. Но к концу восьмого месяца эксперимента больше половины хотя бы раз перешли по ссылке из тестового письма. Имеет значение и то, как именно написано письмо. Например, на просьбу обновить пароль для почты отреагировали меньше двух процентов. А вот когда пришло письмо с изменениями в политике отпусков, на него повелось уже больше 30% сотрудников.

Ученые предлагают компаниям сменить тактику и делать ставку не на просветительские беседы, а на технические средства защиты. Самый большой эффект дадут две вещи: двухфакторная аутентификация везде, где только можно, и использование менеджеров паролей. Такие программы сами подставляют логин и пароль, но только если сайт — настоящий, а не поддельный.

• Для науки это исследование ценно тем, что оно проведено по строгим правилам — это был рандомизированный эксперимент с контрольной группой, а не просто опрос или наблюдение. Таких масштабных работ мало, поэтому выводы ученых ставят под сомнение миллиарды долларов, которые компании тратят на обучение сотрудников. Это толчок к тому, чтобы искать новые, более эффективные методы или переосмыслить старые.
• В реальной жизни польза очевидна: если бизнес последует совету исследователей и начнет активнее внедрять технические средства защиты, денег обычных людей на картах станет чуть безопаснее. Меньше утекших баз данных — меньше спама и звонков от «службы безопасности банка». А в случае с больницами это еще и защита приватности: никто не хочет, чтобы его диагноз или результаты анализов оказались у мошенников.

Несмотря на убедительные цифры, у работы есть слабое место. Она проводилась в одной локации — в крупном медицинском центре. Медики, администраторы и технический персонал больницы — это особая среда. У них может быть совершенно другой уровень тревожности, загруженности и доверия к письмам, чем, скажем, у банковских служащих или инженеров на заводе. То, что верно для больницы в Сан-Диего, не обязательно на сто процентов верно для офиса продаж в другом городе или стране. Поэтому результаты, хоть и показательны, но не универсальны для всех профессий сразу.

Ранее российские ученые разработали метод на основе машинного обучения для выявления фишинговых сайтов.